ОБЗОР СИСТЕМЫ МОНИТОРИНГА СОБЫТИЙ ИНФОРМАЦИОННЫЙ БЕЗОПАСНОСТИ — MAXPATROL SIEM

ОБЗОР СИСТЕМЫ МОНИТОРИНГА СОБЫТИЙ ИНФОРМАЦИОННЫЙ БЕЗОПАСНОСТИ — MAXPATROL SIEM

Авторы публикации

Рубрика

IT-Технологии

Просмотры

94

Журнал

Журнал «Научный лидер» выпуск # 20 (170), Май ‘24

Дата публикации 25.05.2024

Поделиться

В статье представлен обзор MaxPatrol SIEM — системы мониторинга событий информационной безопасности, разработанной компанией Positive Technologies. Описаны компоненты продукта, его основные функциональные возможности и принцип работы. Также в рамках обзора выполнено сравнение систем класса SIEM от ведущих отечественных производителей.

 ВВЕДЕНИЕ

В современном цифровом мире, где информационные технологии играют ключевую роль в деятельности организаций, обеспечение безопасности информационных систем становится первоочередной задачей. С каждым годом количество кибератак и их сложность растет, что требует от организаций внедрения эффективных средств защиты. Одним из таких средств являются SIEM-системы (Security Information and Event Management — системы управления информационной безопасностью и событиями), которые позволяют централизованно управлять событиями безопасности и обеспечивать оперативное реагирование на инциденты.

Компоненты MP SIEM

MaxPatrol Security Information and Event Management от компании Positive Technologies — система комплексного мониторинга, основанная на принципах сбора, анализа, реагирования на события информационной безопасности и содержащая в себе уникальную базу знаний, накопленную за годы проведения масштабных исследований.

Для обеспечения оптимальной функциональности, гибкости конфигурации и масштабируемости инфраструктуры под требования заказчиков при проектировании и разработке MP SIEM используется многомодульный подход построения архитектуры [1], состоящей из следующих компонентов :

  • MaxPatrol 10 Core (Ядро) – основной компонент системы, ее управляющий сервер, выполняющий функции централизованного хранения динамической информации и контроля остальных компонентов;
  • MaxPatrol SIEM Server – выполняет обработку событий информационной безопасности (нормализацию, агрегацию, обогащение, корреляцию) и проводит полный цикл работы с инцидентами;
  • MaxPatrol SIEM Events Storage (Хранилище) – обеспечивает централизованное хранение информации о событиях безопасности;
  • MaxPatrol 10 Collector (Агент) – компонент, сканирующий активы IT-инфраструктуры организации и собирающий события с источников;
  • PT Management and Configuration – обеспечивает управление пользователями системы, включая их аутентификацию, синхронизацию прав доступа, журналирование действий;
  • PT Knowledge Base – единая база знаний для продуктов Positive Technologies, объединяющая в себе пакеты экспертизы, макросы, схему полей событий, сведения о возможном ПО на активах;
  • PT Update and Configuration Service – сервис онлайн-обновления компонентов, обеспечивающий загрузку и установку актуальных версий.

ФУНКЦИИ И АЛГОРИТМ РАБОТЫ MP SIEM

Поскольку MaxPatrol SIEM комплексная система, ее функционал удобно представить в виде трех этапов работы с событиями и инцидентами:

  1. Превентивные мероприятия – сбор данных с различных уровней информационной инфраструктуры для инвентаризации активов и их дальнейшего анализа.
  2. Детективные мероприятия – анализ данных, в ходе которого выполняется обнаружения потенциальных угроз и инцидентов безопасности.
  3. Мероприятия по реагированию – выполнение предустановленных сценариев и дальнейшая работа с инцидентами в случае срабатывания правил корреляции на предыдущем этапе.

Конкретные функции, выполняемые системой на каждом этапе, представлены в таблице 1.

Таблица 1.

Функции MP SIEM

Функции

Превентивные мероприятия

  • автоматическая работа с активами
  • сбор событий с источников
  • отслеживание изменений в IT инфраструктуре
  • визуализация данных

Детективные мероприятия

  • нормализация
  • агрегация
  • обогащение
  • корреляция

Мероприятия по реагированию

  • формирование инцидента ИБ
  • назначение и уведомление ответственных лиц
  • запуск сценариев реагирования
  • формирование отчетов

 

На основе данных функций строится алгоритм работы MaxPatrol SIEM (рис. 1)

Рисунок 1. Алгоритм работы MP SIEM

 

  1. Коллекторы собирают данные об IT-инфраструктуре предприятия и передают в MP SIEM Server.
  2. MP SIEM Server обрабатывает входящий поток событий, приводит их к единому формату в соответствии с правилами нормализации и группирует согласно правилам агрегации. Затем дополняет данные о событиях, используя правила обогащения, и анализирует поток нормализованных событий по правилам корреляции для выявления событий ИБ.
  3. Если подозрительных событий выявлено не было, MP SIEM Server передает их в MP SIEM Events Storage в исходном (необработанном) и в нормализованном виде для хранения, если произошла сработка правил корреляции, то, помимо передачи событий в хранилище, автоматически создается инцидент и отправляется уведомление ответственному оператору.
  4. Оператор анализирует инцидент, если сработка не ложная, начинает расследование.

СРАВНЕНИЕ ОТЕЧЕСТВЕННЫХ РЕШЕНИЙ КЛАССА SIEM

Выбор SIEM-системы довольно важный аспект при проектировании системы защиты информации, поскольку правильно принятое решение может существенно повысить эффективность контроля информационной безопасности.

Сегодня на рынке SIEM-систем представлен широкий ряд подходящих под различные потребности устройств с различными характеристиками, причем после Указа Президента РФ от 1 мая 2022 г. №250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» [2] активно начали разрабатываться и внедряться отечественные системы.

Мной было выполнено сравнение систем класса SIEM от ключевых отечественных производителей: ООО «РуСИЕМ» (RuSIEM), Positive Technologies (MaxPatrol SIEM), НПО «Эшелон» (KOMRAD Enterprise SIEM), «Лаборатория Касперского» (Kaspersky Unified Monitoring and Analysis Platform), «СёрчИнформ» (СёрчИнформ SIEM) по ряду основных критериев. Результаты представлены в таблице 2.

Таблица 2.

Характеристики SIEM-систем

 

RuSIEM

MP SIEM

Komrad SIEM

СерчИнформ SIEM

KUMA

Первый релиз

2014

2015

2016

2016

2020

Срок внедрения

до 3 недель

от 1 месяца

от 1 месяца

до 8 дней

до 3 месяцев

Системные требования для минимальной конфигурации

CPU – 4-8, 2 ГГц; RAM – 16; Storage – 400 Гб

CPU - 12, 3,0 ГГц; RAM - 64 Гб; Storage – 1,8 Гб

CPU - 2, 2 ГГц; RAM – 8; Storage – 1 Тб

CPU - 4, 2.1 ГГц; RAM – 4; Storage – 200 Гб

CPU - 8; RAM - 32 Гб; Storage – 500 Гб

Производительность

>100 000 EPS

>540 000 EPS

<100 000 EPS

Не ограничено

>300 000 EPS

Кол-во правил “из коробки”

~350 источников

400 правил корреляции

>300 источников

>900 правил корреляции

>400 правил корреляции

>300 источников >400 правил корреляции

>190 источников

>350 правил

Поддержка ОС

Ubuntu 22.04; Ubuntu 18.04; Astra Linux SE 1.7

Astra Linux SE 1.7; Debian 10; Windows Server 2012, 2012 R2, 2016; 2019

Ubuntu 22.04; Astra Linux SE 1.7; ОСОН «ОСнова» 2.5; ОС Атлант 1.3

Windows Server 2012, 2012 R2, 2016; 2019

Oracle Linux 8.6, 8.7, 9.2; Astra Linux SE 1.7

Соответствие требованиям регуляторов

ФСТЭК №4402; реестр отеч. ПО №20365

ФСТЭК №3734; реестр отеч. ПО №1143 

ФСТЭК №3498; реестр отеч. ПО №239

ФСТЭК №4424; реестр отеч. ПО №4711

ФСТЭК №4445; реестр отеч. ПО №9128

 

По результатам сравнения можно отметить следующее:

  • Все системы ориентированы и на бизнес, и на государственный сектор, что отражается в поддержке отечественной ОС Astra Linux и в прохождении сертификации ФСТЭК;
  • Все продукты имеют предустановленные наборы правил для различных источников, которые позволяют им работать “из коробки”, наибольшее количество содержит MaxPatrol SIEM (>900);
  • Срок внедрения SIEM у большинства составляет примерно 4 недели, СерчИнформ предлагаю осуществить внедрение за 8 дней;
  • Самые низкие характеристики требуются “СерчИнформ SIEM”, а самые высокие - MaxPatrol SIEM, при этом она же имеет наибольшую максимальную производительность.

Заключение

SIEM-системы являются важнейшим продуктом обеспечения информационной безопасности для предприятий из различных отраслей деятельности. Производители и вендоры предлагают сегодня множество вариантов в зависимости от требований заказчиков.

Лидирующим продуктом, как по основным характеристикам, так и по охвату рынка [3], в данной области является многофункциональная система MaxPatrol SIEM, разработанная на основе уникальной базы знаний и обладающая гибкой многомодульной архитектурой и богатым функционалом.

Список литературы

  1. Справка MaxPatrol SIEM // help.ptsecurity URL: https://help.ptsecurity.com/projects/siem/8.1
  2. Указ Президента Российской Федерации "«О дополнительных мерах по обеспечению информационной безопасности Российской Федерации»" от 01.05.2022 № 250 2022
  3. Обзор российского рынка SIEM-систем 2023 // Anti-Malware.ru URL: https://www.anti-malware.ru/analytics/Market_Analysis/ SIEM-2023
Справка о публикации и препринт статьи
предоставляется сразу после оплаты
Прием материалов
c по
Остался последний день
Размещение электронной версии
Загрузка материалов в elibrary
Публикация за 24 часа
Узнать подробнее
Акция
Cкидка 20% на размещение статьи, начиная со второй
Бонусная программа
Узнать подробнее