В современном цифровом мире, где информационные технологии играют ключевую роль в деятельности организаций, обеспечение безопасности информационных систем становится первоочередной задачей. С каждым годом количество кибератак и их сложность растет, что требует от организаций внедрения эффективных средств защиты. Одним из таких средств являются SIEM-системы (Security Information and Event Management — системы управления информационной безопасностью и событиями), которые позволяют централизованно управлять событиями безопасности и обеспечивать оперативное реагирование на инциденты.
Компоненты MP SIEM
MaxPatrol Security Information and Event Management от компании Positive Technologies — система комплексного мониторинга, основанная на принципах сбора, анализа, реагирования на события информационной безопасности и содержащая в себе уникальную базу знаний, накопленную за годы проведения масштабных исследований.
Для обеспечения оптимальной функциональности, гибкости конфигурации и масштабируемости инфраструктуры под требования заказчиков при проектировании и разработке MP SIEM используется многомодульный подход построения архитектуры [1], состоящей из следующих компонентов :
- MaxPatrol 10 Core (Ядро) – основной компонент системы, ее управляющий сервер, выполняющий функции централизованного хранения динамической информации и контроля остальных компонентов;
- MaxPatrol SIEM Server – выполняет обработку событий информационной безопасности (нормализацию, агрегацию, обогащение, корреляцию) и проводит полный цикл работы с инцидентами;
- MaxPatrol SIEM Events Storage (Хранилище) – обеспечивает централизованное хранение информации о событиях безопасности;
- MaxPatrol 10 Collector (Агент) – компонент, сканирующий активы IT-инфраструктуры организации и собирающий события с источников;
- PT Management and Configuration – обеспечивает управление пользователями системы, включая их аутентификацию, синхронизацию прав доступа, журналирование действий;
- PT Knowledge Base – единая база знаний для продуктов Positive Technologies, объединяющая в себе пакеты экспертизы, макросы, схему полей событий, сведения о возможном ПО на активах;
- PT Update and Configuration Service – сервис онлайн-обновления компонентов, обеспечивающий загрузку и установку актуальных версий.
ФУНКЦИИ И АЛГОРИТМ РАБОТЫ MP SIEM
Поскольку MaxPatrol SIEM комплексная система, ее функционал удобно представить в виде трех этапов работы с событиями и инцидентами:
- Превентивные мероприятия – сбор данных с различных уровней информационной инфраструктуры для инвентаризации активов и их дальнейшего анализа.
- Детективные мероприятия – анализ данных, в ходе которого выполняется обнаружения потенциальных угроз и инцидентов безопасности.
- Мероприятия по реагированию – выполнение предустановленных сценариев и дальнейшая работа с инцидентами в случае срабатывания правил корреляции на предыдущем этапе.
Конкретные функции, выполняемые системой на каждом этапе, представлены в таблице 1.
Функции MP SIEM
Превентивные мероприятия |
|
|
Детективные мероприятия |
|
|
Мероприятия по реагированию |
|
На основе данных функций строится алгоритм работы MaxPatrol SIEM (рис. 1)
Рисунок 1. Алгоритм работы MP SIEM
- Коллекторы собирают данные об IT-инфраструктуре предприятия и передают в MP SIEM Server.
- MP SIEM Server обрабатывает входящий поток событий, приводит их к единому формату в соответствии с правилами нормализации и группирует согласно правилам агрегации. Затем дополняет данные о событиях, используя правила обогащения, и анализирует поток нормализованных событий по правилам корреляции для выявления событий ИБ.
- Если подозрительных событий выявлено не было, MP SIEM Server передает их в MP SIEM Events Storage в исходном (необработанном) и в нормализованном виде для хранения, если произошла сработка правил корреляции, то, помимо передачи событий в хранилище, автоматически создается инцидент и отправляется уведомление ответственному оператору.
- Оператор анализирует инцидент, если сработка не ложная, начинает расследование.
СРАВНЕНИЕ ОТЕЧЕСТВЕННЫХ РЕШЕНИЙ КЛАССА SIEM
Выбор SIEM-системы довольно важный аспект при проектировании системы защиты информации, поскольку правильно принятое решение может существенно повысить эффективность контроля информационной безопасности.
Сегодня на рынке SIEM-систем представлен широкий ряд подходящих под различные потребности устройств с различными характеристиками, причем после Указа Президента РФ от 1 мая 2022 г. №250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» [2] активно начали разрабатываться и внедряться отечественные системы.
Мной было выполнено сравнение систем класса SIEM от ключевых отечественных производителей: ООО «РуСИЕМ» (RuSIEM), Positive Technologies (MaxPatrol SIEM), НПО «Эшелон» (KOMRAD Enterprise SIEM), «Лаборатория Касперского» (Kaspersky Unified Monitoring and Analysis Platform), «СёрчИнформ» (СёрчИнформ SIEM) по ряду основных критериев. Результаты представлены в таблице 2.
Таблица 2.
Характеристики SIEM-систем
|
RuSIEM |
MP SIEM |
Komrad SIEM |
СерчИнформ SIEM |
KUMA |
Первый релиз |
2014 |
2015 |
2016 |
2016 |
2020 |
Срок внедрения |
до 3 недель |
от 1 месяца |
от 1 месяца |
до 8 дней |
до 3 месяцев |
Системные требования для минимальной конфигурации |
CPU – 4-8, 2 ГГц; RAM – 16; Storage – 400 Гб |
CPU - 12, 3,0 ГГц; RAM - 64 Гб; Storage – 1,8 Гб |
CPU - 2, 2 ГГц; RAM – 8; Storage – 1 Тб |
CPU - 4, 2.1 ГГц; RAM – 4; Storage – 200 Гб |
CPU - 8; RAM - 32 Гб; Storage – 500 Гб |
Производительность |
>100 000 EPS |
>540 000 EPS |
<100 000 EPS |
Не ограничено |
>300 000 EPS |
Кол-во правил “из коробки” |
~350 источников 400 правил корреляции |
>300 источников >900 правил корреляции |
>400 правил корреляции |
>300 источников >400 правил корреляции |
>190 источников >350 правил |
Поддержка ОС |
Ubuntu 22.04; Ubuntu 18.04; Astra Linux SE 1.7 |
Astra Linux SE 1.7; Debian 10; Windows Server 2012, 2012 R2, 2016; 2019 |
Ubuntu 22.04; Astra Linux SE 1.7; ОСОН «ОСнова» 2.5; ОС Атлант 1.3 |
Windows Server 2012, 2012 R2, 2016; 2019 |
Oracle Linux 8.6, 8.7, 9.2; Astra Linux SE 1.7 |
Соответствие требованиям регуляторов |
ФСТЭК №4402; реестр отеч. ПО №20365 |
ФСТЭК №3734; реестр отеч. ПО №1143 |
ФСТЭК №3498; реестр отеч. ПО №239 |
ФСТЭК №4424; реестр отеч. ПО №4711 |
ФСТЭК №4445; реестр отеч. ПО №9128 |
По результатам сравнения можно отметить следующее:
- Все системы ориентированы и на бизнес, и на государственный сектор, что отражается в поддержке отечественной ОС Astra Linux и в прохождении сертификации ФСТЭК;
- Все продукты имеют предустановленные наборы правил для различных источников, которые позволяют им работать “из коробки”, наибольшее количество содержит MaxPatrol SIEM (>900);
- Срок внедрения SIEM у большинства составляет примерно 4 недели, СерчИнформ предлагаю осуществить внедрение за 8 дней;
- Самые низкие характеристики требуются “СерчИнформ SIEM”, а самые высокие - MaxPatrol SIEM, при этом она же имеет наибольшую максимальную производительность.
Заключение
SIEM-системы являются важнейшим продуктом обеспечения информационной безопасности для предприятий из различных отраслей деятельности. Производители и вендоры предлагают сегодня множество вариантов в зависимости от требований заказчиков.
Лидирующим продуктом, как по основным характеристикам, так и по охвату рынка [3], в данной области является многофункциональная система MaxPatrol SIEM, разработанная на основе уникальной базы знаний и обладающая гибкой многомодульной архитектурой и богатым функционалом.
Список литературы
- Справка MaxPatrol SIEM // help.ptsecurity URL: https://help.ptsecurity.com/projects/siem/8.1
- Указ Президента Российской Федерации "«О дополнительных мерах по обеспечению информационной безопасности Российской Федерации»" от 01.05.2022 № 250 2022
- Обзор российского рынка SIEM-систем 2023 // Anti-Malware.ru URL: https://www.anti-malware.ru/analytics/Market_Analysis/ SIEM-2023