Почему SIEM-система больше не роскошь и как внедрить ее быстро

Зачем нужны SIEM-системы и почему их значение сейчас возрастает

С рынка ушли ключевые зарубежные вендоры (IBM, HP, Microsoft, Oracle, Fortinet) – и это не конец процесса. Это создает российским компаниям множество рисков. Что зарубежные поставщики начнут отключать функционал удаленно. Что не дожидаясь конца истечения лицензий остановят предоставление услуг. Что откажет железо. Растут инсайдерские риски, например, вследствие использования VPN-сервисов, загрузка которых с конца февраля увеличилась на 1268%! Актуальны проблемы контроля обновления ПО в сочетании с противоположным риском, что это же обновление сделает из оборудования бесполезный кусок «железа».

За что хвататься ИТ- и ИБ-специалисту? Сколько времени он должен тратить, переключаясь из консоли одного защитного решения в другое?

SIEM-системы в этой ситуации приобретают совершенно новую актуальность, потому что позволяют работать со всеми логами из одного окна, а также видеть взаимосвязи между этими логами, распознавая в их цепочке инцидент, оповещая о нем ИБ-специалиста.

То есть SIEM-система соберет и в одном окне покажет:

• какое оборудование и ПО стоит;
• какие порты открыты;
• какое ПО без обновления;
• защищенность оборудования.

На что обратить внимание при выборе

Современная SIEM должна уметь собирать логи из всех критически важных источников информации, нормализовать данные, создавать корреляции, выявлять инциденты и оповещать о них специалистов. При этом система должна иметь значительное количество уже встроенных правил выявления инцидентов, это можно проверить во время тестирования. В системе критична функция инвентаризации ИТ-инфраструктуры, ведь вы не можете защищать то, о чем не знаете.

Задайте вендору вопрос, через сколько система реально начнет работать: сроки внедрения разнятся, возможно, у вас нет месяца или даже полугода на ожидание. Еще полезно спросить, какой квалификации должен быть специалист, которому нужно будет работать с системой (нужно ли ему знать языки программирования и сколько, нужно ли получать сертификат и проходить обучение).

Что делать, если нужно заместить иностранную SIEM на российскую

Импортозамещение в ИБ-секторе – это не такая острая проблема, как в смежных. Но в случае с SIEM-системой ситуация отягощена: внедрение тут может занимать месяцы, а в ситуации, когда в компании у ИТ- и ИБ-специалистов и так дел невпроворот – еще дольше.

«СёрчИнформ SIEM» в этой ситуации может стать решением, т.к. мы разрабатывали ее «коробочной», с возможностью развернуть систему быстро – за один день.

1. Легко начать работу. Интерфейс «СёрчИнформ SIEM» понятен любому, кто хоть раз открывал «ворд» или «эксель». Мы вынесли создание правил в графический интерфейс — это просто и понятно для пользователя. Для работы с системой не нужно выделять отдельного человека.
2. Универсальные предустановленные правила. Они дают точку опоры на первом этапе, чтобы можно было организовать работу с первого дня внедрения. Администратор SIEM сразу покажет результат руководству и дальше продолжит настройку под нужды своей компании. «Из коробки» доступно больше 300 правил.
3. Система имеет все самые нужные коннекторы, а также пользовательский коннектор, который позволяет с помощью простых скриптов подключить любой источник. Шаблоны этих скриптов, написанных на PowerShell, вы также найдете в «коробке».
4. Не нужно докупать отдельные модули — весь заявленный набор функций доступен в одном решении. Часто заказчики сталкиваются с противоположной ситуацией и просчитываются на старте — в итоге рассчитанная сумма закупки оказывается гораздо больше.
5. Бесплатная помощь в настройке. Давние клиенты «СёрчИнформ» знают о нашем отделе внедрения – это специалисты с высокой квалификацией и опытом работы с сотнями клиентов. Поэтому они, как и инженеры техподдержки, берут на себя весомую часть забот. Это позволяет успешно внедрять решения, даже если у вас в компании есть дефицит специалистов в ИТ- или ИБ отделе.

Систему всегда можно получить на месяц бесплатного тестирования.

Что умеет «СёрчИнформ SIEM»

Сейчас система работает с 30+ типами источников информации, в том числе с продуктами из нашей линейки: DLP-системой «СёрчИнформ КИБ», DCAP-системой FileAuditor. Мы постоянно увеличиваем число коннекторов, а для тех источников, для которых пока коннекторов нет, создали простой и удобный Custom Connector. Он решает проблему подключения SIEM к тому ПО, которое не отправляет логи через Syslog, например к любой самописной программе. Коннектор можно написать самостоятельно на Windows PowerShell.

В «СёрчИнформ SIEM» реализована поддержка протокола SNMP, что значительно расширяет возможности контролировать разные виды оборудования. Это будет полезно даже не столько для ИБ, сколько для ИТ.

В SIEM есть сканер сети, который визуализирует весь состав инфраструктуры: конфигурации компьютеров, роутеров, свитчей, принтеров и прочего оборудования. Можно обнаружить открытые порты и отследить попытки несанкционированного подключения новых устройств. Инциденты можно вывести на настраиваемые дашборды – панели, где из 13 готовых шаблонов можно настроить себе любое количество персональных виджетов.

Считается, что в SIEM сложно писать свои правила. У нас это реализовано через простой редактор, он облегчает специалистам жизнь. В этом году мы добавили несколько логических операторов, которые позволяют выявлять сложные корреляции. Например, если человек не проходил через СКУД, но работает за компьютером – это повод разобраться, это санкци-онированный удаленный доступ или вторжение.

7 апреля мы проведем стрим, в котором примут участие наши и независимые эксперты – послушайте и сориентируйтесь, нужна ли SIEM вам.