Все под контролем: какой должна быть современная SIEM?
Searchinform
SIEM-система в 2022 г. из нишевого решения превратилась в настоящий «мастхэв» — этому способствовали федеральный закон о критической инфраструктуре и лавинообразный рост кибератак, контролировать которые вручную невозможно. Рассказываем, какой должна быть современная SIEM-система, как ее правильно выбрать, чтобы не прогадать и не разориться.
Почему покупка SIEM-системы так актуальна?
Во-первых, система необходима всем компаниям, которые используют современный софт, ПК, серверы и другое оборудование. За этим «зоопарком» ПО и железа нужно пристально следить — оборудование ломается, ПО устаревает и может быть источником уязвимости, серверы перегреваются и выходят из строя. Все эти проблемы мониторит SIEM и вовремя сигнализирует об инцидентах.
Во-вторых, ФСТЭК и другие регуляторы рекомендуют вооружаться SIEM-системами субъектам КИИ и операторам персданных. А в некоторых отраслях это прямые требования, которые нельзя игнорировать.
В-третьих, с 2025 г. в госструктурах и на объектах КИИ нельзя будет пользоваться уже внедренными иностранными решениями.
Несмотря на то, что рынок покинули ключевые зарубежные вендоры — IBM, HP, Microsoft, Oracle и Fortinet — волноваться за российских заказчиков не стоит. Еще до кризиса отечественные SIEM занимали до 40% рынка РФ. Есть из чего выбрать.
Какой функционал точно нужен «из коробки»
SIEM-система — многофункциональный софт, заказчикам бывает сложно разобраться, какие из функций точно нужны. Вот на что нужно обращать внимание.
Достаточность коннекторов на старте и легкий механизм подключения новых. При выборе системы нужно определиться, какие источники данных в ИТ-инфраструктуре точно нужно контролировать. SIEM стоит подключить к максимально возможному их числу.
Вот список наиболее критичных коннекторов, которые должны быть у вендора «из коробки», чтобы система заработала с первых дней:
— EventLog, который контролирует инфраструктуру MS (Active Directory, СУБД Microsoft SQL).
— Коннекторы для почтовых серверов, чтобы контролировать доступ к почтовым ящикам.
— Коннекторы для СУБД, чтобы держать под контролем базы данных.
— Коннекторы Syslog, чтобы мониторить события сетевых устройств и операционных систем на базе Linux.
— Коннекторы среды виртуализации для контроля событий входа/выхода VMview/VMware.
Кроме того, нужно учитывать, что роутеры, маршрутизаторы, сетевые экраны и прочее сетевое «железо» чаще всего попадают в поле зрения хакеров. Поэтому пригодятся коннекторы для сетевых экранов и устройств комплексной сетевой безопасности (это мониторинг событий маршрутизации локального/ запрещенного/ разрешенного трафика, изменения конфигураций брандмауэра, события VPN-соединений).
В «СёрчИнформ SIEM» предусмотрены все эти коннекторы, а также есть пользовательский Custom Connector, который позволяет с помощью простых скриптов подключить любой источник. Их образцы на PowerShell script, также можно найти в «коробке».
А потянет ли?
Производительность системы — количество событий, которые SIEM может обработать в секунду. Вендоры могут измерять производительность в EPS, которые система получает (входящий поток) или числом событий, которые она регистрирует в базе данных. Эти две цифры могут отличаться на порядок. Зачастую вендор, указывая производительность системы, не конкретизирует, какой именно EPS он имеет в виду.
Поэтому лучше не верить на слово, а проверять производительность на тесте. Он покажет, сколько система реально может принять событий и записать в базу данных. Так вы сможете сделать однозначный вывод, достаточно ли производительности под вашу инфраструктуру.
Настройки визуализации
Все SIEM-системы так или иначе визуализируют данные о состоянии ИТ-инфраструктуры. Как правило, программа в одном окне собирает и показывает аномальные всплески событий на ПО и оборудовании (вирусные или DDoS-атаки), какое ПО требует обновления с отключением функционала, у какого софта истекает лицензия и какие порты открыты на оборудовании.
Но важно, чтобы администратор системы имел возможность настроить представление так, чтобы оно было максимально информативным именно для него. Чтобы сам пользователь мог в удобном для него виде увидеть, что именно происходит в данный момент.
Интеграция с ГосСОПКА
SIEM — техническое средство выполнения ФЗ-187, а с 2022 г. — и помощь в выполнении ФЗ-152.
Многим заказчикам нужно, чтобы система умела передавать данные об инцидентах в Национальный координационный центр по компьютерным инцидентам.
Как выбрать SIEM, которую потянут ваши сотрудники
Большинство SIEM-систем сложны в эксплуатации и требуют специальной подготовки сотрудников. Для работы с некоторыми программами администратор должен знать два-три языка программирования.
Чтобы избежать таких подводных камней, желательно изначально выбирать систему с понятным интерфейсом, не требующую навыков программирования. «СёрчИнформ SIEM» понятна любому, кто хоть раз открывал Word или Excel, а создание правил вынесено в графический интерфейс. Универсальные предустановленные правила корреляции помогают организовать работу с первого дня внедрения. Администратор SIEM покажет результат руководству, а затем продолжит настройку под нужды своей компании (из «коробки» доступно больше 350 правил).
Как сэкономить на лицензировании
При покупке нужно обращать внимание на варианты лицензирования SIEM.
Так, в одних системах учитывается максимальная пиковая производительность (EPS — сколько событий в секунду может обработать система). В других учитывают и функционал, и производительность, и количество пользователей, работающих с SIEM. Некоторые SIEM даже предлагают ограниченную по времени лицензию, и она полноценно работает только пока заказчик оплачивает техническую поддержку.
Желательно, чтобы лицензирование было максимально простым, чтобы заказчик сам понимал, от чего зависит цена. В идеале — по узлам, которые генерируют логи. Так, разработчики «СёрчИнформ SIEM» в итоге остановились на лицензировании по хостам. Это удобнее, так как сразу понятно, в какую сумму обойдется первичное развертывание и приобретение дополнительных лицензий для масштабирования. Кроме того, заказчик не будет зависеть от количества обрабатываемых событий, даже если оно увеличится, дополнительных трат не понадобится (как в случае с лицензированием по EPS).
Поддержка вендора
Как бы ни был продуман функционал «из коробки», рано или поздно заказчик столкнется с необходимостью поддержки от вендора. К примеру, предустановленных правил недостаточно и необходимо кастомизировать их, дописать новые.
При выборе системы здраво оцените ресурсы своих ИБ- и ИТ-отделов и уточните у разработчика, на каких этапах он готов помогать бесплатно, а за что придется доплачивать. Поставщики решений здесь ведут себя по-разному: помощь в настройке корреляций бывает платной или ее может не быть вовсе.
В «СёрчИнформ» стандарт для всех решений — бесплатная расширенная техподдержка. Это значит, специалисты не только помогут с настройкой правил, но и окажут помощь при кастомизации и настройке системы, обучат работе с SIEM новых сотрудников, предоставят доступ к базе знаний, отраслевым кейсам.
Подведем итог
Широкое внедрение SIEM пока тормозит репутация этого класса продуктов как дорогих, сложных и предназначенных исключительно для крупных компаний. На деле же все зависит от конкретного решения — главное, тщательно подойти к выбору, протестировать систему и задать все вопросы вендору. Идеальной SIEM, может, и не существует. Однако вполне реально выбрать недорогую на старте и в эксплуатации, с хорошим функционалом, чтобы она соответствовала и вашим запросам, и требованиям регуляторов.
Запросить презентацию «СёрчИнформ SIEM» можно по ссылке.
Полный текст статьи читайте на CNews