SIEM — система управления информационной безопасностью

SIEM — это решение, обеспечивающее сбор и анализ сведений от средств защиты информации в режиме реального времени.

SIEM-решения собирают и систематизируют данные из различных источников:

  • системы контроля и управления доступом;
  • DLP-системы;
  • IDS-системы и IPS-системы;
  • антивирусные приложения;
  • журналы событий серверов и рабочих станций;
  • межсетевые экраны;
  • сетевое активное оборудование;
  • сканеры уязвимостей;
  • системы инвентаризации и управления активами;
  • системы веб-фильтрации.

Внедрив SIEM, вы сможете быстро реагировать на угрозы информационной безопасности и принимать необходимые меры для предотвращения инцидентов. Решение позволяет экономить время на сборе и анализе данных — логи, журналы действий, оповещения — от разных программ и устройств, объединяя все эти действия в одном инструменте.

Задачи, которые решает SIEM

SIEM — это компонент защиты ИТ-инфраструктуры, который собирает и систематизирует сведения, необходимые для обеспечения информационной безопасности. Может предоставлять рекомендации по обеспечению защиты информации, в зависимости от функционала.

С помощью SEM-системы могут решаться задачи:

  • Мониторинг событий в IT-инфраструктуре и их анализ. События могут быть любыми. Например, изменение активности пользователя, отправка почты с корпоративного компьютера сомнительному адресату, изменение конфигурации оборудования или программного обеспечения, сетевые атаки по внешнему или внутреннему периметру, существенное изменение объёмов трафика.
  • Расследование инцидентов в сфере информационной безопасности. В системе управления информационной безопасностью сосредотачиваются данные от множества компонентов IT-инфраструктуры. Благодаря этому сбор доказательной базы упрощается.
  • Анализ инфраструктуры на предмет соответствия определённым стандартам и требованиям. При помощи этих данных её легче поддерживать в требуемом состоянии.
  • Подготовка отчётов, в том числе для принятия решений по обеспечению защиты информационной безопасности и для контролирующих органов.

Принципы работы и архитектура SIEM

В основе функционирования таких систем лежит математика и статистика. Решения разворачиваются поверх информационных систем, в защите которых участвуют. Архитектура SIEM зависит от архитектуры защищаемой IT-инфраструктуры. В ней выделяют компоненты:

  • Коллекторы (или источники данных). Собирают события от компонентов информационных систем. Сбор осуществляется в пассивном режиме или «по запросу».
  • Хранилище данных. Хранит собранные события.
  • Обработчики данных (корреляторы). Обрабатывают собранные коллекторами сведения.
  • Элементы управления. Управляют работой SIEM.

SIEM-решения

Системы управления информационной безопасностью представлены решениями российских и зарубежных компаний:

MaxPatrol SIEM
IBM QRadar SIEM
KOMRAD Enterprise SIEM
SearchInform SIEM


MaxPatrol SIEM

Отечественная разработка, сертифицированная ФСТЭК. Особенность — «знание» наиболее актуальных для России угроз информационной безопасности организаций. Решение включено в реестр российских программ Минкомсвязи РФ. Продукт ориентирован на все секторы и любые масштабы бизнеса.

IBM QRadar SIEM

Есть сертификат ФСТЭК по защите конфиденциальной информации. Решение ориентировано на банковский, государственный сектор, средний и крупный бизнес.

KOMRAD Enterprise SIEM

Первая российская разработка в этой сфере. Совместимо с отечественными решениями в области защиты информации и операционной системой Astra Linux. Есть сертификаты Министерства обороны и ФСТЭК, решение включено в реестр отечественного программного обеспечения.

Сёрчинформ SIEM

Решение сертифицировано ФСТЭК. Ориентировано на корпоративные системы любого масштаба. Считается простым в развёртывании и дальнейшей настройке.

Получить консультацию по SIEM-решениям