Журнал "Information Security/ Информационная безопасность" #4, 2022

SIEM-системы приобре- тают особую актуальность, потому что позволяют объ- единить в себе функционал различных решений: рабо- тать со всеми логами из одного окна, видеть взаимо- связи между этими логами, распознавая в их цепочке инцидент и оповещая о нем ИБ-специалиста. Зачем нужны SIEM- системы и почему их значение сейчас возрастает? С ИТ-рынка уже ушли ключевые вендоры (IBM, HP, Microsoft, Oracle, Fortinet), и до сих пор сохраняется риск того, что и некоторые другие зарубежные разработчики свернут свою дея- тельность в РФ. Эта ситуация создает для российских пользо- вателей множество рисков, ведь у зарубежных поставщиков оста- ется возможность удаленно отключать программный функ- ционал. Другими словами, пре- доставление услуг может быть остановлено в одностороннем порядке, до истечения сроков лицензий. Из-за активного использова- ния VPN-сервисов, загрузка которых увеличилась на 1268%, наблюдается рост инсайдер- ских рисков. Кроме того, акту- альными являются проблемы контроля обновления ПО в сочетании с риском, что это же обновление сделает из обору- дования бесполезный кусок железа. За что хвататься ИТ- и ИБ- специалисту? Сколько времени он должен тратить, переключа- ясь из консоли в консоль раз- личных защитных решений? В этой ситуации SIEM-систе- мы приобретают особую акту- альность, потому что позволяют объединить в себе функционал различных решений: работать со всеми логами из одного окна, видеть взаимосвязи между этими логами, распознавая в их цепочке инцидент и оповещая о нем ИБ-специалиста. Какие задачи решает "СёрчИнформ SIEM"? "СёрчИнформ SIEM" работает более чем с 30 типами источ- ников информации, в том числе с DLP-системой "СёрчИнформ КИБ" и DCAP FileAuditor. Число коннекторов постоянно увеличи- вается. Для источников без кон- некторов у нас есть простой и удобный Custom Connector, который решает проблему под- ключения SIEM к ПО, не отправ- ляющему логи через Syslog, то есть к любой самописной про- грамме. Коннектор к источнику можно написать самостоятель- но на Windows PowerShell с помощью образцов. С целью расширения возмож- ностей контроля над различным оборудованием в "СёрчИнформ SIEM" реализована поддержка протокола SNMP. 20 • СПЕЦПРОЕКТ Почему SIEM-система больше не роскошь и как внедрить ее быстро а последние годы SIEM-система из нишевого решения превратилась в “мастхэв”-продукт для многих компаний. Подстегивали этот процесс ФЗ-187 и постоянный рост киберугроз, которые невозможно контролировать вручную в большой ИТ-инфраструктуре. В 2022 г. компаниям добавляет проблем экстренное импортозамещение. З Павел Пугач, системный аналитик “СёрчИнформ”