SIEM-системы. Краткий обзор существующих решений

22.08.2018

Обеспечение безопасности и бесперебойной работы всей ИТ-инфраструктуры предприятия является одной из важнейших и, в тоже время, сложнейших задач современного бизнеса. Одно из ключевых средств, используемое для её решения – это SIEM-системы (сокращение от англ. Security information and event management) – системы управления событиями информационной безопасности. Основные задачи, решаемые современным SIEM-приложением: сбор, анализ и предоставление пользователю в удобном виде информации, полученной с различных сетевых компонентов и устройств безопасности. Подобные инструменты позволяют оперативно и с наименьшими трудозатратами реагировать как на уже существующие, так и на потенциальные угрозы безопасности ИТ-инфраструктуры компании.

Популярные решения

Поскольку всё больше руководителей предприятий приходят к пониманию необходимости тщательного подхода к информационной безопасности, рынок SIEM-систем активно развивается, а количество представляемых решений стабильно расширяется. Согласно отчету аналитического агентства Gartner, специализирующегося в области ИТ-решений, несомненными лидерами среди разработчиков SIEM-систем являются компании Splunk (с продуктом Splunk Enterprise Security), IBM (QRadar Security Intelligence Platform), LogRhythm (NextGen SIEM) и McAfee (MсAfee Enterprise Security Manager). Вышеперечисленные инструменты в настоящий момент обладают наибольшей функциональностью среди всего многообразия систем и при этом имеют весьма гибкие настройки. Они представлены и на российском рынке и могут похвастаться такими крупными клиентами, как, например, Сбербанк (IBM QRadar) и Яндекс (Splunk).

Однако с лидерами рынка связаны несколько неприятных для российских пользователей моментов:

  1. Высокая стоимость, обусловленная их «западными» корнями и высоким валютным курсом;
  2. При многообразии функционала и настроек, значительная их часть может быть неактуальна для средних и малых предприятий, не располагающих парком в несколько сотен или тысяч компонентов (станций, серверов, терминалов и т.д.).

Поэтому при выборе SIEM-системы стоит в первую очередь смотреть на то, насколько она удовлетворяет именно вашим запросам, пусть даже в целом набор её возможностей будет чуть уже, чем у конкурентов. И зачастую имеет смысл не выбирать только из «лидеров рейтинга», а обратить внимание на российских разработчиков. На сегодняшний день наиболее известны из них Positive Technologies с решением MaxPatrol SIEM и компания «РУСИЕМ» с продуктом Rusiem.

Если сравнивать эти два продукта, то MaxPatrol обладает большей функциональностью, включен в реестр российского ПО, но стоит ощутимо дороже, чем не так давно появившийся Rusiem. В то же время оба эти продукта уже сумели завоевать определенную популярность на российском рынке ПО, например, MaxPatrol активно используется в ГК «Росатом».

Российские разработки VS зарубежные решения

Тот факт, что SIEM-системы лидеров рынка в среднем обладают большей функциональностью и гибкостью, совершенно не означает, что они опережают отечественные по всем параметрам. Например, говоря об информативности отчета о событии, можно вспомнить, что карточка инцидента в McAfee Enterprise Security Manager имеет 8 полей, в Splunk Enterprise Security максимум 236 штатных полей, а в Rusiem 372 настраиваемых пользователем поля.

Также в качестве примера преимуществ российских разработок можно привести возможность использования языка запросов при работе с фильтрами, а не только regex-формата.

Особенности лицензирования

Кроме технических параметров, при выборе решения следует обращать внимание на особенности лицензирования, так как в итоге это может существенно повлиять на его конечную стоимость, и тут важно выбрать вариант, который подходит именно вашей компании. Например:

  • IBM Qradar – лицензирование зависит от количества событий в секунду (EPS), потоков в минуту (FPM) и от количества приобретенных модулей;
  • Splunk – лицензирование по объему собираемых данных в день (при этом сервера/ресурсы/инсталляции не лицензируются);
  • Rusiem – лицензирование по модулям, количеству серверов и количеству событий в секунду.

Ввиду большого количества факторов, способных повлиять на выбор той или иной SIEM-системы, целью данной статьи не является детальное сравнение различных продуктов. Мы хотим обратить ваше внимание на широкий выбор SIEM-продуктов, доступных на российском рынке. Однозначного ответа на вопрос, какую систему выбрать, не существует. Наши специалисты помогут вам разобраться в этом многообразии, проанализировать потребности вашей компании и в ходе проработки проекта и уточнения технического задания, пилотного внедрения и тестирования выбрать вариант SIEM-системы, оптимально подходящий для решения задач именно вашего бизнеса как по функционалу, так и по цене.

Более детально мы сравним представленные на рынке SIEM-системы в следующий раз.

Все работы, консультации и услуги проводимые специалистами компании ПИРИТ обладают гарантией 1 год, если другое не оговорено в рамках договора. За расширенной поддержкой или полным сопровождением обращайтесь к специалистам ПИРИТ

Вводя и отправляя свои данные, я соглашаюсь с условиями пользовательского соглашения