SIEM
SIEM — система, которая собирает логи со всей инфраструктуры, приводит их к единому виду и через корреляцию превращает поток событий в инциденты ИБ.
Что такое SIEM
SIEM расшифровывается как Security Information and Event Management — управление информацией и событиями безопасности (пишут «сием», встречается опечатка «seim»). Это система, которая централизованно собирает логи со всех источников, нормализует их, коррелирует между собой и выдаёт на выходе не поток событий, а конкретные инциденты.
Название сложилось из двух более старых классов: SIM (Security Information Management — долговременное хранение и отчётность) и SEM (Security Event Management — мониторинг в реальном времени). SIEM объединяет обе задачи.
Зачем это нужно, лучше всего объясняет пример. По отдельности события выглядят безобидно:
03:14 VPN: успешный вход, ivanov, IP из Бразилии
03:15 AD: ivanov добавлен в группу Domain Admins
03:17 Файловый: ivanov скачал 4 ГБ из /finance
03:22 Прокси: исходящая передача 4 ГБ на файлообменник
Каждая строка сама по себе — штатная работа, и ни один файрвол её не остановит. Вместе за восемь минут — это компрометация учётной записи и утечка. Корреляция и есть суть SIEM: увидеть цепочку там, где отдельные системы видят только свои кусочки.
Как работает
Источники Сбор Обработка Выход
─────────────────────────────────────────────────────────────────
Серверы, ОС → агент/ → нормализация → алерты
Сеть, NGFW syslog обогащение дашборды
IDS/IPS, WAF API корреляция отчёты
БД, приложения хранение поиск для
IdP, VPN расследований
- Нормализация. Каждый источник пишет по-своему; SIEM приводит всё к общей схеме — кто, что, откуда, когда.
- Обогащение. К событию подтягивается контекст: чья это учётка, критичен ли актив, числится ли IP в фидах Threat Intelligence.
- Корреляция. Правила связывают события во времени. Здесь и рождается инцидент.
- Хранение. Долгосрочное — и для расследований, и потому что регулятор требует хранить журналы.
Ключевая метрика при выборе — EPS (events per second): сколько событий в секунду система переваривает. От неё зависят и лицензия, и объём хранилища, и железо.
Что даёт и чего стоит
Помимо обнаружения атак, SIEM закрывает требования регуляторов по регистрации событий безопасности (для ИСПДн — приказ ФСТЭК № 21) и даёт то, без чего расследование невозможно: логи, до которых не дотянулся атакующий. Первое, что делает взломщик, — чистит журналы на захваченном сервере. Отправка логов наружу в реальном времени — не удобство, а условие того, что вы вообще узнаете, что произошло.
Честно про минусы: SIEM — самая дорогая и самая часто проваливаемая покупка в ИБ. Разворачивают, подключают источники, включают дефолтные правила — получают тысячи алертов в сутки, на которые никто не смотрит. Работать система начинает только с настроенными под конкретную инфраструктуру правилами и живым SOC за ней. SIEM без аналитика — это очень дорогое хранилище логов.
Смежные классы
- SOAR — автоматизация реагирования. SIEM говорит «инцидент», SOAR по плейбуку блокирует учётку и заводит тикет.
- UEBA — поведенческая аналитика: строит профиль нормального поведения и ловит отклонения без явных правил.
- XDR — попытка собрать SIEM, EDR и сетевой анализ в один продукт одного вендора.
Продукты
Международные: Splunk, IBM QRadar, Elastic Security на базе Elasticsearch, Microsoft Sentinel. Российские: MaxPatrol SIEM, KUMA («Лаборатория Касперского»), RuSIEM, Ankey SIEM — их выбирают, когда нужен сертификат ФСТЭК и подключение к ГосСОПКА.
Бюджетный старт — Wazuh: open-source, объединяет HIDS-агенты, сбор логов, контроль целостности файлов и базовую корреляцию, разворачивается в Docker. Для небольшой инфраструктуры закрывает задачу целиком и бесплатно.
Что подготовить
- Синхронное время. Без NTP на всех узлах корреляция по времени бессмысленна, а таймлайн инцидента не построить. Это первый шаг, а не последний.
- Полноту источников.Контейнеры, Kubernetes, облачныеAPI, IdP — слепая зона обнуляет пользу от остальных.
- Диск и его планирование. Логи растут быстро; считайте объём заранее, разделяйте горячее и архивное хранение.
- Защиту самого SIEM. Он видит всю инфраструктуру и потому сам является целью номер один.
Связанные термины
- SOC — команда, которая работает с SIEM
- Инцидент ИБ — то, что SIEM производит на выходе
- IDS и IPS — один из основных источников событий
- Wazuh — open-source вариант для старта
- Информационная безопасность — общая рамка
- Уведомления и алерты — как срабатывания доходят до людей
Готовы запустить GPU-задачу?
Запустить GPU-сервер