Security

SIEM

SIEM — система, которая собирает логи со всей инфраструктуры, приводит их к единому виду и через корреляцию превращает поток событий в инциденты ИБ.

Что такое SIEM

SIEM расшифровывается как Security Information and Event Management — управление информацией и событиями безопасности (пишут «сием», встречается опечатка «seim»). Это система, которая централизованно собирает логи со всех источников, нормализует их, коррелирует между собой и выдаёт на выходе не поток событий, а конкретные инциденты.

Название сложилось из двух более старых классов: SIM (Security Information Management — долговременное хранение и отчётность) и SEM (Security Event Management — мониторинг в реальном времени). SIEM объединяет обе задачи.

Зачем это нужно, лучше всего объясняет пример. По отдельности события выглядят безобидно:

03:14  VPN:      успешный вход, ivanov, IP из Бразилии
03:15  AD:       ivanov добавлен в группу Domain Admins
03:17  Файловый: ivanov скачал 4 ГБ из /finance
03:22  Прокси:   исходящая передача 4 ГБ на файлообменник

Каждая строка сама по себе — штатная работа, и ни один файрвол её не остановит. Вместе за восемь минут — это компрометация учётной записи и утечка. Корреляция и есть суть SIEM: увидеть цепочку там, где отдельные системы видят только свои кусочки.

Как работает

Источники          Сбор          Обработка              Выход
─────────────────────────────────────────────────────────────────
Серверы, ОС    →  агент/     →  нормализация      →  алерты
Сеть, NGFW        syslog        обогащение           дашборды
IDS/IPS, WAF      API          корреляция           отчёты
БД, приложения                 хранение             поиск для
IdP, VPN                                            расследований
  • Нормализация. Каждый источник пишет по-своему; SIEM приводит всё к общей схеме — кто, что, откуда, когда.
  • Обогащение. К событию подтягивается контекст: чья это учётка, критичен ли актив, числится ли IP в фидах Threat Intelligence.
  • Корреляция. Правила связывают события во времени. Здесь и рождается инцидент.
  • Хранение. Долгосрочное — и для расследований, и потому что регулятор требует хранить журналы.

Ключевая метрика при выборе — EPS (events per second): сколько событий в секунду система переваривает. От неё зависят и лицензия, и объём хранилища, и железо.

Что даёт и чего стоит

Помимо обнаружения атак, SIEM закрывает требования регуляторов по регистрации событий безопасности (для ИСПДн — приказ ФСТЭК № 21) и даёт то, без чего расследование невозможно: логи, до которых не дотянулся атакующий. Первое, что делает взломщик, — чистит журналы на захваченном сервере. Отправка логов наружу в реальном времени — не удобство, а условие того, что вы вообще узнаете, что произошло.

Честно про минусы: SIEM — самая дорогая и самая часто проваливаемая покупка в ИБ. Разворачивают, подключают источники, включают дефолтные правила — получают тысячи алертов в сутки, на которые никто не смотрит. Работать система начинает только с настроенными под конкретную инфраструктуру правилами и живым SOC за ней. SIEM без аналитика — это очень дорогое хранилище логов.

Смежные классы

  • SOAR — автоматизация реагирования. SIEM говорит «инцидент», SOAR по плейбуку блокирует учётку и заводит тикет.
  • UEBA — поведенческая аналитика: строит профиль нормального поведения и ловит отклонения без явных правил.
  • XDR — попытка собрать SIEM, EDR и сетевой анализ в один продукт одного вендора.

Продукты

Международные: Splunk, IBM QRadar, Elastic Security на базе Elasticsearch, Microsoft Sentinel. Российские: MaxPatrol SIEM, KUMA («Лаборатория Касперского»), RuSIEM, Ankey SIEM — их выбирают, когда нужен сертификат ФСТЭК и подключение к ГосСОПКА.

Бюджетный старт — Wazuh: open-source, объединяет HIDS-агенты, сбор логов, контроль целостности файлов и базовую корреляцию, разворачивается в Docker. Для небольшой инфраструктуры закрывает задачу целиком и бесплатно.

Что подготовить

  • Синхронное время. Без NTP на всех узлах корреляция по времени бессмысленна, а таймлайн инцидента не построить. Это первый шаг, а не последний.
  • Полноту источников.Контейнеры, Kubernetes, облачныеAPI, IdP — слепая зона обнуляет пользу от остальных.
  • Диск и его планирование. Логи растут быстро; считайте объём заранее, разделяйте горячее и архивное хранение.
  • Защиту самого SIEM. Он видит всю инфраструктуру и потому сам является целью номер один.

Связанные термины

Готовы запустить GPU-задачу?

Запустить GPU-сервер