Обзор мирового и российского рынков SIEM-систем 2022

Продукты класса SIEM (Security Information and Event Management) за последние годы отлично зарекомендовали себя как инструменты предоставления всесторонней информации об активности устройств и пользователей в контролируемой сети и анализа событий по безопасности в режиме реального времени. С их помощью администраторы восстанавливают картину происходившего в сети и предотвращают развитие инцидентов до момента нанесения серьёзного ущерба. Рассмотрим, в каком состоянии находятся мировой и российский рынки SIEM-систем.

 

 

 

1. Введение
2. SIEM-системы
3. Альтернатива SIEM-системам
4. Мировой рынок SIEM
5. Российский рынок SIEM
6. Обзор отечественного рынка SIEM-систем
   
   1. 6.1. Ankey SIEM
   2. 6.2. Kaspersky Unified Monitoring and Analysis Platform
   3. 6.3. KOMRAD Enterprise SIEM
   4. 6.4. MaxPatrol SIEM
   5. 6.5. RuSIEM
   6. 6.6. «СёрчИнформ SIEM»
7. Обзор зарубежного рынка SIEM-систем
   
   1. 7.1. IBM QRadar SIEM
   2. 7.2. FortiSIEM
   3. 7.3. McAfee Enterprise Security Manager
   4. 7.4. Micro Focus ArcSight 2021.1
8. Выводы

Введение

SIEM (Security Information and Event Management) — решения, которые осуществляют мониторинг информационных систем и анализируют в режиме реального времени события по безопасности от сетевых устройств, средств защиты информации, ИТ-сервисов, инфраструктуры систем, приложений и прочих источников. SIEM предоставляются провайдерами в качестве аппаратных устройств, программного обеспечения или SaaS и применяются для сбора и обработки событий, отправки оповещений, генерации отчётов и визуализации нарушений ИБ, помогая обнаруживать инциденты.

Anti-Malware.ru посвятил изучению этой технологии и анализу производителей много лет. В середине сентября 2021 года на канале AM Live вышел эфир «Новый взгляд на SIEM-системы» с участием ведущих вендоров, представленных на российском рынке.

SIEM-системы

SIEM-системы поддерживают мониторинг событий по безопасности, обнаружение угроз (в т. ч. с помощью исторического анализа), расследование инцидентов и реагирование на них, а также выполнение требований по соответствию стандартам. Основные функции SIEM — собирать информацию о событиях из самых разных источников в центральный репозиторий, где она может обрабатываться и храниться в различных формах (например, необработанная, обогащённая, нормализованная), проводить анализ этой информации, предупреждать о потенциальных угрозах, выводить отчётность и обеспечивать поиск в исторических данных для криминалистической экспертизы и выявления угроз.

SIEM-системы обычно используются для:

• мониторинга, корреляции и анализа активности в нескольких системах и приложениях;
• обнаружения внешних и внутренних угроз;
• отслеживания действий пользователей или определённых типов пользователей, например с привилегированным доступом (как внутренних, так и третьесторонних), с доступом ко критически важным данным, таким как интеллектуальная собственность, или руководителей;
• мониторинга доступа к ресурсам сервера и базы данных;
• подтверждения соответствия требованиям и предоставления отчётов об этом;
• предоставления аналитики в целях реагирования на инциденты, поиска угроз и автоматизации действий и рабочих процессов.

SIEM собирает и анализирует данные о генерируемых сетями, устройствами, системами и приложениями событиях. Основным источником таких данных являются журналы на основе временных рядов, однако для расследования инцидентов внедряются и другие формы сведений для получения контекста по пользователям, ИТ-активам, приложениям, угрозам и уязвимостям — например, Active Directory, базы данных управления конфигурациями (CMDB), сводки по управлению уязвимостями, информация о кадрах и аналитика по угрозам.

Альтернатива SIEM-системам

Сложность и стоимость покупки и эксплуатации SIEM, а также появление новых аналитических технологий в области безопасности развивают интерес пользователей к альтернативным способам выявления атак и реагирования на них:

• Платформы сбора и анализа событий. Эти продукты могут закрывать некоторые функции SIEM и, возможно, реализовывать другие варианты использования, не связанные с безопасностью.
• Платформы для расширенного обнаружения и устранения угроз (XDR). Они представляют собой интегрированные наборы продуктов для конечных точек, сетей и облаков. Поставщики настраивают их для обеспечения автоматического обнаружения угроз и реагирования на них. Платформы XDR могут предоставлять тщательно отобранные, в основном «автоматические» возможности обнаружения и реагирования тем организациям, которые придерживаются моновендорного подхода. Есть также мнение, что по мере развития технологии XDR некоторые поставщики, такие как FireEye, Gurucul, McAfee и Securonix, начинают рассматривать своё решение SIEM как часть предложения XDR.
• Управляемые службы обнаружения и реагирования. Основное внимание здесь уделяется расследованию, проверке и предоставлению рекомендаций по локализации и исправлению происшествий, а не передаче клиенту упорядоченных предупреждений. Всё чаще поставщики готовы предлагать (а клиенты — принимать) действия направленные на сдерживание или прерывание событий в области безопасности. Обычно это достигается через конечные точки или сетевые средства управления. Такие поставщики различаются по своим способностям контролировать набор средств управления безопасностью клиента и собирать журналы для составления отчётов о соответствии требованиям.

Мировой рынок SIEM

Мировой рынок SIEM подвержен стагнации: с 2019 по 2020 годы наблюдается незначительный рост с 3,55 до 3,58 млрд долларов (аналитика Gartner). Поскольку этап широкого внедрения прошёл, потребители заинтересованы в росте аналитики и расширении числа систем — источников информации. В частности, по-прежнему высока неудовлетворённость потребителей в связи с недостаточной эффективностью обнаружения целевых атак и взломов и реагирования на них. Правильное использование аналитики по угрозам и профилей поведения может повысить эффективность обнаружения и, следовательно, удовлетворить потребителей.

Разработчики SIEM-систем продолжают улучшать возможности расследования и реагирования за счёт встроенных функций с дополнительными технологиями, такими как EDR, NDR и SOAR.

Мировой рынок SIEM характеризуется небольшим количеством поставщиков с большой клиентской базой. Ключевые производители (Splunk, Micro Focus, IBM и LogRhythm) удовлетворяют потребности 32 % пользователей, в то время как 68 % распределены между остальными игроками рынка. Появление новых интеграций и средств аналитики позволит производителям обогнать конкурентов и привлечь новых покупателей.

В этой статье будут рассмотрены следующие иностранные SIEM-системы, представленные в России:

• IBM QRadar SIEM;
• McAfee Enterprise Security Manager;
• Micro Focus ArcSight 2021.1;
• FortiSIEM (Fortinet).

Рисунок 1. Мировой рынок SIEM по версии Gartner

 

Эксперты ожидают, что спрос со стороны пользователей SIEM на услуги по внешней сервисной поддержке при развёртывании систем и по выполнению мониторинга предупреждений в режиме реального времени будет продолжать расти, поскольку всё больше клиентов сталкиваются с требованиями круглосуточного мониторинга и реализуют варианты использования, для которых нужен более широкий опыт эксплуатации SIEM. Для решения проблемы нехватки ресурсов, в том числе и кадровых, вендоры могут предложить SIEM как SaaS, что избавит пользователей от необходимости поддерживать базовую технологическую платформу.

Российский рынок SIEM

Российский рынок SIEM-систем продолжает развиваться. Недавно на него вышел новый игрок, «Лаборатория Касперского», с продуктом Kaspersky Unified Monitoring and Analysis Platform, в то время как Splunk официально его покинул. Представлены и бесплатные аналоги, но их использование усложняется необходимостью их индивидуализации и доработки под конкретного потребителя. В связи с этим в России появились вендоры, которые способны обеспечить необходимую доработку бесплатных SIEM под цели клиента, предоставить поддержку и надлежащую экспертизу.

Набирающая популярность в мире модель SIEMaaS (SIEM как услуга) пока не представлена на российском рынке, поскольку заказчики в ней не заинтересованы. Вендоры занимаются анализом этого направления, продумывают работу такой платформы и отслеживают факторы, которые могут создать потребность в ней.

За прошедшие годы наблюдается снижение доли иностранных SIEM на отечественном рынке. Это связано во многом с политикой импортозамещения и ростом популярности российских продуктов, а также с появлением новых поставщиков. Кроме того, один из крупнейших производителей SIEM в мире, как было отмечено выше, официально ушёл от нас. В связи с этим на российском рынке представлены в основном отечественные продукты:

• MaxPatrol SIEM (Positive Technologies);
• Ankey SIEM («Газинформсервис»);
• Kaspersky Unified Monitoring and Analysis Platform («Лаборатория Касперского»);
• KOMRAD Enterprise SIEM (НПО «Эшелон»);
• RuSIEM (ООО «РуСИЕМ»);
• «СёрчИнформ SIEM» («СёрчИнформ»).

Обзор отечественного рынка SIEM-систем

 

 

Ankey SIEM

Ankey SIEM — система от компании «Газинформсервис», автоматизирует определение приоритетов угроз безопасности и нарушений требований по ИБ на основе анализа и корреляции событий. В настоящий момент активно развивается ОЕМ.

Основными компонентами Ankey SIEM являются: сервер сбора событий, обеспечивающий централизованный сбор, фильтрацию, нормализацию, агрегацию, приоритизацию, обогащение (за счёт категоризации и контекста) данных из журналов регистрации от различных источников; сервер корреляции, предназначенный для выявления нарушений ИБ, анализа и обобщения сведений вкупе с управлением обработанными событиями по информационной безопасности; автоматизированное рабочее место администратора, предназначенное для работы с компонентами Ankey SIEM через графические консоли. Также в программном комплексе присутствуют дополнительные компоненты для решения задач ИБ: модули балансировки событий и сбора данных, модули выявления инцидентов, шина данных, сервер хранения, сервер аналитики.

 

Рисунок 2. Графический интерфейс Ankey SIEM. Сводка по кейсам

 

Преимущества Ankey SIEM:

• сбор, хранение и анализ событий из любого источника, в том числе АСУ ТП;
• персонализированные панели мониторинга и отчёты, в том числе о соответствии стандартам безопасности;
• интеграция c CMDB, бизнес-аналитикой, кадровыми системами и прочими сервисами.

Подробнее с информацией об Ankey SIEM можно ознакомиться на сайте производителя.

 

 

Kaspersky Unified Monitoring and Analysis Platform

Kaspersky Unified Monitoring and Analysis Platform (KUMA) — это центральный элемент единой платформы безопасности от «Лаборатории Касперского», который взаимодействует как с решениями самого вендора, так и с разработками сторонних поставщиков. Решение имеет встроенные сценарии автореагирования на выявленные события по безопасности и благодаря модулю ГосСОПКА полностью интегрировано с технической инфраструктурой Национального координационного центра по компьютерным инцидентам (НКЦКИ), помогая обеспечить соответствие законодательству РФ в сфере защиты объектов критической информационной инфраструктуры, в частности требованиям 187-ФЗ и приказа ФСТЭК России № 239.

С появлением новых версий решений KATA / KEDR 4.0 с KUMA можно автоматически реагировать на события следующим образом: создавать задания изоляции и снимать изоляцию с хоста, формировать правила блокировки на хосте или всех хостах сразу по хеш-сумме MD5 и SHA256, создавать задачи запуска произвольного файла на хосте.

 

Рисунок 3. Графический интерфейс Kaspersky Unified Monitoring and Analysis Platform. Панель мониторинга

 

Преимущества KUMA:

• обеспечение централизованного рабочего пространства специалиста-аналитика для выявления угроз, анализа и реагирования на них за счёт интеграций с продуктами «Лаборатории Касперского» и сторонних производителей (VM-сканеры, SOAR-системы), что позволяет реализовать концепцию XDR;
• использование высокопроизводительной, горизонтально масштабируемой и поддерживающей при этом компрессию данных БД ClickHouse;
• поддержка мультиарендности для поставщиков услуг безопасности и крупных предприятий;
• производительность свыше 300 тысяч событий в секунду (EPS) на один узел системы (корреляторы, базы данных и т. д.);
• интеграция с платформой Kaspersky CyberTrace для агрегации и управления потоками данных об угрозах, а также с Kaspersky Security Center для автоматической инвентаризации активов.

Подробнее с информацией о KUMA можно ознакомиться на сайте производителя и в нашем сертификационном обзоре.

 

 

KOMRAD Enterprise SIEM

KOMRAD Enterprise SIEM позволяет осуществлять централизованный сбор событий по ИБ, выявлять инциденты и оперативно на них реагировать. Применение комплекса позволяет выполнять требования регуляторов к защите персональных данных, к обеспечению безопасности государственных информационных систем и контролю критической информационной инфраструктуры. На KOMRAD Enterprise SIEM выдан сертификат ФСТЭК России № 3498, подтверждающий соответствие требованиям регулятора по 4-му уровню доверия.

KOMRAD Enterprise SIEM поддерживает как установку на один сервер (all-in-one), так и распределённое развёртывание. Взаимодействие с источниками событий возможно по протоколам Syslog, SNMP, SQL, FTP, SFTP, SSH, xFlow. Для Windows разработан специальный WMI-агент. События в форматах CEF, RFC 5424, RFC 3164, EVTX нормализуются автоматически, на случай нестандартного формата предусмотрен механизм разбора с помощью регулярных выражений (RE2). Правила фильтрации и директивы корреляции создаются с помощью удобного визуального конструктора. В качестве СУБД для хранения событий по информационной безопасности используется ClickHouse.

 

Рисунок 4. Графический интерфейс KOMRAD Enterprise SIEM. Визуализация событий

 

Преимущества KOMRAD Enterprise SIEM:

• высокая производительность при минимальных требованиях к аппаратному обеспечению, возможность распределённой установки и масштабирования;
• интеграция со всеми отечественными СЗИ, интеграция API ГосСОПКА «из коробки», передача инцидентов в формате CEF в другие системы;
• визуальный графический интерфейс для создания фильтров и правил корреляции;
• управление инцидентами;
• обучение специалистов на базе собственного учебного центра.

Подробнее с информацией о KOMRAD Enterprise SIEM можно ознакомиться на сайте производителя.

 

 

MaxPatrol SIEM

Осенью 2021 года MaxPatrol SIEM вошёл в топ-20 мировых SIEM-систем, показав годовой прирост в 85 %. Вендор оценивает его долю на отечественном рынке как превышающую 40 %. Продукт внедрён в более чем 250 промышленных, транспортных, финансовых компаниях, частных и государственных, в органах власти; обеспечивает соответствие требованиям законов № 152-ФЗ, 161-ФЗ, 187-ФЗ, приказов ФСТЭК № 21, 17 и 31, СТО БР ИББС, РС БР ИББС-2.5-2014, ГОСТ Р 57580.1-2017, международного стандарта PCI DSS. Продукт сертифицирован ФСТЭК и Минобороны России, а также в системе сертификации Республики Беларусь и Республики Казахстан; входит в реестр отечественного ПО.

В последней версии продукта 6.2, выпущенной летом 2021 года, скорость обработки данных достигает 60 000 EP. Возможности новой версии особенно актуальны для организаций с крупной территориально распределённой инфраструктурой, поскольку 6.2 позволяет оперативно проводить расследования по всем инсталляциям и распределять этапы сбора событий и их последующую обработку между несколькими системами MaxPatrol SIEM. База знаний PT Knowledge Base, применяемая в MaxPatrol SIEM, регулярно пополняется пакетами экспертизы благодаря работе специалистов PT Expert Security Center и R&D-подразделений Positive Technologies, исследующих новые угрозы и способы их выявления. Пакеты содержат новые правила корреляции, обновления параметров сбора и обработки событий по ИБ, рекомендации по реагированию и репутационные списки. На январь 2022 года в продукт было загружено более 30 пакетов экспертизы.

 

Рисунок 5. Графический интерфейс MaxPatrol SIEM. Стартовая страница

 

Преимущества MaxPatrol SIEM:

• регулярное получение экспертизы от ведущих специалистов Positive Technologies, которые постоянно расследуют сложные атаки, изучают новые методы взлома компаний, следят за деятельностью хакерских группировок и на основе этого создают способы выявления самых актуальных угроз;
• технология управления активами (Security Asset Management), которая собирает подробные данные о каждом IT-активе;
• с каждым релизом продукт становится проще, чтобы развернуть MaxPatrol SIEM, работать с ним и выявлять угрозы мог даже новичок;
• сбор сведений с более чем 300 систем, в том числе популярных комплексов от российских вендоров — «1С», InfoWatch, «Код Безопасности». Подключение любых других бизнес-систем, в том числе специфических и самописных, бесплатно.

Подробнее с информацией о MaxPatrol SIEM можно ознакомиться на сайте производителя.

 

 

RuSIEM

Компания RuSIEM за последний год показала рост доли на рынке практически во всех отраслях. В новой версии SIEM-системы RuSIEM, вышедшей в 2021 году, была расширена функциональность, проведена оптимизация ресурсов, добавлены полноценные функции подгрузки индикаторов компрометации (IoC). Разработчик добавил возможность актуализировать информацию об активах компаний в удобном интерфейсе и коррелировать их с уязвимостями. Также реализована возможность писать и выполнять автоматизированные скрипты, создавать разветвлённые структуры реагирования на инциденты. Продукт обеспечивает соответствие требованиям законов № 152-ФЗ, 161-ФЗ, 187-ФЗ, приказов ФСБ России № 282, ФСТЭК России № 17, 21, 31, 239, приказа ФСБ России и ФСТЭК России № 416/489, СТО БР ИББС, РС БР ИББС-2.5-2014, ГОСТ Р 57580.1-2017, международного стандарта PCI DSS.

Благодаря комплексному подходу к управлению информационной безопасностью и возможности значительно автоматизировать процессы RuSIEM может использоваться как ядро SOC-центра. Система дополнена модулем НКЦКИ, что даёт полноценную интеграцию с ГосСОПКА в части обмена информацией. Система перешла на удобную, актуализируемую онлайн-документацию в формате Wiki. RuSIEM поддерживает выгрузку событий во внешнее сетевое хранилище с возможностью быстрого подключения к системе. EDR в рамках агента RuSIEM предназначен для выявления угроз на рабочих станциях (с поддержкой MITRE ATT&CK). Разработан модуль для построения мультиарендной иерархической структуры.

 

Рисунок 6. Графический интерфейс RuSIEM. Правила корреляции

 

Преимущества RuSIEM:

• гибкие корреляционные правила позволяют описать любой сложный кейс, а применение современных аналитических подходов без облачных сервисов, на стороне заказчика, позволяет обнаруживать угрозы и аномалии даже без созданных для этих случаев правил корреляции;
• универсальные коннекторы позволяют подключать новые источники в кратчайшие сроки, а модульные варианты развёртывания — применять систему даже с минимальным бюджетом;
• безлимитное горизонтальное и вертикальное масштабирование, управляемая пользователем критическая значимость событий и аналитика;
• встроенный инцидент-менеджмент, в т. ч. постановка задач, ограничение видимости и эскалация инцидентов;
• подтверждение достоверности прихода всех событий без потерь (100 %) вне зависимости от протокола передачи.

Подробнее с информацией о SIEM-системе RuSIEM можно ознакомиться на сайте производителя.

 

 

«СёрчИнформ SIEM»

SIEM-система российской компании «СёрчИнформ», резидента Сколково. Первый релиз вышел в ноябре 2016 года. Система осуществляет сбор логов из различных программных и аппаратных источников и позволяет работать с ними в рамках единого интерфейса. Сервер SIEM обеспечивает обработку, корреляцию событий и реагирование на них. В системе предустановлено более 300 готовых правил корреляции, которые охватывают события изо всех подключённых источников. Для сопоставления большего числа событий при разных условиях реализован графический конструктор правил кросс-корреляции, так что для их настройки не требуется написания алгоритмов на языке программирования.

«СёрчИнформ SIEM» соответствует требованиям приказов ФСТЭК России № 31, № 17, № 21 и № 27, интегрирована с ГосСОПКА, что позволяет удобно направлять отчётность по инцидентам в НКЦКИ во исполнение федерального закона № 187-ФЗ «О критической информационной инфраструктуре».

 

Рисунок 7. Графический интерфейс «СёрчИнформ SIEM». Вкладка «Инциденты»

 

Преимущества «СёрчИнформ SIEM»:

• простота внедрения, детектирование ряда угроз и инцидентов «из коробки»;
• подходит для внедрения на предприятиях малого и среднего бизнеса, благодаря графическим элементам управления не требует высокого уровня квалификации;
• интеграция с DLP-системой «СёрчИнформ КИБ»;
• лицензирование осуществляется по узлам, с которых происходит сбор данных.

Подробнее с информацией о «СёрчИнформ SIEM» можно ознакомиться на сайте производителя и в нашем сертификационном обзоре.

Обзор зарубежного рынка SIEM-систем

 

 

IBM QRadar SIEM

Пожалуй, на данный момент разработка IBM является самым крупным представителем зарубежных SIEM на российском рынке. QRadar SIEM лежит в основе платформы IBM QRadar Security Intelligence Platform, предоставляющей практическую информацию об угрозах и позволяющей принимать эффективные и своевременные решения по сортировке событий и реагированию.

IBM QRadar SIEM предназначена для автоматического анализа и сопоставления событий из разрозненных источников данных, включая журналы, сетевые потоки, активность пользователей, информацию об уязвимостях и аналитику по угрозам для выявления известных и неизвестных проблем безопасности. Продукт доступен как для локальных сред, так и для облачных.

 

Рисунок 8. Графический интерфейс IBM QRadar SIEM. Зарегистрированные нарушения

 

Преимущества IBM QRadar SIEM:

• обеспечивает наглядный анализ локальных и облачных ресурсов с учётом контекста по принципу «нулевого доверия»;
• осуществляет всесторонний анализ данных о сети, конечных точках, ресурсах, пользователях, рисках и угрозах для точной идентификации известных и неизвестных угроз;
• идентифицирует и отслеживает взаимосвязанные операции по всей цепочке атаки;
• поддерживает подключение дополнительных источников данных об угрозах с помощью STIX / TAXII, интегрируется с более чем 450 решениями, API и SDK;
• поставляется в форме устройства, программного комплекса или виртуальной машины для локальных сред или IaaS.

Подробнее с информацией о IBM QRadar SIEM можно ознакомиться на сайте производителя.

 

 

FortiSIEM

FortiSIEM компании Fortinet позиционируется как SIEM-система следующего поколения. FortiSIEM принимает и анализирует данные от различных источников информации, включая журналы, показатели производительности, предупреждения системы безопасности и изменения конфигураций. 

FortiSIEM поддерживает функцию анализа поведения пользователей и сущностей (UEBA), использующую машинное обучение и методы статистических вероятностей для формирования базы привычного поведения. Поиск аномального поведения осуществляется в режиме реального времени. Дополнительно применяются телеметрические данные (журналы серверов и приложений, облачных API, логи конечных точек, трафик устройств) для создания комплексных профилей пользователей, терминалов, приложений и одноранговых групп.

FortiSIEM поставляется в различных формфакторах: аппаратные платформы, виртуальные машины и облачные решения.

 

Рисунок 9. Графический интерфейс FortiSIEM. Панель инцидентов

 

Преимущества FortiSIEM:

• быстрое масштабирование, в том числе за счёт добавления новых виртуальных машин;
• поддержка мультиарендности, что весьма актуально для поставщиков услуг по управлению безопасностью (MSSP);
• интеграция с продуктами компании Fortinet и других вендоров;
• предоставление единой панели мониторинга и администрирования;
• «из коробки» доступны готовые спроектированные анализаторы, панели мониторинга, система создания отчётов.

Подробнее с информацией о FortiSIEM можно ознакомиться на сайте производителя и в нашем сертификационном обзоре.

 

 

McAfee Enterprise Security Manager

McAfee Enterprise Security Manager (ESM), решение SIEM от вендора McAfee Enterprise, который недавно анонсировал ребрендинг под новым именем Trellix, обеспечивает высокий уровень быстродействия и скорости принятия решений и конкретных мер реагирования. Решение даёт возможность быстро приоритизировать, проанализировать и устранить выявленные угрозы, а также упрощает соответствие нормативно-правовым требованиям. Система отслеживает и проверяет данные из разнородной инфраструктуры безопасности и обеспечивает двустороннюю интеграцию с системами защиты благодаря открытым протоколам. Кроме того, она позволяет автоматизировать большое количество мер реагирования.

McAfee Enterprise Security Manager поставляется в формате физического или виртуального устройства. Три основных компонента (ESM, Event Receiver и Enterprise Log Manager) могут быть развёрнуты вместе как единое комбинированное устройство или отдельно для распределённых или крупномасштабных сред, где могут сочетаться как аппаратные, так и виртуальные компоненты. Ряд дополнительных компонентов позволяет значительно расширить функциональность системы — для работы с «сырыми» логами, для применения расширенных режимов корреляции (в том числе по рискам или в ретроспективном режиме) либо для работы с промышленными системами управления (ICS) и устройствами диспетчерского управления и сбора данных (SCADA).

 

Рисунок 10. Графический интерфейс McAfee Enterprise Security Manager. Панель мониторинга

 

Преимущества McAfee Enterprise Security Manager:

• преднастроенные и легко редактируемые информационные панели, журналы аудита и отчёты для глобальных нормативных требований и фреймворков безопасности;
• встроенный в систему маркетплейс дополнительного контента (панели управления, уведомления, переменные, отчёты, правила корреляции и списки наблюдения), предназначенного для реализации самых разнообразных сценариев и задач;
• возможность обогащать события контекстной информацией (сведения из службы каталогов, потоки данных (фиды) репутации или индикаторов компрометации / сведений об угрозах, а также информация из систем управления идентификацией и доступом);
• сбор и сопоставление информации о подозрительных или подтверждённых угрозах с данными о событиях практически в реальном времени или ретроспективно.

Подробнее с информацией о McAfee Enterprise Security Manager можно ознакомиться на сайте производителя.

 

 

Micro Focus ArcSight 2021.1

Комплексная платформа управления ИБ ArcSight 2021.1 включает в себя одноимённую SIEM от компании Micro Focus. Разработчик намеренно отошёл от развития отдельных продуктов, включив их в общую платформу и продвигая на рынке именно её. В связи с этим ArcSight 2021.1 имеет более широкую функциональность, нежели классические SIEM-системы. Часть модулей поставляется бесплатно, часть требует лицензирования.

 

Рисунок 11. Графический интерфейс ArcSight 2021.1. Модуль SOAR

 

Преимущества ArcSight 2021.1:

• контейнерная архитектура;
• модуль управления инцидентами (SOAR) интегрирован в платформу, обеспечивая двустороннюю связь с другими модулями;
• модуль Recon позволяет строить исторические выборки и отчёты по логам, показывая заметное преимущество в скорости перед использованием классического логера (Logger);
• платформа может поставляться в виде облачного сервиса;
• предоставляются коннекторы для связи с облачными ресурсами Microsoft Azure, Amazon, Google Cloud.

Подробнее с информацией об ArcSight 2021.1 можно ознакомиться на сайте производителя и в нашем сертификационном обзоре.

Выводы

Как показало время, потребители заинтересованы в развитии SIEM-систем в России и в мире, на рынке происходит ротация игроков и появляются новые вендоры. Выбор SIEM под нужды конкретного пользователя и последующее внедрение и эксплуатация — сложная и порой дорогостоящая задача. В связи с этим в мире набирают популярность SIEMaaS и альтернативные решения для классических SIEM-систем. Ожидаем, что SIEMaaS появятся и в России в ближайшее время.

Мы рассмотрели популярные в России на данный момент SIEM-системы. Как видно, отечественные решения стали преобладать над зарубежными, что свидетельствует о высоком доверии потребителей к российским вендорам, широкой функциональности представленных решений и оптимальном соотношении «цена — качество». Продолжается движение по курсу на импортозамещение, активно используется подключение к ГосСОПКА и НКЦКИ, что положительно влияет на уровень информационной безопасности страны в целом.