Журнал "Information Security/ Информационная безопасность" #4, 2023

В новом корреляторе в "Платформе Радар" прави- ла можно создавать в гра- фическом конструкторе или сразу на языке Lua. В новой версии "Плат- формы Радар" много внима- ния было уделено повыше- нию производительности. Понимая важность импортозамещения для предприятий критиче- ской инфраструктуры и крупного бизнеса, кри- тически оценив возмож- ности "Платформы Радар", мы решительно приступили к рефакторингу некоторых ком- понентов системы. Гибкие правила корреляции Правила корреляции играют фундаментальную роль в работе SIEM. Они представляют собой набор логических условий и шаблонов, которые позволяют SIEM анализировать и сопостав- лять данные разнообразных событий из множества источни- ков информации. Главная цель правил корреляции – выявление скрытых угроз, которые могли бы остаться незамеченными при обычном мониторинге. Правила корреляции позво- ляют SIEM определять необыч- ную или подозрительную после- довательность событий, которая может указывать на реализую- щиеся в настоящий момент кибератаки, внутренние инци- денты безопасности или другие потенциальные проблемы. Они помогают сводить данные в логически связанные сценарии и оповещать администраторов о нештатных ситуациях, ускоряя реакцию на угрозы. "Платформа Радар" – это современное решение класса SIEM, поэтому кроме большого количества правил корреляции, доступных из коробки, пользо- ватели могут создавать собст- венные правила корреляции. Читатели, знакомые с "Плат- формой Радар", помнят, что правила корреляции в нашей системе пишутся на языке Pyt- hon. Этот же язык был исполь- зован при создании коррелято- ра. Многие рассматривали это как преимущество: гибкость Pyt- hon позволяет реализовать практически любое правило. Но SIEM-системы с их слож- ными алгоритмами и многочис- ленными источниками данных могут быть довольно трудными в настройке и поддержке. В этом контексте подход Low-Code, предусматривающий управле- ние сложной логикой при мини- мальной необходимости писать программный код, позволяет существенно упростить и уско- рить процесс создания и настройки правил корреляции. В новом корреляторе в "Плат- форме Радар" правила можно создавать в графическом кон- структоре или сразу на языке Lua, более интуитивном и понят- ном конечному пользователю в сравнении с Python. Lua менее требователен к синтаксису, что делает код более читаемым, а процесс освоения – более простым и быстрым. К тому же Lua наверняка давно знаком многим благодаря его широкому рас- пространению в качестве встраиваемого языка в некото- рых ИБ-системах, например Nginx. С помощью графического конструктора специалисты по безопасности и аналитики могут оперативно создавать и моди- фицировать правила без глу- боких знаний программирова- ния. Это увеличивает доступ- ность SIEM-технологии для широкого круга сотрудников, снижая зависимость от узко- специализированных разработ- чиков. Правила, создаваемые в графическом конструкторе, система переводит в код на языке Lua. Это добавляет про- цессу создания правил гибко- сти, поскольку редактировать такие правила можно не только в конструкторе, но и непосред- ственно в коде. Более того, графический кон- структор позволяет проводить более гибкое тестирование и адаптацию правил корреля- ций, что важно для оперативной реакции на новые угрозы и изменения в инфраструктуре. Это сокращает временные и ресурсные затраты на обслу- живание SIEM и повышает ее эффективность в обеспечении информационной безопасности организации. Радикальное повышение производительности Скорость работы системы SIEM имеет критическое значе- ние для успешного обеспечения безопасности в организации. Высокая производительность позволяет быстро обнаруживать и реагировать на потенциаль- ные угрозы, минимизируя вре- менные задержки между собы- тием и его анализом. В новой версии "Платформы Радар" много внимания было уделено повышению произво- дительности. Важнейшая из особенностей нового коррелятора – его спо- собность обрабатывать огром- 18 • СПЕЦПРОЕКТ SIEM "Платформа Радар": 600 000 событий в секунду с новым коррелятором ход из России крупных западных производителей ПО вынуждает искать достойную замену среди российских решений. Рынок SIEM не стал исключением. Заказчики, широко использовавшие решения западных вендоров, в большинстве имеют крупную распределенную инфраструктуру. У многих из них количество событий, поступающих в обработку, исчисляется многими десятками тысяч в секунду, зачастую превышая показатель в 300 тыс. EPS. У Вадим Порошин, руководитель отдела поддержки продаж Пангео Радар