Журнал "Information Security/ Информационная безопасность" #4, 2023

событий, похожие на те, с которыми они уже ранее работали, является одним из преимуществ системы. В условиях большого разнообразия систем-источников максимально эффективным сценарием будет приме- нение различных настроек по условиям и длительности хранения. Инструменты детектирования После этапа сбора и нормализации событий наступает этап их анализа, который основан на применении правил обнаружения. Обычно в SIEM-системах предоставляются наборы экспертных правил от производителей, однако эти стандартные решения не всегда являют- ся эффективными. Подготовленные пра- вила зачастую плохо учитывают уни- кальные особенности каждой органи- зации, поэтому всегда требуется раз- рабатывать собственный детектирую- щий контент. Для этого важно, чтобы в SIEM были инструменты для разра- ботки такого контента на качественно новом уровне. Актуальной тенденцией является подход к конфигурированию "как код" (as code) для всех объектов SIEM. С помощью языка программирования можно создавать правила нормализа- ции, корреляции, обогащения, работать с активными списками, совершать настройку моделей данных, конвейеров, дашбордов и интеграций. Но, используя конфигурирование as code, важно пом- нить, что язык программирования, кото- рый предлагается для использования, должен быть максимально удобным и обладать простым синтаксисом. Масштабирование Казалось бы, наличие продвинутых функций сбора, обработки и анализа событий вполне достаточно для про- дуктивной работы по управлению собы- тиями ИБ... Но бизнес не стоит на месте, он растет и развивается, а это значит, что SIEM должна развиваться и масштабироваться в ответ на его потребности. Поэтому системам такого класса с высоким уровнем зрелости необходимо поддерживать гибкие моде- ли развертывания, например облачные, гибридные или виртуализированные архитектуры, чтобы своевременно реа- гировать на запросы, не пропуская кри- тически важные угрозы. Интеграция Помимо функционала, который уже заложен в систему, важно обратить внимание на возможность интеграции SIEM с системами других классов, кото- рые наиболее часто работают в связ- ке, – SOAR, TI, UEBA. Комплексное функционирование и тесная интеграция этих технологий позволит обеспечить максимальный уровень защищенности информационной инфраструктуры орга- низации. В то время как SIEM собирает и ана- лизирует события, выявляя инциденты ИБ, SOAR использует полученные дан- ные об инциденте для принятия ответ- ных ИБ-мер и в автоматическом режиме выполняет сценарии реагирования. Использование инструментов TI обес- печивает поиск индикаторов компро- метации в потоке событий от SIEM-сиc- тем и обогащение информацией по выявляемым IOC. Взаимодействие SIEM с UEBA-систе- мами, которые при помощи инструмен- тов ИИ могут проводить более глубокую аналитику событий, обеспечивает более быстрое выявление аномалий на ранних этапах. Немного о практическом опыте В большинстве случаев SIEM-системы являются основополагающим элемен- том, вокруг которого выстраиваются процессы мониторинга и реагирования на инциденты и создаются SOC. При этом хорошей практикой современной SIEM является использование передовых методов обработки и обнаружения угроз, в том числе инструментов постоянного обогащения и актуализации данных. Обладая достаточно зрелой экспер- тизой и опытом в области построения SOC, при создании нашего продукта мы постарались учесть все текущие трудности при работе с SIEM и акцен- тировали внимание на максимальной адаптивности платформы к потребно- стям клиента. В R-Vision SIEM заложен современный функционал Log Managеment с визуаль- ным конструктором потоков обработки событии, который помогает в удобном формате выстроить после- довательность работы с входящими данными. Еще один важный мар- кер эффективности решений этого класса: гибкость работы с моделями событий. Поэтому в R-Vision SIEM была реализо- вана функция, позволяющая аналити- кам SOC самостоятельно конфигури- ровать модели событий. Кроме того, мы не ограничились пред- установленным контентом, а подгото- вили инструменты, позволяющие соз- дать полностью кастомизированный контент для учета любых угроз. Такая возможность появилась благодаря кон- фигурированию объектов по модели as сode для более полноценного анализа при разборе инцидентов. При этом функционал R-Vision SIEM позволяет применять различные настройки по условиям и длительности хранения, что особенно эффективно в ситуациях с большим разнообразием систем- источников. Чтобы своевременно реагировать на динамику развития бизнеса, необходи- мо заложить в SIEM умение масштаби- роваться и изменяться вслед за потреб- ностями организации – такая возмож- ность уже учтена в нашем решении, что позволяет своевременно, без при- остановки работы систем организовать обновление. Принимая во внимание возрастаю- щие запросы заказчиков на комплекс- ный подход к обеспечению безопас- ности, создание R-Vision SIEM стало еще одним шагом на пути развития собственной экосистемы в ходе эво- люции SOC – R-Vision EVO. В ее основе лежит использование расши- ренного спектра взаимосвязанных между собой технологий, компонентов и экспертизы R-Vision. l • 21 SIEM www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ R-VISION см. стр. 70 NM Реклама