Журнал "Information Security/ Информационная безопасность" #4, 2023

Security Capsule SIEM имеет модульную архитекту- ру, что позволяет адаптиро- вать архитектуру системы к инфраструктуре и потреб- ностям заказчика. Security Capsule SIEM поставляется как в виде решения "всё в одном" для небольших инфраструктур, так и в виде модулей для развертывания в территори- ально распределенной инфраструктуре. Для кого? Применение SIEM приводит к выявлению недопустимых событий и инцидентов, способ- ствует предотвращению нега- тивных последствий и, как след- ствие, сокращению издержек, связанных с информационной безопасностью. Security Capsule SIEM также позволяет выпол- нить требования законодатель- ства Российской Федерации в области безопасности инфор- мации. Security Capsule SIEM может применяться в составе госу- дарственных информационных систем (ГИС), ИСПДн, значимых объектов КИИ, автоматизиро- ванных систем управления тех- нологическими процессами (АСУ ТП), систем обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Security Capsule SIEM имеет модульную архитектуру, что позволяет адаптировать архи- тектуру системы к инфраструк- туре и потребностям заказчика. В состав Security Capsule SIEM входят несколько модулей. 1. Модуль сбора событий осу- ществляет сбор событий от источников данных (АРМ, сер- вер, коммуникационное обору- дование, прикладное и обще- системное ПО, СЗИ от НСД). 2. Модуль нормализации осу- ществляет преобразование поступающих от источников данных из неоднородного фор- мата в структурированный. 3. Модуль корреляции выпол- няет анализ событий в режиме реального времени или ретро- спективно с целью выявления инцидентов. 4. Модуль хранения. Для хра- нения сырых и нормализован- ных событий, а также инциден- тов применяется документно- ориентированная нереляцион- ная СУБД MongoDB. Конфигу- рации и статистика хранятся в СУБД PostgreSQL. 5. Дополнительно лицензируе- мый модуль ГосСОПКА обес- печивает возможность полуавто- матической отправки уведомле- ний о зафиксированных на объ- екте информатизации компью- терных инцидентах по опреде- ленному НКЦКИ регламенту. Security Capsule SIEM постав- ляется как в виде решения "всё в одном" для небольших инфра- структур, так и в виде модулей для развертывания в террито- риально распределенной инфра- структуре. Все компоненты могут быть установлены на одном или на нескольких Linux-серверах. Возможность реализации рас- пределенной архитектуры и раз- вертывания в децентрализован- ной конфигурации является одной из основных особенно- стей архитектуры Security Cap- sule SIEM, которая позволяет эффективно обрабатывать большие объемы данных, а также обеспечивать высокую скорость реакции на угрозы. Отдельно стоит отметить под- держку в SIEM Security Capsule режима мультитенантности (Multitenancy), которая дает воз- можность изолированно предо- ставлять услуги по мониторингу информационной безопасности для пользователей из разных организаций. Опыт внедрения и эксплуатации За более чем десятилетний опыт реализации проектов по построению подсистемы регист- рации событий информацион- ной безопасности на базе Secu- rity Capsule SIEM особую популярность получила реали- зация проектов под ключ. Если, приобретая систему, заказчик не имеет возможности привлечь собственные ресурсы для раз- вертывания системы в сжатые сроки, то специалистыООО "ИТБ" в тесной кооперации с ответ- ственными специалистами на местах осуществляют работы по пусконаладке системы. Эти работы включают развертыва- ние модулей, настройку сбора событий от источников, написа- ние при необходимости правил нормализации и корреляции. Так, например, в 2022 г. спе- циалистами ООО "ИТБ" в мак- симально сжатые сроки были 22 • СПЕЦПРОЕКТ Грани SIEM. Эволюция Security Capsule SIEM а сегодняшний день Security Capsule SIEM обладает функциональными, архитектурными и потребительскими свойствами, соответствующими самым высоким требованиям по обеспечению необходимого уровня безопасности информации. В этой статье рассмотрим отдельные функции, возможности и способы применения этой системы. Особое внимание уделим уникальным функциональным возможностям Security Capsule SIEM и их соответствию не только требованиям регуляторов, но и практическим запросам заказчиков. Н А.А. Графов, С.А. Графов, В.И. Тимченко, А.А. Жорин, ООО “ИТБ” Компонент Требования Сервер сбора, (1)*Silver 4210 (2,2 GHz, 10 C), нормализации 32 GB х 1 RDIMM, 2666 MT/s, и корреляции 960 GB х 2 SSD SATA Сервер (2)*Silver 4210 (2,2 GHz, 10 C), хранения 32 GB х 1 RDIMM, 2666 MT/s Таблица. Минимальные требования к программно-техническим средствам Security Capsule SIEM при ее функционировании в ЛВС при обработке ~3000 событий в секунду