Журнал "Information Security/ Информационная безопасность" #4, 2024

Отечественная SIEM-система с уникальной микросервисной архитектурой Вначале немного расскажу о самом продукте и его архитектуре. Как правило, схемы работы SIEM-систем строятся по схожему принципу: l сперва события собираются из источ- ников в единую платформу; l затем происходит нормализация, то есть приведение к единому виду; l далее следуют процессы обогащения, корреляции и сохранения событий в базе данных. Однако, если в большинстве решений все этапы обработки событий происходят в рамках единого монолитного компо- нента, то архитектура системы RuSIEM предполагает вынесение каждого из эта- пов в отдельный микросервис. Микросервисы представляют собой полностью самостоятельные сущности, каждой из которых можно управлять независимо от других: обновлять, пере- запускать, останавливать и возобновлять работу без необходимости перезапуска всей системы. На каждом микросервисе располага- ется собственный мастер очереди, кото- рый обеспечивает гарантированную доставку событий в систему в случаях недоступности одного или даже несколь- ких микросервисов одновременно, например, при их обслуживании или масштабировании. Если микросервис становится недо- ступен, события будут накапливаться в локальном мастере очереди. А как толь- ко микросервис вновь станет доступен, события из очереди передадутся ему на обработку, при этом очередь полностью разберётся, сохраняя весь контекст инци- дента. Благодаря этим архитектурным особенностям RuSIEM можно масшта- бировать и обслуживать "на горячую", то есть без необходимости остановки сбора событий. Что нового добавилось в 2024 году? В начале 2024 г. разработчики RuSIEM выпустили крупное обновление флаг- манского продукта, в рамках которого полностью переработали веб-интерфейс системы. Новая панель мониторинга В RuSIEM появилась новая панель мониторинга с гибко настраиваемыми виджетами (см. рис. 1). Обновился раздел "Источники", в кото- ром можно получить информацию об источниках, присылающих события в систему. Например, можно узнать, какие продукты на источнике направляют события в SIEM, и какие парсеры исполь- зуются для нормализации событий с того или иного продукта (см. рис. 2). Добавились новые метрики монито- ринга системы. Помимо отслеживания состояния каждого микросервиса, стал доступен мониторинг нагрузки на систе- му: использование RAM, заполненность дискового пространства и загрузка про- цессоров. Причем эту информацию можно получить не только для головной ноды, но и для всех подчиненных в режиме мультитенантности. Из единого окна головной ноды также можно опре- делить нагрузку на все подчиненные и при необходимости оперативно отреа- гировать на недостаток ресурсов на нодах, расположенных в филиалах пред- приятия. Корреляция Переработан раздел корреляции. Теперь при создании нового правила этапы описания логики выявления инци- дента разбиты на логические разделы (см. рис. 3.). Основные настройки инцидента В разделе "Основные настройки" можно определить ключевые парамет- 26 • СПЕЦПРОЕКТ RuSIEM в 2024 году: новый веб-интерфейс и неизменная архитектура же более 10 лет команда RuSIEM занимается созданием решений в области мониторинга и управления событиями информацион- ной безопасности и ИТ-инфраструктуры на основе анализа данных в реальном времени. В 2024 г. разработчики обновили интерфейс флагманского продукта – SIEM-системы RuSIEM. Что именно сделало нашу систему еще более понятной и простой в использовании и можно ли в ней по-прежнему создать новое правило корреляции всего за несколько минут, читайте в этой статье. У Даниил Вылегжанин, руководитель отдела предпродажной подготовки RuSIEM Рис. 1. Обновленная панель мониторинга в RuSIEM Фото: RuSIEM