Журнал "Information Security/ Информационная безопасность" #4, 2024

Эти условия носят объективный характер, поэтому команда разра- ботчиков SIEM-решения "Платформа Радар" про- вела детальную оценку возможностей системы на предмет соответствия им. По результатам анализа было принято решение о пере- работке значительной части компонентов платформы для улучшения ее функциональных характеристик и высокой сте- пени соответствия требованиям отечественных организаций. Рассмотрим, какие компонен- ты были улучшены, и какие новые возможности в "Плат- форму Радар" при этом доба- вились. Новый коррелятор и кластеризация Разрабочики значительно расширили возможности кор- релятора, переработав его на языке Go, дополнив возможно- сти графическим конструктором и гибкими правилами корреля- ции на языке скриптов Lua. Это позволило существенно повы- сить удобство работы, давая возможность редактировать правила как через графический интерфейс, так и непосред- ственно в коде. Внедрение кластеризации и возможность выноса избран- ных модулей на отдельные вир- туальные машины позволили коррелятору легко обрабаты- вать объемы данных в сотни тысяч событий в секунду (EPS). Но достигнув таких показате- лей, разработчики не стали останавливаться: был произве- ден дополнительный рефакто- ринг компонентов системы для дальнейшего повышения ее эффективности и масштабируе- мости. Новая база хранения событий OpenSearch На российском рынке инфор- мационной безопасности стан- дартом де-факто для организа- ции внутренней поисковой системы в продуктах долгое время оставался ElasticSearch. Однако с развитием технологий появились более современные решения. Одним из них являет- ся OpenSearch, который пред- лагает не только более эффек- тивное сжатие данных, но и значительно ускоряет работу с архивными запросами благо- даря использованию механиз- мов снапшотов памяти, что пре- восходит традиционные методы архивации. Полная переработка обработ- чика событий позволила повы- сить его производительность в семь раз, а внедрение компо- нента сжатия событий допол- нительно обеспечило более эффективную передачу данных внутри системы и их глубокое хранение, снизив нагрузку на каналы связи в пять раз. Реальная инсталляция на 500 тысяч EPS В одном из практических внедрений "Платформы Радар" заказчиком была поставлена задача обработки потока собы- тий мощностью 500 тыс. EPS. При проектировании системы рассматривались два варианта размещения серверов: несколь- ко инсталляций с отдельным администрирование каждой из них либо одна "боевая" уста- 30 • СПЕЦПРОЕКТ Расчет инсталляции и возможностей SIEM на скорости 500 тысяч EPS ажность импортозамещения решений в области информационной безопасности для предприятий критической инфраструктуры и крупного бизнеса сложно переоценить. Причем требования к функциональности и производительности, которые заказчики предъявляют к российским системам, соответствуют мировому уровню. В Вадим Порошин, директор по развитию “Пангео Радар" Фото: Пангео Радар Таблица 1. Аппаратные характеристики для инсталляции в 500 тыс. EPS, исходя из 7 дней оперативного хранения (архив рассчитывается по запросу) Количе- ство вир- туальных машин Ядер Опера- тивная памяти Гбайт Хранилище Гбайт Интер- фейс Гбит/с Балансировщик 2 8 64 2500 2,5 Обработчик 20 8 16 300 1 Управляющий сервер 1 8 24 1000 1 Коррелятор 2 16 32 300 1 Система мониторинга 1 4 16 1000 1 Агент сбора 20 8 16 500 1 Координатор данных 1 8 64 250 2,5 Сервер горячего хранения 29 16 64 2000 1 Сервер холодного хранения 1 4 64 200000 1 Сервер управления хранения 2 16 64 500 1 Сервер интеграции хранения 2 8 32 300 2,5 Итого 81 904 3048 283450