Журнал "Information Security/ Информационная безопасность" #4, 2024

Глобальный рефакторинг и изменение большинства компонентов позволили радикально повысить мощ- ность "Платформы Радар", сделав ее одной из самых производительных SIEM- систем в России. "Платформа Радар" – это полностью российский продукт, разработка, исход- ный код и техподдержка которого располагаются в России. новка, на которой обрабаты- ваются все события крупной инфраструктуры. Оба сценария возможны и реализуемы в "Платформе Радар" благодаря новой воз- можности верхнеуровневой кор- реляции и межинстансному поиску. Верхнеуровневая корреляция позволяет отправлять любые события с определенными фильтрами в головную инстал- ляцию и настраивать правила корреляции, общие для всех инстансов. При этом, в новом просмотр- щике событий можно создавать поисковые запросы с много- уровневой агрегацией и груп- пировкой на все нижестоящие инстансы. Например, можно проверить тот или иной IP-адрес или Hash-сумму, гуляющую между дочерними структурами. Глобальный рефакторинг и изменение большинства ком- понентов позволили реализо- вать такую инсталляцию и ради- кально повысить мощность "Платформы Радар", сделав ее одной из самых производитель- ных SIEM-систем в России. Аппаратные характеристики для инсталляции в 500 тыс. EPS приведены в табл. 1. Новая графическая подсистема Разработчики провели ком- плексную модернизацию гра- фического компонента "Плат- формы Радар": были обновлены дашборды и отчетность, чтобы обеспечить более удобное пред- ставление данных для пользо- вателей и улучшить понимание состояния информационной безопасности (см. рис. 1 и 2). Улучшенная интеграция Теперь "Платформа Радар" может получать отчеты от ска- неров уязвимости, таких как MaxPatrol, RedCheck, OpenVAS, NMAP, что позволяет заказчи- кам более детально видеть свою ИТ-инфраструктуру и выстраивать процесс управле- ния уязвимостями. Предусмот- рена возможность отправки выявленных инцидентов в ГосСОПКА и в российские IRP-системы. "Из коробки" в "Платформе Радар" доступны подключения к бесплатным TI-системам и готовые правила корреляция для нахождению IoC в посту- пающих в систему событиях от источников. Лицензирование Для удобства заказчиков лицензия на "Платформу Радар" сделана бессрочной, поэтому после окончания срока техни- ческой поддержки все функции системы продолжат работать, а события не будут теряться. Лицензирование системы про- изводится по среднему входя- щему потоку событий. При этом в расчете учитываются средние показатели за неделю исполь- зования платформы, а значит события не будут отбрасываться даже при достижении пиковых значений EPS. Отдельно лицензируются модуль коллектора событий и режим мультиарендности. Сертификаты "Платформа Радар" – это пол- ностью российский продукт, разработка, исходный код и тех- поддержка которого распола- гаются в России. Система заре- гистрирована в Едином реестре отечественного ПО и сертифи- цирована ФСТЭК России по УД4. Заключение Во многих организациях SIEM является центром управления информационной безопас- ностью, и внутренняя архитек- тура систем этого класса ста- новится важным фактором, либо повышающим качество ИБ-процессов , либо, напротив, тормозящим их развитие. Зада- ча вендоров SIEM – совершен- ствовать свои решения, пони- мая эти условия. Разработчиками "Платформы Радар" проделана большая работа по учету требований со стороны российских заказчиков для улучшения функциональ- ности и удобства работы, а пол- ный рефакторинг большинства компонентов приблизил "Платформу Радар" к цели – стать наиболее высокопроиз- водительной SIEM-системой в России. l • 31 SIEM www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ "ПАНГЕО РАДАР" см. стр. 62 NM Реклама Рис. 1. Дашборды в “Платформе Радар” Рис. 2. Дашборды в “Платформе Радар”