Журнал "Information Security/ Информационная безопасность" #4, 2024

Работа с SIEM-системой начинается с ее развертывания. В нашем случае про- дукт устанавливается менее чем за пять минут на один сервер с ОС Astra Linux 1.7/1.8, РЕД ОС 8 или ОС Альт 10 СП. SIEM обрабатывает события из мно- жества источников. В KOMRAD Enterprise SIEM легко подключить любой источник самым оптимальным способом. Сбор событий возможен без агентов как в пассивном режиме (Syslog, NetFlow, sFlow, SNMP, HTTP), так и в активном (SQL, SNMP, SSH, HTTP). Дополнительно имеются агенты для Windows (wmi) и Linux (eBPF, Auditd). Таким образом, практически любые ОС, СЗИ и сетевое оборудование могут стать объектами мониторинга за считанные минуты. Поступающие события необходимо привести к нормализованному виду, чтобы можно было формировать уни- фицированные правила фильтрации и корреляции. Коллекторы KOMRAD Enter- prise SIEM 4.5 автоматически разберут события, если они приходят в формате Syslog CEF/RFC5424/RFC3164, а для других форматов есть механизм встроен- ных плагинов-коннекторов (например, Auditd, Suricata, Zeek) и возможность создать свой плагин, используя такие открытые технологии как регулярные выражения, GROK, CEL, JSONPath и т.п. В продукт встроены эвристические анализаторы, позволяющие отладить правила нормализации на примере собы- тия прямо в интерфейсе. Таким образом, KOMRAD Enterprise SIEM 4.5 работает с событиями из любого источника. Правила фильтрации и нормализации создаются с помощью графического конструктора, который превращает логи- ческие выражения в код на Luа (фильт- ры) или Yaml-файл (директивы корреля- ции). Lua был выбран из-за его простоты и широкого распространения в сфере кибербезопасности, он используется в Nmap, Suricata, Wireshark и др. Применение открытых технологий поз- воляет упростить погружение в продукт новых членов команды. Пакеты экспер- тизы (плагины, фильтры, директивы кор- реляции) доступны как от центра кибер- безопасности ГК "Эшелон", так и от наших партнеров, а также их можно легко создавать самостоятельно. Отличительной особенностью KOM- RAD Enterprise SIEM 4.5 стала возмож- ность импорта открытых правил SIGMA, которых уже более 5 тыс. Созданные фильтры можно использовать как для отбора событий для корреляции, так и в режиме ретроспективного поиска угроз. Срабатывание директив корреляции ведет к формированию карточки инци- дента, которая при необходимости может быть отправлена в ГосСОПКА. Реали- зована возможность привязки к сраба- тыванию правила выполнение скрипта на Python или bash, что обеспечивает базовую автоматизацию реагирования. Аналитические возможности KOMRAD Enterprise SIEM 4.5 расширены благодаря переработанной системе настраиваемых виджетов (см. рис.), а также включению в состав модуля Grafana, который визуа- лизирует данные в любом разрезе. Простота развертывания и использо- вание общепринятых стандартных тех- нологий сделало SIEM доступной для специалистов, имеющих даже базовый ИТ-бэкграунд 2 . Что касается доступности применения SIEM в части необходимого железа, то на текущий момент у KOMRAD Enterprise SIEM нет равных. Благодаря тому, что система изначально разрабатывалась для ОС Linux и использует самую послед- нюю версию СУБД ClickHouse, на обра- ботку 1000 событий в секунду с исполь- зованием 100 потоковых фильтров затрачивается 1 Гбайт RAM и 1 ядро СPU. Таким образом, KOMRAD Enterprise SIEM разворачивается и настраивается с минимальными затратами, а благодаря доступным пакетам экспертиз практи- чески сразу обеспечивает прозрачность инфраструктуры. Выполнить требования по обеспечению безопасности ГИС, ИСПДн, КИИ в текущей обстановке стало еще проще для компании любого масштаба, а время тяжеловесных SIEM, требующих дорогостоящего железа и постоянного общения с вендором, без- возвратно уходит. l 34 • СПЕЦПРОЕКТ SIEM – сложно и дорого? Уже нет! ббревиатуре SIEM около 20 лет и за это время технология явно созрела 1 . На российском рынке представлены SIEM на любой вкус, но многие все еще думают, что данный класс решений суще- ствует исключительно для компаний, имеющих серьезные бюджеты и большую команду ИБ-специалистов. В статье мы опровергнем распространенный миф и разберем ключевые преимущества готовя- щейся к выходу новой версии KOMRAD Enterprise SIEM 4.5. A Александр Дорофеев, ССК, CISSP, CISA, CISM, АО “Эшелон Технологии” Фото: АО "НПО "Эшелон" 1 Марков А., Фадин А. Конвергенция средств защиты информации // Защита информации. Инсайд. – 2013. – № 4 (52). – С.80-81 2 Дорофеев А.В., Марков А.С. Применение отечественных технологий для мониторинга информационной безопасности в условиях импортоза- мещения // Защита информации. Инсайд. – 2023. – № 3 (111). – С.20-26. На правах рекламы