Журнал "Information Security/ Информационная безопасность" #4, 2025

SIEM-система должна обладать понятной системой лицензирования, чтобы заказчики могли оптимизи- ровать бюджеты на защиту инфраструктуры. "СёрчИнформ SIEM" лицен- зируется по хостам, поэтому сразу будет понятно, в какую сумму обойдется внедрение решения. "СёрчИнформ SIEM" бесплатно доступна в полном функционале на 30 дней Размер "коробки" Многие вендоры предлагают едва ли не сотни коннекторов и правил к ним в своих системах. На практике это разнообразие нужно не всегда, особенно небольшим компаниям, но такая экспертиза вендора стоит денег. Оптимально выбрать решение, которое поддерживает нужную "базу": ОС, оборудование, биз- нес- и защитное ПО, которые реально используются в компа- нии."СёрчИнформ SIEM" постав- ляется с персонализированны- ми коннекторами к типовому оборудованию и ПО, наиболее популярному у среднего заказ- чика. Если их не хватит, есть универсальные коннекторы под сетевые протоколы и стандар- ты – по ним можно подключить большинство других источни- ков. А для самых сложных слу- чаев, например самописного ПО или выборочной вычитки данных, есть возможность соз- дать кастомный коннектор по шаблону на PowerShell или под- ключить систему прямо к БД источника. Таким образом, заказчик получает все инстру- менты, чтобы укомплектовать систему под себя, и не платит за то, чем не будет пользо- ваться. Стоимость владения и лицензирование SIEM-система должна обла- дать понятной системой лицен- зирования, чтобы заказчики могли оптимизировать бюджеты на защиту инфраструктуры. "СёрчИнформ SIEM" лицензи- руется по хостам, поэтому сразу будет понятно, в какую сумму обойдется внедрение решения. Это безопаснее, чем высчиты- вать EPS (пиковые объемы тра- фика), а потом потерять данные или "попасть" на серьезную доплату, если лимит будет пре- вышен. Дополнительно стоит обра- тить внимание на архитектуру решения и требуемые под него оборудование и ПО. Компакт- ная система не потребует боль- шого количества серверов и СХД – разве что широкий сете- вой канал. А если вдобавок она работает на опенсорсных серверных ОС и СУБД, то это снизит сопутствующие расхо- ды. "СёрчИнформ SIEM" для этого адаптирована: при жела- нии ее можно развернуть на бесплатных Ubuntu и Post- greSQL. Простота эксплуатации Вряд ли все нужные правила поиска инцидентов удастся настроить с первого включения. Особенно это касается кросс- корреляции: часто взаимосвязи событий из разных источников вскрываются по следам рас- следования и добавляются в правила, чтобы впредь заме- тить угрозу на подходе. Поэтому стоит оценить, как устроен про- цесс доработки правил: при- дется ли писать алгоритмы вручную, запрашивать их у вен- дора или интегратора. В идеале это должно быть реализовано просто, чтобы оператор SIEM справился быстро и без посто- ронней помощи. Например, в "СёрчИнформ SIEM" правила кросс-корреляции задаются в графическом конструкторе, где все необходимые парамет- ры сопоставления можно выбрать из меню. Дополнительные возможности Почти все SIEM сегодня шаг- нули за рамки прямых задач своего класса и, помимо мони- торинга событий ИБ, предла- гают глубокое расследование, прогнозирование, реагирование на инциденты. Но как альтерна- тивы не заменяют SIEM, так и SIEM не справится с "не своими" задачами лучше профильных продуктов. Поэтому не стоит ожидать, что SIEM с функциями условного IRP позволит компа- нии получить два полноценных ИБ-инструмента в одном. Зато обойдется дороже. Впрочем, SIEM может каче- ственно выполнять некоторые задачи смежных классов, когда это вписывается в логику ее работы. Например, сканер сети в "СёрчИнформ SIEM" во время мониторинга инфраструктуры заодно проверяет хосты на уязвимости по девяти БДУ. Такое совмещение удобно, но не требует дополнительных затрат ни от вендора (на разра- ботку нетипичного функциона- ла), ни от заказчика при внед- рении. Вывод Качественная защита от ИБ- угроз может быть доступна не только крупным корпорациям, но и небольшим компаниям. Внедрение "СёрчИнформ SIEM" способно закрыть сразу несколько "болей" заказчиков в МСБ: автоматизировать конт- роль безопасности, выполнить требования регуляторов и сэко- номить бюджет на ИБ. При этом у нее невысокие аппаратные требования и понятное лицен- зирование, она быстро внед- ряется и проста в эксплуата- ции. Попробуйте, как это работает: на 30 дней "СёрчИнформ SIEM" 2 бесплатно доступна в полном функционале. l • 19 SIEM www.itsec.ru Рис. Сканер сети в "СёрчИнформ SIEM" АДРЕСА И ТЕЛЕФОНЫ СЕРЧИНФОРМ см. стр. 84 NM Реклама 2 https://searchinform.ru/products/try-for-free/