Журнал "Information Security/ Информационная безопасность" #4, 2025

• 27 SIEM www.itsec.ru Николай Лишке, "Эшелон Технологии" Интеграция EDR с SIEM помогает точно детектировать атаки на рабочие станции, но без дополнительной корре- ляции с логами Active Directory или облачных решений можно остаться сле- пым к сложным атакам. Можно сказать, что XDR/EDR – глаза и уши, но SIEM – мозг. Не стоит забывать о необходимо- сти хранения логов и инцидентов. Использование исключительно XDR/EDR не позволяет выполнять данные требо- вания. Виктор Никуличев, R-Vision Все зависит от задач организации. Если все ваши ключевые активы – это конечные станции, то EDR будет важным для вас решением. Но на деле для большинства бизнесов это не так: критичных систем несораз- мерно много. Каждая такая система требует индивидуального подхода к мониторингу. Они закрываются боль- шим числом СЗИ. SIEM же – место агрегации всех событий безопасности для централизованной работы с ИБ компании. Даниил Вылегжанин, RuSIEM Идеальным вариантом было бы использование платформы, сочетаю- щей в себе функции SIEM, UEBA, SOAR, XDR, NDR, ITDR и AI в рамках единого решения. Это позволило бы исключить возможные слепые зоны, сохраняя полный контекст инцидента. К слову, на мировом рынке ИБ такой подход уже используется рядом вен- доров, хотя и требует большого коли- чества вычислительных ресурсов, к чему не всегда готовы заказчики. Если же предстоит выбирать только между XDR/EDR и SIEM, то в боль- шинстве случаев именно SIEM будет наиболее предпочтителен за счет более широкого охвата и централиза- ции логов различных источников в еди- ном хранилище. Но лучше всего использовать и то, и другое в связке. Роман Овчинников, Security Vision Управление безопасностью должно включать процессы как мониторинга, так и управления и реагирования на инциденты информационной безопас- ности. SIEM является основой монито- ринга и сбора, обрастая скриптами и инструментарием вокруг этой задачи. Для реализации всех процессов тре- буются дополнительные инструменты. Поэтому можно сделать вывод, что SIEM не является центральным элементом, но выполняет функции одного из ряда ключевых элементов. К примеру, если в управлении главная задача не наблю- дение, а реагирование – нужно выдви- гать вперед R (Response) в виде EDR XDR, SOAR. Дмитрий Чеботарев, UserGate SIEM Крайне дискуссионный вопрос. Я уве- рен, что современный, экосистемный SIEM, включающий в себя функцио- нальность IRP/SOAR станет центральным элементом любой корпоративной инфра- структуры. Ведь классический SIEM уже не удовлетворяет требования заказчи- ков. Именно поэтому мы развиваем свой современный, идущий в ногу со време- нем продукт. UserGate совершенствует также и свой EDR, который тесно взаи- модействует со всей экосистемой, вклю- чая SIEM. Именно благодаря этому реше- нию мы готовы предоставлять заказчи- кам услуги XDR и MDR. Александр Дорофеев, "Эшелон Технологии" Технологии ИИ могут применяться в SIEM для детектирования аномалий, для объяснения логов, для генерации правил, резюмирования данных по инциденту и т. п. Тем не менее клас- сические статистические методы очень хорошо выявляют аномалии, и необходимость включать ИИ-асси- стента в состав SIEM – вопрос тоже дискуссионный. Возможно, что имеет смысл использовать уже развернутые в организации LLM либо задейство- вать облачные, обеспечив, конечно, качественную фильтрацию чувстви- тельных данных, передаваемых через запросы. Даниил Вылегжанин, RuSIEM Однозначно может. Уже сейчас ИИ может использоваться для автомати- зации процесса анализа событий, выявления поведенческих аномалий методами машинного обучения, кото- рые классическими правилами корре- ляции достаточно трудно описать, помо- гать в приоритизации и расследовании инцидентов, снижать нагрузку на ана- литиков, уменьшая количество ложных срабатываний и т. д. Павел Пугач, "СёрчИнформ" Потенциал у технологии огромный, однако всегда есть "но". Все могущество ИИ упирается в качество и достовер- ность данных, с которыми он работает. В этом и заключается главная проблема: злоумышленник целенаправленно иска- жает исходные данные, маскируя свою активность под легитимную. В такой ситуации обманутый ИИ начинает давать катастрофически высокий процент лож- ных срабатываний или, что хуже, про- пусков. В момент, когда требуется мак- симальная точность, инструмент может дезориентировать аналитиков. Артем Проничев, Positive Technologies ИИ в SIEM уже сокращает время реакции на киберугрозы. Машинное обучение анализирует огромные объе- мы данных, выявляя сложные кибера- таки, которые ускользают от тради- ционных способов обнаружения. Ключе- вое преимущество – автоматизация рутины и приоритизация инцидентов, что позволяет аналитикам SOC фоку- сироваться на реальных угрозах, а не на шумных сработках. Однако эффек- тивность ML-решений зависит от каче- ства и полноты данных и грамотной интеграции в процессы SOC. ИИ – это мощный мультипликатор, а не замена фундаментальных практик. Максим Тумаков, BI.ZONE На опыте нашего SOC мы убедились, что при правильном использовании GenAI-инструменты могут давать суще- ственный прирост в производительности команды. В хранилище телеметрии, кото- рое используется в BI.ZONE SIEM и BI.ZONE EDR, мы уже сделали асси- стента: он понимает запросы на обычном языке и сам превращает их в SQL- запросы для поиска нужных событий. Теперь можно быстрее находить вредо- носную активность. Дмитрий Чеботарев, UserGate SIEM Важно понимать, что ИИ не является панацеей. По сути, сегодня ИИ – это помощник, к услугам которого иногда можно обратиться. Каждый вендор имеет собственный модуль ИИ, а то и несколь- ко, но ни один из них пока не произвел фурор на рынке отечественных SIEM. Остаются также и вопросы к практиче- скому применению. UserGate работает над собственными решениями и пишет свой модуль ИИ, который мы планируем представить рынку уже в следующем году. Виктор Никуличев, R-Vision Реальных исследований по домену ИБ пока нет. Однако исследования в смежных областях однозначно гово- рят, что, например, разработчик с ИИ работает медленнее, чем без него. Гарантий в скорости и качестве реше- ния задач ИИ не может дать. Но при этом ИИ является очень удобным инструментом для погружения и изуче- ния предметной области. Он здорово справляется с суммаризацией инфор- мации, обогащением контекстом, клас- сификацией сработок и выделением важного. Может ли искусственный интеллект в SIEM уже сего- дня реально сокращать время реакции на инциден- ты, или это скорее марке- тинговый шум, отвлекаю- щий от настоящих рабочих инструментов?