Прекращение деятельности ряда иностранных вендоров в РФ привело к появлению новых отечественных решений и обогащению российского рынка систем класса «управление информацией и событиями по безопасности» (Security Information and Event Management, SIEM).
- Введение
- Зачем нужны SIEM-системы
- Мировой рынок SIEM-систем
- Российский рынок SIEM-систем
- Обзор отечественного рынка SIEM-систем
- 5.1. Alertix
- 5.2. Ankey SIEM NG
- 5.3. Kaspersky Unified Monitoring and Analysis Platform (KUMA)
- 5.4. KOMRAD Enterprise SIEM
- 5.5. MaxPatrol SIEM
- 5.6. R-Vision SIEM
- 5.7. RuSIEM
- 5.8. Security Capsule SIEM
- 5.9. Smart Monitor
- 5 10. UserGate SIEM
- 5 11. «Платформа Радар»
- 5.12. «СёрчИнформ SIEM»
- Выводы
Введение
SIEM-системы являются весьма востребованным продуктом на рынке информационной безопасности. Этому способствует рост активности хакеров, что ощутили на себе российские предприятия после февраля 2022 г.
Наша редакция готовила обзоры рынков SIEM в 2017 и 2022 гг. В 2018 и 2019 годах мы публиковали сравнение таких систем в двух частях. Также в октябре 2023 г. был проведён эфир AM Live, посвящённый отечественным SIEM-системам; мы рекомендуем ознакомиться с обзорной статьёй по нему. Во время эфира проводился ряд опросов, посвящённых практике использования и внедрения SIEM в организациях.
Опросы, в частности, показали, что по сравнению с 2022 г. сократилось количество компаний, в которых SIEM не использовались вообще. Увеличилась доля отечественных SIEM и систем на базе открытого кода, в то время как доля зарубежных продуктов этого класса снизилась.
Рисунок 1. Какую SIEM-систему вы используете? (2022 и 2023 гг.)
При этом 10 % респондентов называют наиболее важным критерием выбора SIEM наличие сертификата ФСТЭК России, что может быть косвенным признаком формального подхода к защите.
Рисунок 2. Какой из критериев наиболее важен для вас при выборе SIEM?
Одним из драйверов роста рынка SIEM стала модель MSSP, при которой системы этого класса предоставляются провайдером в аренду.
Зачем нужны SIEM-системы
SIEM-системы предназначены для сбора, нормализации и корреляции событий в информационной инфраструктуре. Это позволяет выявлять потенциальные инциденты, основываясь на логике предполагаемого злоумышленника. История SIEM продолжается уже почти 20 лет: первые упоминания о ней имели место в 2005 году, со стороны аналитиков Gartner.
Как правило, архитектурно эти системы состоят из коллекторов, собирающих журналы с источников, а также хранилища данных, коррелятора, обрабатывающего поступающие события по заложенной логике, и консоли управления. SIEM могут состоять из распределённых по инфраструктуре элементов или представлять собой неразрывную (all-in-one) инсталляцию.
Источники данных для SIEM могут быть абсолютно разными: журналы хостов, информационных систем, баз данных, сетевых устройств, баз данных управления активами (CMDB) и т. д.
Современные SIEM-системы могут обогащать данные из внешних источников (например, VirusTotal), интегрироваться со внешними системами защиты (SOAR, EDR, NTA и т. д.), автоматизировать действия по реагированию на основе подготовленных сценариев.
На стоимость подобных систем влияют, как правило, следующие факторы: срок действия лицензии, размер потока событий (EPS), число подключённых источников, количество функциональных элементов системы и модулей интеграции.
SIEM является функциональным ядром при организации центра мониторинга (SOC) и может быть внедрён как локально, так и в качестве облачного сервиса. Преимущества и недостатки этих моделей мы рассматривали в одной из статей ранее.
Мировой рынок SIEM-систем
SIEM-системы являются весьма востребованным продуктом на рынке информационной безопасности. Согласно прогнозам аналитиков, мировой рынок этого класса решений ожидает двукратный рост — с 6,13 млрд долларов США в 2023 г. до 13,51 млрд долларов в 2028 г. Среди лидеров рынка называются продукты таких компаний, как IBM, Splunk, Fortinet и LogRhythm.
Самым быстрорастущим рынком считается азиатский, а самым объёмным — североамериканский.
Рисунок 3. Прогноз относительно мирового рынка SIEM
Согласно рейтингу Gartner, в июне 2022 г. лидерами были SIEM-системы от таких производителей, как Microsoft, IBM, Splunk и другие.
Рисунок 4. Квадрант Gartner по классу SIEM, 2022 г.
На мировом рынке SIEM-систем присутствуют следующие продукты:
- Arcsight SIEM (Micro Focus);
- FortiSIEM (FortiNet);
- LogRhythm SIEM (LogRhythm);
- Qradar SIEM (IBM);
- Splunk Enterprise (Splunk);
- Trellix Security Manager (Trellix).
В этом обзоре не рассматриваются SIEM-системы зарубежных производителей в связи с невозможностью их приобретения в Российской Федерации.
Российский рынок SIEM-систем
В 2020 году объём российского рынка SIEM оценивался в 7,2 млрд рублей. С того времени он значительно вырос за счёт импортозамещения и вывода на рынок новых отечественных продуктов: были разработаны и предложены заказчикам не менее трёх SIEM-систем.
Ещё одним фактором развития является курс на экосистемность, поддерживаемый такими вендорами, как Kaspersky, Positive Technologies, R-Vision, UserGate.
В этом обзоре представлены данные по 12 отечественным SIEM-системам:
- Alertix (NGR Softlab);
- Ankey SIEM NG («Газинформсервис»);
- KUMA («Лаборатория Касперского»);
- KOMRAD Enterprise SIEM («Эшелон Технологии»);
- MaxPatrol SIEM (Positive Technologies);
- R-Vision SIEM;
- RuSIEM;
- Security Capsule SIEM («Инновационные технологии в бизнесе»);
- UserGate SIEM;
- Smart Monitor («ВолгаБлоб»);
- «Платформа Радар» («Пангео Радар»);
- «СёрчИнформ SIEM».
Обзор отечественного рынка SIEM-систем
Alertix
Alertix представлена на рынке с 2019 г. В функциональные возможности системы входят не только сбор и корреляция событий с подключаемых источников, но и интеграция с НКЦКИ для оперативного оповещения об инцидентах на объектах КИИ.
Сбор событий реализован агентским и неагентским способами. «Из коробки» доступно 75 поддерживаемых источников и более 180 правил корреляции.
Рисунок 5. Панель мониторинга (инциденты) SIEM-системы Alertix
Актуальная версия системы — 3.6.0, поддерживает интеграцию со сканерами уязвимостей XSpider, MaxPatrol и RedCheck. Интересные функциональные возможности — «блокнот аналитика», в котором можно оставлять заметки при расследовании или свободном поиске, а также проверка различных значений в публичных репутационных базах: VirusTotal, AbuseIPDB, Whois. Также из консоли Alertix можно управлять конфигурацией Sysmon (драйвера расширенного аудита для Windows) и модулями сбора событий на базе Beats для Linux и Windows.
Особенности:
- блокнот аналитика;
- организация взаимодействия с НКЦКИ;
- управление конфигурацией Sysmon и Beats;
- бессрочные лицензии;
- гибкое управление глубиной хранения и архивации событий от источников;
- сертификат ФСТЭК России.
С подробной информацией об Alertix можно ознакомиться на сайте разработчика.
Ankey SIEM NG
Ankey SIEM NG разрабатывается ООО «Газинформсервис» совместно с Positive Technologies на базе ядра MaxPatrol SIEM.
Основными компонентами программного комплекса являются серверы сбора, обработки и хранения событий, управляющий сервер, сервер корреляции и АРМ администратора. К дополнительным компонентам относятся сервер хранения и сервер аналитики.
Рисунок 6. Панели мониторинга (дашборды) SIEM-системы Ankey SIEM NG
Система входит в реестр отечественного ПО и имеет сертификат ФСТЭК России № 4360 до 18.01.2026.
Особенности:
- автоматизированный мониторинг ИБ и непрерывное отслеживание изменений в ИТ-инфраструктуре организации;
- автоматизированное обнаружение известных уязвимостей в программном обеспечении активов (требуется дополнительный компонент Ankey SIEM NG VM);
- выявление инцидентов среди большого количества событий из области ИБ;
- обнаружение сбоев в работе ИТ- и ИБ-систем и и реагирование на них.
С подробной информацией об Ankey SIEM NG можно ознакомиться на сайте разработчика.
Kaspersky Unified Monitoring and Analysis Platform (KUMA)
KUMA представлена на рынке с 2020 г., однако за несколько лет стала одним из лидеров по количеству внедрений в сегменте крупного бизнеса. Является частью экосистемы Kaspersky Symphony XDR, куда входят также Kaspersky EDR Expert, Kaspersky Anti Targeted Attack, Kaspersky ASAP и другие.
«Из коробки» доступен 191 поддерживаемый источник, более 340 правил корреляции и возможность интеграции более чем с 10 отечественными ИБ-системами.
Рисунок 7. Архитектура SIEM-системы KUMA
Актуальная версия системы — 2.1, в декабре выходит 3.0. KUMA входит в реестр отечественного ПО и имеет сертификат ФСТЭК России. Продаётся по подписочной модели, стоимость зависит от количества событий в секунду (EPS), модулей интеграции с ГосСОПКА, киберразведки (TI), поддержки NetFlow.
Особенности:
- экосистемность (функциональные интеграции с другими продуктами Kaspersky), RESTful API, возможность взаимодействия с платформами реагирования (IRP и SOAR), интеграция с ГосСОПКА;
- автоматизация рутинных действий по реагированию, инвентаризации хостов, обогащению ИБ-событий контекстом;
- производительность более 500 тыс. EPS, проверенная на реальной архитектуре заказчика;
- минимальные системные требования и гибкая горизонтальная масштабируемость, поддержка географически распределённой инсталляции, режимы высокой доступности (high availability) и мультиарендности (multi-tenancy);
- наличие сертификата ФСТЭК России.
С обзором продукта на нашем сайте можно ознакомиться здесь.
С подробной информацией о Kaspersky Unified Monitoring and Analysis Platform (KUMA) можно ознакомиться на сайте разработчика.
KOMRAD Enterprise SIEM
Разработка АО «Эшелон Технологии» обладает визуальным конструктором правил корреляции, возможностью автоматизации реагирования на инциденты за счёт использования скриптов на Bash и Python, встроенной возможностью интеграции с ГосСОПКА.
Поддерживается горизонтальное и вертикальное масштабирование. Есть возможность построения как распределённой системы, так и целостной (all-in-one). Вендор регулярно проводит обучающие бесплатные вебинары для работников заказчика с последующей выдачей сертификатов.
Рисунок 8. Дашборд KOMRAD Enterprise SIEM
Текущая версия KOMRAD Enterprise SIEM — 4.3. Система входит в реестр отечественного ПО, имеет сертификаты ФСТЭК и Минобороны России. Лицензии на KOMRAD Enterprise SIEM являются бессрочными, стоимость определяется составом коллекторов и характером масштабирования платформы.
Особенности:
- возможность автоматизации реагирования на инциденты;
- визуальный конструктор правил корреляции;
- наличие сертификатов ФСТЭК и Минобороны России;
- интеграция с отечественными СЗИ;
- наличие постоянно обновляемого пакета экспертиз: бесплатного и расширенного, в рамках действующей технической поддержки;
- свободно распространяемый дистрибутив с демолицензией.
С обзором продукта на нашем сайте можно ознакомиться здесь.
С подробной информацией о KOMRAD Enterprise SIEM можно ознакомиться на сайте разработчика.
MaxPatrol SIEM
MaxPatrol SIEM — единственный российский продукт из числа вошедших в топ-20 игроков на мировом рынке SIEM в 2021 году. Является частью линейки продуктов Positive Technologies, куда также входят MaxPatrol VM, PT Network Attack Discovery (PT NAD), MaxPatrol O2, MaxPatrol EDR и другие.
Вендор развивает MaxPatrol SIEM в направлении улучшения работы аналитиков (analyst experience), а также интерфейсов интеграции. В MaxPatrol SIEM реализованы подходы для обеспечения практической результативности мониторинга событий ИБ и управления инцидентами. «Из коробки» доступно более 300 поддерживаемых источников, более 900 правил корреляции и более 8000 правил нормализации. Продукт также имеет функциональные возможности по выявлению поведенческих аномалий на основе 27 моделей машинного обучения.
Рисунок 9. Дашборд MaxPatrol SIEM
Актуальная версия системы — 8.0. Лицензия на MaxPatrol SIEM продаётся по подписочной модели, цена зависит от количества активов и потока EPS. Продукт входит в реестр российского ПО, имеет сертификат (на версию 7.1) ФСТЭК России.
Особенности:
- встроенный модуль обнаружения поведенческих аномалий BAD (Behavioral Anomaly Detection);
- инструментарий для обеспечения практической результативности работы аналитика;
- работа с потоками более 540 тыс. EPS;
- возможность применения в разных ИТ-инфраструктурах — как малых, так и масштаба страны;
- наличие сертификатов ФСТЭК и Минобороны России;
- интеграция с ГосСОПКА.
С обзором продукта на нашем сайте можно ознакомиться здесь.
С подробной информацией о MaxPatrol SIEM можно ознакомиться на сайте разработчика.
R-Vision SIEM
R-Vision SIEM является одним из самых молодых продуктов на рынке — он вышел только в 2023 году. При его создании учитывались многолетний опыт R-Vision в разработке технологий, а также трудности, с которыми сталкиваются пользователи при работе с другими SIEM-системами. Продукт является частью экосистемы R-Vision EVO, в которой есть также инструменты для управления уязвимостями (VM), автоматизации реагирования на инциденты (SOAR), анализа информации об угрозах (TIP), поведенческого анализа (UEBA), организации ложной инфраструктуры (TDP), управления процессами ИБ (SGRC) и другие.
«Из коробки» в R-Vision SIEM доступно более 100 правил корреляции и более 1000 типов событий от различных источников. Одной из отличительных особенностей решения является многофункциональный визуальный конвейер обработки событий, который в том числе позволяет оперативно масштабировать нагруженные компоненты системы как ресурсно, так и горизонтально за счёт дублирования компонентов и разделения потоков обработки.
Рисунок 10. Конвейер обработки событий (интерфейс конфигурации) R-Vision SIEM
Актуальная версия системы — 1.1. На момент подготовки материала находится в процессе включения в реестр отечественного ПО и получения сертификата ФСТЭК России. R-Vision SIEM лицензируется как срочно, так и бессрочно; стоимость зависит от объёма входящих событий на коллекторе и числа событий в секунду на корреляторе, что позволяет рационально использовать ресурсы компании.
Особенности:
- возможность расширения функциональности за счёт интеграции с другими технологиями экосистемы R-Vision EVO;
- графический редактор конвейера обработки событий;
- возможность резервирования по схемам «актив — пассив» и «N + M»;
- гибкая модель хранения данных.
С обзором продукта на нашем сайте можно ознакомиться здесь.
С подробной информацией об R-Vision SIEM можно ознакомиться на сайте разработчика.
RuSIEM
RuSIEM — одна из старейших отечественных систем этого класса, отсчитывает свою историю с 2014 г. При необходимости может доукомплектовываться другими продуктами вендора, такими как RuSIEM IoC, RuSIEM Monitoring, RuSIEM Analytics.
«Из коробки» доступно более 350 поддерживаемых источников и 400 правил корреляции.
Рисунок 11. Дашборд RuSIEM
Актуальная версия системы — 3.10. Входит в реестр отечественного ПО, имеет сертификат ФСТЭК России. Лицензия на RuSIEM может быть срочной или бессрочной, стоимость зависит от общего потока обрабатываемых событий, использования дополнительных модулей и уровня технической поддержки. Есть бесплатная версия RvSIEM — решение класса «управление журналами» (Log Management), собирающее события, но не коррелирующее их.
Особенности:
- микросервисная архитектура;
- графический конструктор для создания правил корреляции;
- возможность интеграции со внешними системами за счёт использования прикладного интерфейса (API);
- наличие сертификата ФСТЭК России по 4-му уровню доверия;
- интеграция с ГосСОПКА;
- модуль для работы с активами.
С обзором продукта на нашем сайте можно ознакомиться здесь.
С подробной информацией о RuSIEM можно ознакомиться на сайте разработчика.
Security Capsule SIEM
Security Capsule SIEM считается первой отечественной SIEM и ведёт свою историю с 2009 года. Система поставляется в формате как программных модулей, так и программно-аппаратных комплексов, в том числе с возможностью развёртывания в среде виртуализации.
Security Capsule SIEM может применяться в составе ГИС, КИИ, ИСПДн, АСУ ТП и иных систем, где необходимы сбор и анализ событий от источников данных. «Из коробки» доступно 40 категорий поддерживаемых источников и более 1000 правил корреляции.
Рисунок 12. Панель управления Security Capsule SIEM
В базовый комплект поставки системы входят модули сбора событий, нормализации, корреляции и хранения, а также консоль управления. Дополнительно поставляется модуль для интеграции с ГосСОПКА. Лицензии на систему бессрочны. Система входит в реестр отечественного ПО и имеет сертификат ФСТЭК России. В недавнем обновлении реализована интеграция со сканером безопасности XSpider / MaxPatrol.
Особенности:
- поставка в формате «all-in-one»;
- совместимость с отечественными операционными системами;
- возможность применения в малых ИТ-инфраструктурах, горизонтальная масштабируемость, управление из единой консоли, поддержка географически распределённой инсталляции и режим высокой доступности (high availability);
- бессрочные лицензии;
- наличие сертификата ФСТЭК России;
- бесплатный обучающий онлайн-курс.
С подробной информацией о Security Capsule SIEM можно ознакомиться на сайте разработчика.
Smart Monitor
Smart Monitor, SIEM-система от компании «ВолгаБлоб», представлена на рынке с 2014 г. Практические сферы её применения, заявляемые производителем, — это не только мониторинг состояния кибербезопасности, но и наблюдение за бизнес-процессами и ИТ-инфраструктурой. Сбор информации о событиях возможен как агентским способом, так и неагентским.
Обладает встроенной IRP-системой, предназначенной для отслеживания жизненного цикла инцидента, контроля условий соглашения о качестве (SLA) и т. д. Ещё одна особенность Smart Monitor — модуль инвентаризации активов, позволяющий регулярно обновлять информацию по пользователям, серверам, сетевым устройствам и информационным системам.
Рисунок 13. Дашборды SIEM-системы SmartMonitor
Актуальная версия системы — 3.1. Smart Monitor входит в реестр отечественного ПО и находится в процессе получения сертификата ФСТЭК России. На сайте производителя размещён онлайн-калькулятор для расчёта стоимости системы в зависимости от подключаемых модулей и ожидаемых потоков данных.
Особенности:
- оценка эффективности бизнес-процессов;
- модуль инвентаризации активов;
- бессрочные лицензии;
- IRP-платформа;
- онлайн-калькулятор для расчёта стоимости.
С подробной информацией о Smart Monitor можно ознакомиться на сайте разработчика.
UserGate SIEM
UserGate SIEM вышла на рынок в 2023 году как результат развития продукта UserGate Log Analyzer, появившегося тремя годами ранее. Является частью экосистемы UserGate SUMMA, куда входят также UserGate ICS (АСУ ТП), UserGate Client (EDR, NAC, VPN), UserGate NGFW и другие.
UserGate SIEM поставляется как программно-аппаратный комплекс, также есть исполнение в виде виртуальной машины. Функциональные возможности SIEM включают в себя работу с жизненным циклом инцидента (IRP), данные о киберразведке (TI) и автоматизированное реагирование на инциденты (SOAR).
Рисунок 14. Дашборд UserGate SIEM
Актуальная версия системы — 7.1. Лицензия на SIEM бессрочна, стоимость зависит от объёма потока событий.
Особенности:
- интеграция с экосистемой UserGate SUMMA;
- возможность автоматизации реагирования на инциденты;
- СМС-информирование о новых инцидентах;
- интеграция со внешними источниками для получения дополнительной информации и обогащения инцидентов;
- круглосуточная техподдержка и собственная экспертиза;
- взаимодействие с ГосСОПКА.
С подробной информацией о UserGate SIEM можно ознакомиться на сайте разработчика.
«Платформа Радар»
«Платформа Радар» представлена на рынке с 2018 г. Система обладает рядом модулей, необходимых для выстраивания таких процессов ИБ, как управление жизненным циклом инцидентов (IRP), управление уязвимостями, подтверждение соответствия нормативным требованиям (compliance).
«Из коробки» доступно 75 поддерживаемых источников и 80 правил корреляции. Система характеризуется гибкой кластеризацией и высокой производительностью (до 90 тысяч EPS на одной инсталляции).
Рисунок 15. Дашборд SIEM-системы «Платформа Радар»
Актуальная версия системы — 3.6. Продукт входит в реестр отечественного ПО и имеет сертификат ФСТЭК России по 4-му уровню доверия. Лицензия на «Платформу Радар» может быть срочной или бессрочной. Стоимость лицензии зависит от среднего количества EPS за неделю, количества коллекторов для сбора событий, а также наличия или отсутствия мультиарендности.
Особенности:
- API для интеграции со сторонними системами;
- интеграция с ГосСОПКА;
- встроенная IRP-система;
- модуль управления уязвимостями;
- мультиарендность;
- сертификат ФСТЭК России.
С подробной информацией о «Платформе Радар» можно ознакомиться на сайте разработчика.
«СёрчИнформ SIEM»
SIEM-система компании «СёрчИнформ» представлена на рынке с 2016 г. Вендор позиционирует свой продукт как универсальный, подходящий как компаниям малого и среднего бизнеса, так и предприятиям с несколькими тысячами устройств в парке активов. Функциональные возможности SIEM-системы развиваются с опорой на практику работы с более чем 2000 клиентов из разных стран.
«Из коробки» доступно более 300 поддерживаемых источников и 400 правил корреляции. Система поставляется в максимальной комплектации и не требует покупки дополнительных модулей для расширения функциональных возможностей. Срок внедрения системы, по информации от вендора, составляет от 6 часов до 8 дней.
Рисунок 16. Дашборд SIEM-системы «СёрчИнформ SIEM»
Актуальная версия системы — 1.54. Продукт входит в реестр отечественного ПО и имеет сертификат ФСТЭК России по 4-му уровню доверия, а также лицензии на деятельность от ФСТЭК и ФСБ России. Лицензия на «СёрчИнформ SIEM» может быть срочной или бессрочной. Стоимость лицензии зависит от количества подключаемых сетевых узлов, с которых производится сбор данных.
Особенности:
- простота внедрения и использования;
- невысокие аппаратные требования;
- возможность автоматического выявления инцидентов и реагирования на них;
- интеграция с DLP-системой «СёрчИнформ КИБ» и DCAP-системой «СёрчИнформ FileAuditor»;
- интеграция с ГосСОПКА;
- наличие сертификатов ФСТЭК и ФСБ России.
С обзором продукта на нашем сайте можно ознакомиться здесь.
С подробной информацией о «СёрчИнформ SIEM» можно ознакомиться на сайте разработчика.
Выводы
Как видно из обзора, рынок отечественных SIEM предоставляет возможность выбрать необходимую систему исходя из задач, размеров инфраструктуры и выделенных бюджетов. Практически все системы входят в реестр отечественного ПО, обладают сертификатами ФСТЭК России и имеют модули для взаимодействия с ГосСОПКА.
Таким образом, можно сделать вывод, что производители SIEM-систем активно пользуются возникшим шансом, связанным с уходом зарубежных вендоров с отечественного рынка. Отдельный вопрос — насколько качественно происходит замещение в части удобства, производительности и функциональности. Однако это — объект для отдельного исследования и сравнения систем друг с другом.
