В марте этого года прошел вебинар от компании UserGate. UserGate SIEM – новый продукт в экосистеме UserGate SUMMA. Ведущим встречи выступил Дмитрий Чеботарев, менеджер по развитию продукта. В мероприятии приняли участие Станислав Рыпалов и Алексей Растоскуев – ведущие инженеры компании UserGate.
SIEM-система – что за зверь?
«Есть 50 способов вызволить медведя из берлоги, но нет ни одного способа, как его затащить», – такую аналогию с решениями от киберугроз, которые помогают обезопасить систему в момент кибератаки, но не позволяют откатить само происшествие провел Дмитрий Чеботарев. Для предотвращения возможных инцидентов и была разработана SIEM-система.
Решение от компании UserGate способно решить такие задачи, как детектировать сложные многовекторные атаки и вредоносные активности, повысить эффективность службы ИБ за счет автоматизации рутинных операций, интегрировать средства и функции безопасности, встроенных в ПО и оборудование. По мнению Дмитрия, в своих интересах SIEM-систему могут использовать не только специалисты в сфере информационной безопасности или ИТ, но и сотрудники смежных подразделений.
Этапы развития SIEM
Сначала появился продукт Log Manager, который позволял собирать все логи, аккумулировать их в единой базе, проводить по ним поиск, строить различные дашборды, виджеты, отчеты. Затем была построена классическая SIEM-система с базовым функционалом, где к функционалу Log Manager были добавлены правила корреляции, возможность проводить анализ происходящего в инфрастуктуре и выявлять инциденты. Сегодня компания UserGate предлагает заказчикам экосистему SIEM – доработанное решение, с улучшенным логированием благодаря экосистемным продуктам и расширенным функционалом системы. Например, c продукта UserGate Client за счет экосистемы SIEM можно получить не только логи с конечных устройств, но и телеметрию. Кроме того, повысилось удобство администрирования, так как везде заложен общий интерфейс. «Работая с нашим, например, межсетевым экраном, вы будете понимать, как вам работать с SIEM-системой и другими нашими продуктами», – отметил Дмитрий.
Компания UserGate также предлагает своим заказчикам при подключении SIEM-системы свою экспертизу. Пакет экспертизы включает более 300 правил корреляции.
В дополнение информации о развитии и актуализации SIEM-системы спикер привел отчет Гартнера за 2022 г. В графике продемонстрировано, что в будущем SIEM-система превратится в продукт, который будет включать в себя и IRP, и SOAR. SIEM-система станет по сути центральным продуктом, который будет важен для каждого заказчика. В перспективе в функционал SIEM-системы будет включена киберразведка.
Как это работает
SIEM-система собирает логи, события с различных источников, как с «железного» оборудования (межсетевые станции, серверы, коммутаторы рабочие станции, маршрутизаторы), так и с софтовой части (антивирусы, самописный софт и т. д.). SIEM собирает все логи, приводит их в единый вид и аккумулирует в единой базе данных. В дальнейшем происходит анализ происходящего в инфраструктуре на основе правил корреляций, которые будут в автоматическом режиме выявлять инциденты информационной безопасности. В функционал SIEM включен также функционал RPI SOAR, вся работа будет происходить между различными продуктами в одном окне. Реагирование возможно как в автоматическом, так и в ручном режиме.
SIEM-система входит в экосистему UserGate SUMMA, в нее также включены другие решения (EDR, NAC, MC, WAF, NGFW, FG). Особенностью этой экосистемы можно назвать то, что она поддерживает концепцию нулевого доверия. Продукты доступны в виде паков, виртуального исполнения и в облачном формате.
Станислав Рыпалов, ведущий инженер компании UserGate, продемонстрировал SIEM-систему в действии.