SIEM (Security Information and Event Management)

⌘K

SIEM (Security Information and Event Management)

SIEM — это класс систем, предназначенных для централизованного сбора, хранения, корреляции и анализа событий информационной безопасности в реальном времени. Эти решения объединяют в себе функции двух ранее отдельных направлений:

  • SIM (Security Information Management) — долгосрочное хранение, нормализация и анализ журналов безопасности;
  • SEM (Security Event Management) — отслеживание и реагирование на события в реальном времени.

Современные SIEM-системы собирают данные из множества источников: серверов, сетевого оборудования, приложений, баз данных, систем авторизации, облачных сервисов, endpoint-решений и т.д. Затем эти данные проходят агрегацию, фильтрацию, корреляцию и анализ для обнаружения угроз, аномалий и попыток вторжений.

Что делает SIEM:

  • 📥 Собирает события с различных систем (логины, файерволлы, IDS/IPS, прокси, VPN, облака и пр.);
  • 🔍 Анализирует поведение и сигнатуры — находит отклонения от нормы и совпадения с известными паттернами атак;
  • 📡 Выдаёт алерты в реальном времени при срабатывании правил (например, brute force, exfiltration, lateral movement);
  • 🧾 Хранит журналы событий для аудита, расследований и соответствия требованиям регуляторов;
  • 🔐 Помогает строить реакцию на инциденты (SOAR) — интеграция с playbook и автоматизация действий.

📌 Популярные SIEM-системы:

НазваниеОсобенности
SplunkВысокая масштабируемость, мощный поиск, дорогостоящая лицензия; часто используется в крупных организациях.
IBM QRadarКорреляция событий с контекстом угроз, встроенная поддержка множества источников.
Kaspersky SIEMПодходит для соответствия требованиям ФСТЭК/ФСБ в РФ, локализация и интеграция с другими продуктами Kaspersky.
Elastic SIEMОснован на Elasticsearch + Kibana, хорош для гибкой настройки и open source-сценариев.
Azure SentinelОблачный SIEM от Microsoft с AI-анализом и тесной интеграцией с Microsoft 365.

Где и зачем применяется SIEM:

  • Корпоративные ИТ-инфраструктуры — мониторинг входов, политик доступа, активности пользователей;
  • Критически важные системы — обнаружение сложных атак (APT, insider threat, lateral movement);
  • ЦОД и облака — контроль логов с десятков тысяч хостов и виртуальных машин;
  • Финансовый сектор — соответствие требованиям PCI DSS, ISO 27001, 152-ФЗ и других регуляторов;
  • SOC (Security Operations Center) — центральный элемент, с которого начинается инцидент-менеджмент.

Пример: как работает SIEM

  1. С серверов, прокси, сетевых устройств и приложений поступают логи через syslog, агент или API.
  2. Логи проходят нормализацию — перевод в унифицированный формат (например, CEF, JSON, LEEF).
  3. Запускаются правила корреляции — например, если с одного IP попытка логина в 10 системах за минуту.
  4. Если условие выполнено — система создаёт алерт, который уходит в SOC или запускает автоматическую реакцию (блокировка, уведомление, запуск playbook).
  5. Вся информация хранится в базе событий — пригодной для аудита, расследований и отчётности.

Роль SIEM в архитектуре кибербезопасности

  • Центральная точка наблюдения за всей ИТ-инфраструктурой
  • Связующее звено между защитой, мониторингом и реагированием
  • Инструмент для соответствия требованиям регуляторов и аудита
  • Источник данных для SOC, DFIR и Threat Hunting

Архитектура SIEM: основные компоненты

[ Источники данных ]
     │
     ▼
[ Сбор логов ]
 (агенты, syslog, API)
     │
     ▼
[ Нормализация ]
 (приведение к унифицированному формату: CEF, LEEF, JSON)
     │
     ▼
[ Хранилище событий ]
 (временные метки, инциденты, сырые и обработанные логи)
     │
     ▼
[ Корреляция ]
 (правила, сигнатуры, поведенческий анализ)
     │
     ▼
[ Алерты / Инциденты ]
     │
     ▼
[ Реакция ]
 (ручная или через SOAR: уведомления, блокировка, автоматизация)

Пример простого корреляционного правила (на псевдоязыке)

Сценарий: подозрительная активность — множественные неудачные попытки входа + последующий успех.

IF
  count(Event.type = "login_failed" AND Event.username = $user) > 5
  WITHIN 10 minutes
AND
  Event.type = "login_success" AND Event.username = $user
THEN
  trigger Alert("Possible brute-force login", severity="high")

Такие правила задаются в Splunk (через SPL), QRadar (через AQL), Elastic SIEM (через KQL) или визуально — в виде цепочек.

Сравнение: SIEM vs SOAR

ПараметрSIEMSOAR
НазначениеСбор, анализ, корреляция и хранение событийАвтоматизация и координация реагирования на инциденты
Основной фокусОбнаружение угроз и построение контекстаРеакция на угрозы, playbook-и, тикеты, workflow
ИнтеграцияС системами безопасности, ИТ, облакамиС SIEM, EDR, ticketing-системами, мессенджерами
АлертингДаДа, с действиями (блокировка, уведомление, расследование)
Автоматизация действийОграничена (или вручную)Да, через сценарии и цепочки действий
ПримерыSplunk, QRadar, ArcSight, Elastic SIEMCortex XSOAR, IBM Resilient, Splunk SOAR, Shuffle.io
Хранение логовДаНет, зависит от интеграции с SIEM

Связка SIEM + SOAR

На практике, SIEM отвечает за обнаружение инцидента, а SOAR — за реакцию на него. Например:

  • SIEM сгенерировал алерт: «Неудачный вход 10 раз подряд + успех».
  • SOAR получает алерт, проверяет источник IP, геолокацию, делает enrich (whois, reputation).
  • Если критерии соответствуют playbook’у → автоматически блокирует IP, создаёт тикет в Jira и отправляет отчёт в Slack.

Немного экономии прямо здесь

Планируете VPS на 12 месяцев? Примените NEWCOM — получите +1 бесплатно.

Месяц в подарок
COPIED
NEWCOM COPIED