Оглавление
SIEM-система — ключевой элемент в работе SOC, так как бизнес-процессы центров мониторинга и реагирования построены на базе именно этого класса решений. Благодаря SIEM можно централизованно управлять событиями информационной безопасности и анализировать их.
Автор: Виктор Никуличев, продакт-менеджер R-Vision
На рынке информационной безопасности представлено большое количество SIEM-систем от разных вендоров. Все они выполняют схожие задачи: сбор, анализ и корреляцию событий безопасности, обнаружение инцидентов и предоставление отчетов, – сегодня каждая SIEM-система успешно закрывает этот базовый набор задач. Однако, несмотря на общую цель, каждая SIEM проявляет свои уникальные особенности и преимущества в процессе использования.
Основываясь на практическом опыте работы с клиентами, мы исследовали факторы, влияющие на стоимость обслуживания SIEM-системы в долгосрочной перспективе с учетом работ инженерных специалистов. Стоимость эксплуатации складывается не только из расходов на лицензии, но и из затрат на работы, которые находятся в «серой зоне», так как их обычно не учитывают в первичных расчетах.
Рассмотрим график на рис. 1: в зависимости от целевой нагрузки системы он показывает стоимость обслуживания и поддержки SIEM-системы: подключения источников, изменения архитектуры, трансформации топологии и добавления новых средств. На графике отмечены три точки, где он резко меняет свое своего поведение.
Рис. 1. Cтоимость обслуживания и поддержки SIEM-системы
Почему растет стоимость эксплуатации SIEM?
В процессе эксплуатации SIEM пользователи сталкиваются с различными задачами, трудозатратность которых напрямую зависит от размера и сложности самой системы. Чем масштабнее структура системы, тем больше времени и усилий требуется для устранения неполадок и поиска конкретных ошибок. Отметим некоторые из них.
Большое количество доработок через внутренние интерфейсы и “костыли”, которые позволяют решить проблему “здесь и сейчас”, однако приводят к огромным расходам на поддержку таких решений в будущем.
Объемный процесс устранения неполадок. Поиск и устранение неисправностей в SIEM-системе может быть многоуровневым и дорогостоящим. Сложная структура и большое количество затрагиваемых бизнес-процессов в системе SIEM затрудняют диагностику, отладку и поиск ошибки.
Ситуационное масштабирование нагрузки. Адаптация системы к изменяющимся нагрузкам и требованиям бизнеса также требует времени. Поиск оптимальной конфигурации, как правило, проходит методом проб и ошибок, а значит включает в себя тестирование различных сценариев и архитектур системы. Применение таких сценариев занимает значительное время на создание, конфигурацию и перенос машин.
Исходя из вышеописанного, одна из ключевых задач – это преодоление ограничений и недостатков имеющегося в системе инструментария. Вместо того чтобы сосредоточиться на ключевой задаче – поддержке развития бизнеса, – пользователю приходится тратить время на решение вышеперечисленных непрофильных проблем. Однако при правильном подходе к использованию инструментов ресурсы могут расходоваться более эффективно.
Каким должен быть SIEM в организации?
Правило первое – простота
SIEM – это Management-система, а значит она должна быть гибкой и уметь подстраиваться под индивидуальные задачи пользователя. Например, R-Vision SIEM интегрирована с технологией Kubernetes, что позволяет масштабировать ее буквально в несколько кликов. Можно увеличить количество ядер, которое использует система, прямо из интерфейса.
В R-Vision SIEM мы изменили подход к корреляции. Теперь коррелятор распределен между несколькими физическими машинами, что делает его более отказоустойчивым и открывает возможности для горизонтальной масштабируемости. Это гораздо более экономичный вариант по сравнению со стандартным вертикальным масштабированием.
Синергия функционала распределенной корреляции с технологией Kubernetes расширяет возможности масштабирования и отказоустойчивости. Пользователь задает объем ресурсов, необходимый для задач корреляции, и система сама резервирует физические ресурсы, а в случае сбоев перекидывает логику на другие сервера без потерь. Все составляющие корреляции по умолчанию работают в режиме высокой доступности (High Availability) без простаивания резервных мощностей.
Правило второе – возможности
В процессе масштабирования и развития компании возникает задача интеграции SIEM-системы в ее структуру. Этот процесс включает в себя две основные составляющие.
1. Встраивание в бизнес-процессы, что подразумевает вовлечение работающих с SIEM специалистов в процессы модернизации и обновления системы.
Они занимаются разработкой правил детектирования и нормализации, созданием отчетов и дашбордов, – все это является конфигурируемой частью SIEM. Обычно над созданием такого контента работает не один человек, а команда или даже целый отдел, следовательно, их работа должна быть организована с учетом определенных правил. Для SIEM-системы критически важно получать качественный и надежный контент, поэтому его следует вести в полном цикле CI/CD, который включает в себя управление версиями, тестирование и проверку кода.
Для эффективного управления такими процессами, в R-Vision SIEM вся контентная экспертиза представлена в парадигме «как код». Таким образом, разработка и поддержка контента не ограничены интерфейсом самого решения SIEM. Организации могут встраивать процесс разработки контента в свои бизнес-процессы, свои системы управления разработкой, доставкой и интеграции CI/CD.
Интеграция с информационной средой компании. На этом этапе мы говорим о подключении различных источников данных и управлении процессом их обработки. В системе R-Vision SIEM есть централизованный интерфейс для управления ETL-процессом (процессом извлечения, преобразования и загрузки данных), процессом обработки событий и всеми транспортерами, что значительно упрощает интеграцию и снижает риск ошибок при настройке (см. рис. 2).
Рис. 2. Конвейер обработки событий в R-Vision SIEM
Правило третье – удобство, необходимое для скорости работы
SIEM-система требует внимания и контроля со стороны инженеров. А скорость и качество внесения изменений зависят от функциональности и доступности инструментов, которые необходимы для работы с SIEM.
Инженеру важно, чтобы SIEM-система была удобной в использовании, и R-Vision SIEM предоставляет широкий инструментарий, который помогает пользователю успешно решать поставленные задачи.
Один из инструментов – специальный плагин для разработки контента R-Object. Плагин помогает вести разработку профессионально со всеми необходимыми подсказками, проверками, автоматическим тестированием и пошаговой отладкой. Благодаря этому инструменту инженеры могут быстро и качественно разрабатывать правила корреляции и нормализации, а также проводить их тестирование в отсутствии доступа к стенду SIEM.
Важным преимуществом для инженера является видимость ключевых метрик на каждом этапе обработки событий прямо в конвейере в онлайн-режиме, чтобы быстро локализовать и устранять возникающие проблемы, не тратя время на поиск места, где что-то могло сломаться.
С другой стороны, в условиях сложных инфраструктур, где требуется быстрая реакция на инциденты, расследование является более комплексной процедурой, так как требует сбора всех артефактов и участников инцидента для точного и полного реагирования. Инструментарий поиска в системе R-Vision SIEM позволяет аналитикам быстро ориентироваться в большом количестве событий. Одна из ключевых особенностей системы – продвинутая статистика. Она позволяет строить статистические данные по всем полям выборки, чтобы быстро знакомиться со всеми деталями. Это значительно ускоряет процесс локализации инцидента, анализа событий и данных, а также принятия решений.
Правило четвертое – опыт
Рынок SIEM уже сформирован, и его участники предъявляют определенные требования к системам.
Это означает, что любой новый продукт должен обладать базовым набором функций, необходимых для успешной работы в инфраструктуре заказчика. Все понимают, что внедрение SIEM-системы может быть сложным процессом. Для успешной интеграции продукта необходимо предоставить заказчику контент из коробки, который позволит быстро и качественно внедрить систему и решить все основные задачи. Нужна также проектная команда, обладающая глубокими знаниями и опытом, она играет ключевую роль в этом процессе, помогая преодолевать любые трудности и реализовывать проекты любой сложности.
R-Vision SIEM предлагает широкий спектр возможностей для мониторинга, отладки и управления ролями. Это делает ее оптимальным решением для организаций, которые стремятся обеспечить высокий уровень информационной безопасности.
Кроме того, в R-Vision SIEM разработана своя программа обучения, которая позволяет ознакомиться с особенностями работы с решением. Обучение позволяет специалистам быстро и качественно освоиться с продуктом и основными задачами, чтобы подготовиться к эффективному внедрению SIEM в организации.
В заключение
Разнообразие предложений SIEM на рынке позволяет организациям выбирать решения, наилучшим образом соответствующие их специфическим потребностям и бюджету.
Однако, помимо первоначальных затрат на приобретение и внедрение, важно учитывать долгосрочные расходы на обслуживание и поддержку системы, которые могут существенно повлиять на общую стоимость, а также необходимо ориентироваться на потребности инженеров, которые будут работать с этой системой.
ITSec_articles