SIEM (Security Information and Event Management) — это класс систем кибербезопасности, которые централизованно собирают, нормализуют и хранят журналы событий из всей ИТ-инфраструктуры, коррелируют их по правилам и в реальном времени выявляют инциденты. SIEM даёт единую панель мониторинг сайтов, ускоряет расследования и служит технологическим ядром центра мониторинга безопасности (SOC).
Как работает SIEM
Работа SIEM строится вокруг конвейера обработки данных: от сбора «сырых» логов до готового к реагированию инцидента. Понимание этого конвейера помогает оценить, зачем нужен каждый компонент и где чаще всего возникают проблемы внедрения.
- Сбор данных (collection). Агенты, syslog, Windows Event Forwarding, API документацию облачных провайдеров и коллекторы принимают события от серверов, сетевого оборудования, средств защиты, приложений и облаков. Чем шире охват источников, тем выше видимость.
- Нормализация и парсинг. Разнородные форматы приводятся к единой схеме полей (пользователь, хост, IP геолокацию, действие, время). Без нормализации корреляция между источниками невозможна.
- Обогащение (enrichment). К событиям добавляется контекст: данные Threat Intelligence, геолокация, принадлежность актива, роль пользователя, критичность системы.
- Корреляция и детектирование. Механизм правил, статистические базовые линии и поведенческая аналитика (UEBA) сопоставляют события во времени и между источниками, порождая алерты.
- Оповещение и реагирование. Аналитик получает алерт с приоритетом, расследует его, а при интеграции с SOAR запускает автоматические сценарии реагирования.
- Хранение и отчётность. Логи хранятся месяцами и годами для расследований, охоты за угрозами (threat hunting) и выполнения требований аудита и регуляторов.
По определению Gartner, технология SIEM объединяет управление информацией о безопасности (SIM) и управление событиями безопасности (SEM), обеспечивая анализ в реальном времени и долговременное хранение для комплаенса. Национальный институт стандартов и технологий США (NIST) в руководстве SP 800-92 «Guide to Computer Security Log Management» подчёркивает, что ценность логов реализуется только при централизованном сборе и корреляции — именно эту задачу решает SIEM.
SIEM vs SOAR
SIEM и SOAR (Security Orchestration, Automation and Response) часто путают, но они решают разные задачи и дополняют друг друга. SIEM отвечает на вопрос «что произошло?», обнаруживая инцидент; SOAR отвечает на вопрос «что с этим делать?», автоматизируя реагирование. SIEM — это глаза и уши, SOAR — руки.
На практике SIEM генерирует алерт (например, множественные неудачные входы с последующим успешным), а SOAR по этому алерту запускает playbook: обогащает индикаторы, блокирует учётную запись, создаёт тикет, уведомляет команду. Без SOAR те же действия аналитик выполняет вручную, что увеличивает время реагирования (MTTR). Многие современные платформы объединяют оба класса в единое решение.
SIEM vs EDR/XDR
Разница между SIEM и EDR/XDR — это разница в широте и глубине телеметрии. EDR (Endpoint Detection and Response) фокусируется на конечных точках: процессы, файлы, реестр, сетевые соединения хоста. XDR (Extended Detection and Response) расширяет этот подход на почту, сеть, облако и идентичности, обычно в рамках одного вендора. SIEM же агрегирует данные из любых источников, включая сами EDR и XDR.
Ключевое отличие: SIEM — это агностичный к вендору «озеро логов» с корреляцией и долгим хранением для комплаенса, тогда как XDR — это преднастроенный детектирующий стек с более глубокой телеметрией, но ограниченным охватом сторонних систем. Крупные SOC часто используют SIEM как центральный узел, а EDR/XDR — как высокоточные сенсоры, чьи алерты стекаются в SIEM.
| Критерий | SIEM | SOAR | XDR |
|---|---|---|---|
| Основная задача | Обнаружение и комплаенс | Автоматизация реагирования | Детектирование по стеку вендора |
| Источники данных | Любые (агностичность) | Алерты и API других систем | Endpoint, почта, сеть, облако (обычно один вендор) |
| Хранение логов | Долгое (месяцы/годы) | Минимальное | Среднее |
| Корреляция между источниками | Сильная | Через playbook | Встроенная, но в рамках стека |
| Автоматизация действий | Ограниченная | Основная функция | Частичная |
| Роль в SOC | Ядро мониторинга | Ускоритель реагирования | Высокоточный сенсор |
SIEM в составе SOC
Центр мониторинга безопасности (SOC) — это команда людей, процессы и технологии, обеспечивающие непрерывное обнаружение и реагирование на угрозы. SIEM — центральная технологическая платформа SOC, но не единственная: рядом работают EDR, NDR, Threat Intelligence, системы управления уязвимостями и тикетинг.
В типовой модели SOC работает по уровням: аналитик L1 выполняет первичную сортировку алертов SIEM, L2 проводит углублённое расследование, L3 занимается охотой за угрозами и разработкой правил детектирования. Без качественно настроенного SIEM SOC тонет в шуме ложных срабатываний. Подробнее о структуре команды читайте в статье Что такое SOC, а о моделях аутсорсинга — в материале MDR vs MSSP vs SOC.
Именно SIEM превращает разрозненные потоки логов в поток управляемых инцидентов, с которыми работает дежурная смена. Аналитик видит не тысячи «сырых» строк журнала, а приоритизированные алерты с контекстом: кто, что, откуда и насколько это опасно. Такая приоритизация напрямую влияет на два ключевых показателя эффективности SOC — среднее время обнаружения (MTTD) и среднее время реагирования (MTTR). Чем точнее правила корреляции и обогащение, тем ниже оба показателя и тем меньше вероятность, что реальная атака утонет в фоновом шуме.
Правила корреляции и use-cases
Правило корреляции — это логика, которая превращает набор разрозненных событий в осмысленный алерт. Ценность SIEM определяется не объёмом собранных логов, а качеством детектирующих сценариев (use-cases). Хорошая практика — привязывать правила к матрице MITRE ATT&CK, чтобы измерять покрытие тактик и техник противника.
- Брутфорс и подбор паролей — множество неудачных аутентификаций с одного источника, за которыми следует успешный вход (техника T1110 в MITRE ATT&CK).
- Невозможное перемещение — вход одного пользователя из двух географически удалённых точек за короткий интервал.
- Повышение привилегий — добавление учётной записи в привилегированную группу вне окна изменений.
- Эксфильтрация данных — аномальный объём исходящего трафика или обращения к облачным хранилищам.
- Отключение средств защиты — остановка службы EDR, очистка журналов событий (T1070), изменение политик безопасности.
- Lateral movement — цепочки удалённых входов и запусков процессов между хостами.
Каждый use-case требует настройки под конкретную среду: пороги, белые списки, окна времени. Именно тюнинг отличает рабочий SIEM от источника алертовой усталости.
| Use-case | Тактика MITRE ATT&CK | Источник данных | Приоритет |
|---|---|---|---|
| Брутфорс входа | Credential Access (TA0006) | Логи аутентификации, VPN | Средний |
| Невозможное перемещение | Initial Access (TA0001) | Логи облачных SSO, IdP | Высокий |
| Повышение привилегий | Privilege Escalation (TA0004) | Active Directory, IAM | Высокий |
| Очистка журналов | Defense Evasion (TA0005) | Windows Security, EDR | Критический |
| Эксфильтрация | Exfiltration (TA0010) | Прокси, DLP, NetFlow | Критический |
Популярные SIEM-системы
Рынок SIEM представлен как крупными коммерческими платформами, так и решениями с открытым кодом. По оценкам Gartner Magic Quadrant for Security Information and Event Management, в число лидеров традиционно входят Microsoft (Sentinel), Splunk, IBM (QRadar) и Securonix. Выбор зависит от объёма данных, модели лицензирования, облачной или локальной архитектуры и зрелости команды.
- Splunk Enterprise Security — мощный поиск и аналитика, гибкий язык запросов SPL, высокая стоимость при больших объёмах.
- Microsoft Sentinel — облачный SIEM с оплатой по потреблению, тесная интеграция с экосистемой Microsoft и встроенным SOAR.
- IBM QRadar — зрелая корреляция и модель сетевых потоков (flows), сильна в крупных enterprise-средах.
- Elastic Security — построен на Elastic Stack, популярен за гибкость и открытую основу.
- Wazuh — открытое решение, объединяющее возможности SIEM и XDR, распространено в небольших командах.
- Российские платформы — MaxPatrol SIEM, KUMA («Лаборатория Касперского») и RuSIEM ориентированы на требования отечественных регуляторов.
Ограничения SIEM
SIEM — не «серебряная пуля». Понимание его ограничений критично для реалистичных ожиданий и грамотного проектирования архитектуры мониторинга.
- Стоимость и объём. Модели лицензирования по объёму данных (EPS или ГБ/день) делают полное покрытие дорогим; часто приходится выбирать, какие логи собирать.
- Алертовая усталость. Плохо настроенные правила порождают тысячи ложных срабатываний, из-за которых аналитики пропускают реальные инциденты.
- Сложность внедрения. Парсинг новых источников, поддержка правил и тюнинг требуют выделенной инженерной экспертизы.
- Зависит от качества логов. Если источник не логирует нужное событие, SIEM его не увидит — покрытие ограничено телеметрией.
- Реактивность. Классический SIEM обнаруживает по известным паттернам; продвинутые угрозы требуют дополнения в виде UEBA, EDR и Threat Intelligence.
Поэтому зрелые организации рассматривают SIEM как часть слоёной обороны, дополняя его платформами EDR и данными киберразведки. О внешних источниках угроз читайте в статье Что такое Threat Intelligence.
FAQ
Чем SIEM отличается от лог-менеджмента?
Лог-менеджмент решает задачу сбора и хранения журналов, тогда как SIEM добавляет нормализацию, корреляцию между источниками, детектирование инцидентов и рабочий процесс расследования. SIEM — это лог-менеджмент плюс аналитика безопасности.
Нужен ли SIEM малому бизнесу?
Полноценный SIEM с выделенной командой часто избыточен для малого бизнеса. Такие компании обычно выбирают управляемые сервисы (MDR/MSSP) или облачные SIEM с оплатой по потреблению, где мониторинг ведёт внешний провайдер.
Что такое EPS в контексте SIEM?
EPS (Events Per Second) — количество событий в секунду, которое обрабатывает SIEM. Это ключевая метрика для оценки нагрузки и стоимости лицензии: чем больше источников и объём телеметрии, тем выше требуемый EPS.
Как SIEM помогает соответствовать требованиям регуляторов?
SIEM централизует хранение логов, обеспечивает их целостность и предоставляет отчёты, что помогает выполнять требования аудита (например, PCI DSS, ISO/IEC 27001, 187-ФЗ в России). Долговременное хранение и трассируемость событий — обязательные элементы многих стандартов.
Заменяет ли XDR классический SIEM?
Нет. XDR даёт более глубокую телеметрию по стеку одного вендора, но SIEM остаётся агностичным центром сбора любых логов и хранилищем для комплаенса. В крупных SOC они работают вместе, а не заменяют друг друга.
Что такое tuning правил и зачем он нужен?
Тюнинг — это настройка порогов, белых списков и логики правил под конкретную среду. Без него SIEM генерирует избыток ложных срабатываний. Регулярный тюнинг снижает алертовую усталость и повышает точность детектирования.