Skip to content
EN
← Все статьи

SIEM: что это, как работает, отличия от SOAR и XDR

SIEM (Security Information and Event Management) — это класс систем кибербезопасности, которые централизованно собирают, нормализуют и хранят журналы событий из всей ИТ-инфраструктуры, коррелируют их по правилам и в реальном времени выявляют инциденты. SIEM даёт единую панель мониторинг сайтов, ускоряет расследования и служит технологическим ядром центра мониторинга безопасности (SOC).

Как работает SIEM

Работа SIEM строится вокруг конвейера обработки данных: от сбора «сырых» логов до готового к реагированию инцидента. Понимание этого конвейера помогает оценить, зачем нужен каждый компонент и где чаще всего возникают проблемы внедрения.

  1. Сбор данных (collection). Агенты, syslog, Windows Event Forwarding, API документацию облачных провайдеров и коллекторы принимают события от серверов, сетевого оборудования, средств защиты, приложений и облаков. Чем шире охват источников, тем выше видимость.
  2. Нормализация и парсинг. Разнородные форматы приводятся к единой схеме полей (пользователь, хост, IP геолокацию, действие, время). Без нормализации корреляция между источниками невозможна.
  3. Обогащение (enrichment). К событиям добавляется контекст: данные Threat Intelligence, геолокация, принадлежность актива, роль пользователя, критичность системы.
  4. Корреляция и детектирование. Механизм правил, статистические базовые линии и поведенческая аналитика (UEBA) сопоставляют события во времени и между источниками, порождая алерты.
  5. Оповещение и реагирование. Аналитик получает алерт с приоритетом, расследует его, а при интеграции с SOAR запускает автоматические сценарии реагирования.
  6. Хранение и отчётность. Логи хранятся месяцами и годами для расследований, охоты за угрозами (threat hunting) и выполнения требований аудита и регуляторов.

По определению Gartner, технология SIEM объединяет управление информацией о безопасности (SIM) и управление событиями безопасности (SEM), обеспечивая анализ в реальном времени и долговременное хранение для комплаенса. Национальный институт стандартов и технологий США (NIST) в руководстве SP 800-92 «Guide to Computer Security Log Management» подчёркивает, что ценность логов реализуется только при централизованном сборе и корреляции — именно эту задачу решает SIEM.

SIEM vs SOAR

SIEM и SOAR (Security Orchestration, Automation and Response) часто путают, но они решают разные задачи и дополняют друг друга. SIEM отвечает на вопрос «что произошло?», обнаруживая инцидент; SOAR отвечает на вопрос «что с этим делать?», автоматизируя реагирование. SIEM — это глаза и уши, SOAR — руки.

На практике SIEM генерирует алерт (например, множественные неудачные входы с последующим успешным), а SOAR по этому алерту запускает playbook: обогащает индикаторы, блокирует учётную запись, создаёт тикет, уведомляет команду. Без SOAR те же действия аналитик выполняет вручную, что увеличивает время реагирования (MTTR). Многие современные платформы объединяют оба класса в единое решение.

SIEM vs EDR/XDR

Разница между SIEM и EDR/XDR — это разница в широте и глубине телеметрии. EDR (Endpoint Detection and Response) фокусируется на конечных точках: процессы, файлы, реестр, сетевые соединения хоста. XDR (Extended Detection and Response) расширяет этот подход на почту, сеть, облако и идентичности, обычно в рамках одного вендора. SIEM же агрегирует данные из любых источников, включая сами EDR и XDR.

Ключевое отличие: SIEM — это агностичный к вендору «озеро логов» с корреляцией и долгим хранением для комплаенса, тогда как XDR — это преднастроенный детектирующий стек с более глубокой телеметрией, но ограниченным охватом сторонних систем. Крупные SOC часто используют SIEM как центральный узел, а EDR/XDR — как высокоточные сенсоры, чьи алерты стекаются в SIEM.

КритерийSIEMSOARXDR
Основная задачаОбнаружение и комплаенсАвтоматизация реагированияДетектирование по стеку вендора
Источники данныхЛюбые (агностичность)Алерты и API других системEndpoint, почта, сеть, облако (обычно один вендор)
Хранение логовДолгое (месяцы/годы)МинимальноеСреднее
Корреляция между источникамиСильнаяЧерез playbookВстроенная, но в рамках стека
Автоматизация действийОграниченнаяОсновная функцияЧастичная
Роль в SOCЯдро мониторингаУскоритель реагированияВысокоточный сенсор

SIEM в составе SOC

Центр мониторинга безопасности (SOC) — это команда людей, процессы и технологии, обеспечивающие непрерывное обнаружение и реагирование на угрозы. SIEM — центральная технологическая платформа SOC, но не единственная: рядом работают EDR, NDR, Threat Intelligence, системы управления уязвимостями и тикетинг.

В типовой модели SOC работает по уровням: аналитик L1 выполняет первичную сортировку алертов SIEM, L2 проводит углублённое расследование, L3 занимается охотой за угрозами и разработкой правил детектирования. Без качественно настроенного SIEM SOC тонет в шуме ложных срабатываний. Подробнее о структуре команды читайте в статье Что такое SOC, а о моделях аутсорсинга — в материале MDR vs MSSP vs SOC.

Именно SIEM превращает разрозненные потоки логов в поток управляемых инцидентов, с которыми работает дежурная смена. Аналитик видит не тысячи «сырых» строк журнала, а приоритизированные алерты с контекстом: кто, что, откуда и насколько это опасно. Такая приоритизация напрямую влияет на два ключевых показателя эффективности SOC — среднее время обнаружения (MTTD) и среднее время реагирования (MTTR). Чем точнее правила корреляции и обогащение, тем ниже оба показателя и тем меньше вероятность, что реальная атака утонет в фоновом шуме.

Правила корреляции и use-cases

Правило корреляции — это логика, которая превращает набор разрозненных событий в осмысленный алерт. Ценность SIEM определяется не объёмом собранных логов, а качеством детектирующих сценариев (use-cases). Хорошая практика — привязывать правила к матрице MITRE ATT&CK, чтобы измерять покрытие тактик и техник противника.

  • Брутфорс и подбор паролей — множество неудачных аутентификаций с одного источника, за которыми следует успешный вход (техника T1110 в MITRE ATT&CK).
  • Невозможное перемещение — вход одного пользователя из двух географически удалённых точек за короткий интервал.
  • Повышение привилегий — добавление учётной записи в привилегированную группу вне окна изменений.
  • Эксфильтрация данных — аномальный объём исходящего трафика или обращения к облачным хранилищам.
  • Отключение средств защиты — остановка службы EDR, очистка журналов событий (T1070), изменение политик безопасности.
  • Lateral movement — цепочки удалённых входов и запусков процессов между хостами.

Каждый use-case требует настройки под конкретную среду: пороги, белые списки, окна времени. Именно тюнинг отличает рабочий SIEM от источника алертовой усталости.

Use-caseТактика MITRE ATT&CKИсточник данныхПриоритет
Брутфорс входаCredential Access (TA0006)Логи аутентификации, VPNСредний
Невозможное перемещениеInitial Access (TA0001)Логи облачных SSO, IdPВысокий
Повышение привилегийPrivilege Escalation (TA0004)Active Directory, IAMВысокий
Очистка журналовDefense Evasion (TA0005)Windows Security, EDRКритический
ЭксфильтрацияExfiltration (TA0010)Прокси, DLP, NetFlowКритический

Популярные SIEM-системы

Рынок SIEM представлен как крупными коммерческими платформами, так и решениями с открытым кодом. По оценкам Gartner Magic Quadrant for Security Information and Event Management, в число лидеров традиционно входят Microsoft (Sentinel), Splunk, IBM (QRadar) и Securonix. Выбор зависит от объёма данных, модели лицензирования, облачной или локальной архитектуры и зрелости команды.

  • Splunk Enterprise Security — мощный поиск и аналитика, гибкий язык запросов SPL, высокая стоимость при больших объёмах.
  • Microsoft Sentinel — облачный SIEM с оплатой по потреблению, тесная интеграция с экосистемой Microsoft и встроенным SOAR.
  • IBM QRadar — зрелая корреляция и модель сетевых потоков (flows), сильна в крупных enterprise-средах.
  • Elastic Security — построен на Elastic Stack, популярен за гибкость и открытую основу.
  • Wazuh — открытое решение, объединяющее возможности SIEM и XDR, распространено в небольших командах.
  • Российские платформы — MaxPatrol SIEM, KUMA («Лаборатория Касперского») и RuSIEM ориентированы на требования отечественных регуляторов.

Ограничения SIEM

SIEM — не «серебряная пуля». Понимание его ограничений критично для реалистичных ожиданий и грамотного проектирования архитектуры мониторинга.

  • Стоимость и объём. Модели лицензирования по объёму данных (EPS или ГБ/день) делают полное покрытие дорогим; часто приходится выбирать, какие логи собирать.
  • Алертовая усталость. Плохо настроенные правила порождают тысячи ложных срабатываний, из-за которых аналитики пропускают реальные инциденты.
  • Сложность внедрения. Парсинг новых источников, поддержка правил и тюнинг требуют выделенной инженерной экспертизы.
  • Зависит от качества логов. Если источник не логирует нужное событие, SIEM его не увидит — покрытие ограничено телеметрией.
  • Реактивность. Классический SIEM обнаруживает по известным паттернам; продвинутые угрозы требуют дополнения в виде UEBA, EDR и Threat Intelligence.

Поэтому зрелые организации рассматривают SIEM как часть слоёной обороны, дополняя его платформами EDR и данными киберразведки. О внешних источниках угроз читайте в статье Что такое Threat Intelligence.

FAQ

Чем SIEM отличается от лог-менеджмента?

Лог-менеджмент решает задачу сбора и хранения журналов, тогда как SIEM добавляет нормализацию, корреляцию между источниками, детектирование инцидентов и рабочий процесс расследования. SIEM — это лог-менеджмент плюс аналитика безопасности.

Нужен ли SIEM малому бизнесу?

Полноценный SIEM с выделенной командой часто избыточен для малого бизнеса. Такие компании обычно выбирают управляемые сервисы (MDR/MSSP) или облачные SIEM с оплатой по потреблению, где мониторинг ведёт внешний провайдер.

Что такое EPS в контексте SIEM?

EPS (Events Per Second) — количество событий в секунду, которое обрабатывает SIEM. Это ключевая метрика для оценки нагрузки и стоимости лицензии: чем больше источников и объём телеметрии, тем выше требуемый EPS.

Как SIEM помогает соответствовать требованиям регуляторов?

SIEM централизует хранение логов, обеспечивает их целостность и предоставляет отчёты, что помогает выполнять требования аудита (например, PCI DSS, ISO/IEC 27001, 187-ФЗ в России). Долговременное хранение и трассируемость событий — обязательные элементы многих стандартов.

Заменяет ли XDR классический SIEM?

Нет. XDR даёт более глубокую телеметрию по стеку одного вендора, но SIEM остаётся агностичным центром сбора любых логов и хранилищем для комплаенса. В крупных SOC они работают вместе, а не заменяют друг друга.

Что такое tuning правил и зачем он нужен?

Тюнинг — это настройка порогов, белых списков и логики правил под конкретную среду. Без него SIEM генерирует избыток ложных срабатываний. Регулярный тюнинг снижает алертовую усталость и повышает точность детектирования.

Проверьте ваш сайт прямо сейчас

Проверить безопасность сайта →
Другие статьи: Безопасность
Безопасность
Защита API от перегрузки: token bucket, 429, Retry-After
15.04.2026 · 145 просм.
Безопасность
Руководство по двухфакторной аутентификации: TOTP, SMS и аппаратные ключи
16.03.2026 · 184 просм.
Безопасность
MSSP: что такое провайдер управляемых услуг ИБ
17.07.2026 · 7 просм.
Безопасность
CORS: руководство по Cross-Origin Resource Sharing
16.03.2026 · 171 просм.