RuSIEM
Система сбора информации и событий от ИТ-систем

Основная статья: Security Information and Event Management (SIEM)

RuSIEM - технология сбора информации и событий от разных ИТ-систем, дальнейшего форматирования данных для последующей обработки службами безопасности.

2024

*RuSIEM 4.2.0

Компания RuSIEM, российский разработчик программного обеспечения в области мониторинга и управления событиями информационной безопасности и ИТ-инфраструктуры, выпустила очередной релиз SIEM-системы RuSIEM – 4.2.0. Об этом 16 августа 2024 года сообщили разработчики продукта.

Ключевой доработкой в версии 4.2.0 стала возможность собирать события по протоколу SNMP, который является одним из наиболее распространенных методов сбора и передачи данных между сетевыми устройствами, мониторинга и управления их работой.

Также в системе появилась возможность отследить прекращение потока событий для источников, подключенных по коннектору syslog.

Кроме этого, доработки коснулись и других микросервисов системы. Например, в корреляторе была проведена оптимизация для правил с двумя блоками условий, в отчетах – доработана область видимости пользовательских отчетов. Дмитрий Пенязь, OpenYard: Мы живем во времена бэби-бума на российском ИТ-рынке 6 т

Получение сертификата ФСТЭК России

Российская система мониторинга безопасности RuSIEM версии 4.0.2 прошла сертификационные испытания ФСТЭК России по 4-му уровню доверия. Об этом разработчик сообщил 1 июля 2024 года.

Пользователи предыдущей сертифицированной версии продукта (3.8) могут обновить систему и оценить ее возможности. В частности, им доступен обновленный интерфейс системы, настройка Telegram-уведомлений об инцидентах для увеличения скорости реагирования и привязка парсеров к источнику для снижения нагрузки на микросервис нормализации. Кроме этого, теперь в разделе «Корреляции» пользователи смогут работать не только со статическими списками, но и таблицами.

Обновление сертифицированной версии SIEM-системы RuSIEM также позволит сэкономить место в базе данных за счет возможности отсеивать события, согласно установленным правилам, обеспечить более стабильную работу системы благодаря поддержке ОС Ubuntu 22.04 и собирать события с различных СУБД с помощью модуля ODBC.

Сертификат соответствия ФСТЭК России Nº 4402 подтверждает возможность использования SIEM-системы RuSIEM версии 4.0.2:

• на значимых объектах критической информационной инфраструктуры 1 категории;
• в государственных информационных системах 1 класса защищенности;
• в автоматизированных системах управления производственными и технологическими процессами 1 класса защищенности;
• в информационных системах персональных данных при необходимости обеспечения 1 уровня защищенности персональных данных;
• в информационных системах общего пользования 2 класса.

2021

Интеграция с решением по предотвращению утечек данных от Zecurion

17 ноября 2021 года компания RuSIEM сообщила о старте партнерского технологического проекта по интеграции системы мониторинга и управления событиями информационной безопасности RuSIEM и решения по предотвращению утечек данных (Data Loss Prevention – DLP) компании Zecurion.

Пандемия и перевод персонала на удаленный режим работы повысили актуальность защиты конфиденциальных данных от утечек. Большинство таких инцидентов обусловлены не только и не столько уязвимостями в программном обеспечении, сколько человеческим фактором. Для защиты от случайных и преднамеренных утечек компаниям необходимо использовать средства защиты информации, позволяющие выявлять как внутренних, так и внешних нарушителей.

Хорошим решением этой задачи является комбинация SIEM-системы, призванной выявлять и учитывать инциденты, происходящие в организации, и системы DLP, которая видит угрозы, находящиеся за периметром SIEM. В результате технической интеграции решений RuSIEM и Zecurion заказчики получат решение, позволяющее не просто считывать и анализировать события, поступающие из DLP-системы, и, вероятно, свидетельствующие об угрозах утечек информации, но и анализировать косвенные данные, что поможет максимально эффективно выявлять внутренних нарушителей.

Синергия SIEM и DLP существенно упрощает работу службы безопасности, — отметил технический директор компании RuSIEM Антон Фишман. — Учитывая, что работа с обеими системами требует специальных знаний и навыков, мы стараемся облегчить заказчикам эту задачу и сделать так, чтобы система была интуитивно понятна ИБ-специалистам и готова к использованию по максимум «из коробки».

Для нашей компании — это не просто еще одно технологическое партнерство, а в первую очередь активное совместное продвижение в заказчиков друг друга. Мы не только решали вопросы интеграции наших решений, но и тщательно изучали особенности продуктов компании RuSIEM. В ближайшей перспективе мы планируем к выпуску модуль взаимодействия с SIEM-системой наших партнеров. Ближе к сроку реализации такого модуля мы раскроем дополнительные детали, — сказал Александр Белявский, коммерческий директор Zecurion.

В составе ПАК для задач управления событиями информационной безопасности

28 октября 2021 года компания RuSIEM сообщила о создании программно-аппаратного комплекса (ПАК) на базе линейки серверов корпоративного уровня стандартной архитектуры VEGMAN компании YADRO. ПАК является готовым решением для задач управления событиями информационной безопасности, в его основе – программное обеспечение и вычислительная платформа, которые полностью отвечают требованиям реестров отечественного оборудования и программного обеспечения.

ПАК RuSIEM — это типовое решение, которое мы поддерживаем на постоянной основе и гарантируем полную совместимость всех его компонентов. Таким образом, заказчики получают готовый и полностью настроенный под их спецификацию ПАК, который выдерживает высокие мощности, что дополнительно сокращает время, необходимое на первоначальное разворачивание системы, — отметил Максим Степченков, совладелец RuSIEM.

В рамках нагрузочных тестирований была проверена стабильность и качество работы SIEM-системы от компании RuSIEM при разных потоках событий. На основании результатов тестирования были собраны различные модели решения.

Компания активно работает над реализацией директив правительства по переходу на использование преимущественно отечественного ПО и оборудования. Такого рода миграции – это всегда комплексный подход, поэтому мы регулярно тестируем новые отечественные решения, чтобы соотнести их возможности с нашими потребностями. Разумеется, российский программно-аппаратный комплекс для задач информационной безопасности нам крайне интересен, — отметил Станислава Сергеевича Игнатова, директора департамента информационной безопасности АО «Росгеология».

Интеграция c СКДПУ НТ «АйТи Бастион»

Компании RuSIEM и «АйТи Бастион» завершили первый этап интеграции системы контроля действий поставщиков ИТ-услуг СКДПУ НТ и системы управления событиями информационной безопасности RuSIEM. Об этом 31 августа 2021 года сообщила компания RuSIEM.

Фото: www.codeib.ru

Интеграция решений позволит заказчикам «АйТи Бастион», установившим RuSIEM, получать полные и подробные данные о событиях информационной безопасности в SIEM-системе и в результате повысить защищенность своей ИТ-инфраструктуры. Данные из СКДПУ НТ будут передаваться в RuSIEM, которая их обрабатывает в автоматическом режиме с использованием прописанных в ней под СКДПУ НТ правил корреляции и отображает результат обработки в едином интерфейсе SIEM-системы. Таким образом, интеграция СКДПУ НТ и RuSIEM позволит заказчикам «АйТи Бастион» сократить время на обнаружение инцидентов в разных частях ИТ-инфраструктуры и более оперативно реагировать на них, в том числе и при удаленном доступе к ИТ-инфраструктуре.

«Когда в организации увеличивается количество используемых средств защиты информации, возникает необходимость оптимизации процесса и унификации результата обработки поступающих от них данных. SIEM-система является ядром ИБ-инфраструктуры, но ее часто надо дорабатывать с учетом параметров других используемых в компании ИБ-решений. Иными словами, кастомизировать под имеющиеся у заказчика источники данных, такие, как, например, решение по контролю действий привилегированных пользователей. Для этого мы и коллеги из «АйТи Бастион» сначала спрогнозировали угрозы, а затем прописали правила корреляции, которые позволят обнаруживать атаки. В результате проделанных работ мы обучили RuSIEM работать с данными, поступающими из СКДПУ НТ», – сообщил совладелец компании RuSIEM Максим Степченков.

«Как вендор мы всё чаще получаем запросы от заказчиков на усиление защиты ИТ-инфраструктуры за счёт интеграции с теми или иными решениями. Тем заказчикам, у которых уже установлена система RuSIEM, не придётся ждать, пока интегратор придумает, как «подружить» её с СКДПУ НТ. Наша интеграция реализована и успешно протестирована. Таким образом, заказчики экономят время при внедрении одной из систем, а значит – и деньги», – рассказал генеральный директор «АйТи Бастион» Александр Новожилов.

Интегрированное решение может быть внедрено в широком спектре отраслей и технологических сетях. СКДПУ НТ и RuSIEM входят в реестр российского ПО, что позволяет их заказчикам соответствовать требованиям соблюдать запрет на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд.

Доработка модуля архивации

21 июля 2021 года компания RuSIEM, российский разработчик программного обеспечения в области информационной безопасности, выпустила обновленный технологический релиз системы мониторинга, сбора и анализа событий RuSIEM.

Релиз включает порядка 40 обновлений и функций. Среди основных изменений – доработка модуля архивации, использование которой теперь позволяет выгружать и хранить события информационной безопасности на внешнем сетевом носителе на долгосрочной основе. Это дает возможность выполнять требования законодательства в части времени хранения событий с гораздо меньшими затратами аппаратных ресурсов, а также качественнее проводить расследования инцидентов. Реализация сложных атак обычно происходит в несколько этапов и длится несколько месяцев, то есть при расследовании инцидентов необходимо в основном обращаться к данным, которые поступали в систему несколько месяцев или даже лет назад.

Так как ущерб от сложных атак бывает для компании довольно существенным, необходимо иметь возможность оперативно обнаружить и закрыть «пробой» для предотвращения его повторного использования. Функция архивации позволит переносить события на сетевое хранилище и при необходимости обратиться к ним, чтобы проанализировать и найти уязвимость, – поясняет технический директор RuSIEM Антон Фишман.

Вторая часть обновлений системы связана с модулем оператора RuSIEM RuAgent. Модуль теперь собирает информацию о низкоуровневых событиях, происходящих на уровне ядра операционной системы, что необходимо для выявления новых видов угроз. Такой функционал используется в системах класса EDR (Endpoint Detection & Response). Именно этот функционал позволяет выявлять сложные и целевые атаки, направленные на хищение средств и данных.

Использование EDR позволяет собирать и отправлять в SIEM-систему низкоуровневые события, анализ которых дает возможность выявлять и расследовать самые сложные и современные атаки. Современное ВПО многосоставное и поступает по разным каналам (мессенджеры, почта, Интернет и другие), при этом злоумышленники часто используют актуальные уязвимости, еще не исправленные, либо не закрытые патчами, и специально проверяют, чтобы оно не обнаруживалось современными антивирусами. Выявить такие угрозы можно только с помощью сбора и анализа событий, происходящих на уровне ядра операционной систем – на самом низком уровне, – отмечает Антон Фишман.

Возможность использования в правилах корреляции Mitre ID

12 июля 2021 года компания RuSIEM, российский разработчик программного обеспечения в области информационной безопасности, сообщила о выпуске технологического релиза системы мониторинга, сбора и анализа событий RuSIEM.

RuSIEM

Поскольку технологии, используемые как разработчиками и пользователями IT-решений, так и злоумышленниками, непрерывно эволюционируют, системы защиты информации должны оперативно подстраиваться под возникающие риски и угрозы. Это в полной мере относится к системам класса SIEM, предназначенным, как и любое решение в области информационной безопасности, для минимизации рисков хищения денежных средств, а также предотвращения финансовых потерь и репутационных рисков в связи с нарушением непрерывности технологических и IT-процессов в результате кибератак и реализации угроз. отметил Антон Фишман, технический директор RuSIEM

По информации компании, обновленный релиз системы RuSIEM содержит доработки, позволяющие оперативно и без увеличения затрат ресурсов обнаруживать различные виды угроз, классифицировать и своевременно предотвращать их последствия.

Релиз включает порядка 40 обновлений и функций. Наиболее существенные изменения коснулись функционала сбора информации, управления событиями информационной безопасности и настройки правил корреляции, а также работы с информационными активами пользователей.

Помимо этого, среди ключевых обновлений:

• возможность использования в правилах корреляции Mitre ID и иных классификаторов. Это позволяет категоризировать корреляции и оптимизируют работу при расследовании инцидентов и подготовке отчетов для регуляторов;
• оптимизация демона корреляции при работе с syslog, что позволило оптимизировать производительность системы более чем в 2.5 раза при тех же аппаратных затратах;
• добавлена поддержка ElasticSearch 7.14. Пользователи системы могут использовать большее количество обновленных операций и команд при работе с данными, однако основной эффект можно будет увидеть в будущем при добавлении функционала архивации. Пользователи RuSIEM с ElasticSearch 7.14 смогут работать с данными в архивных снапшотах в режиме реального времени, не загружая их в систему.

По сути, обновления решают одну задачу – оптимизировать процесс управления риском реализации угроз информационной безопасности. Требования к организации риск-менеджмента предъявляют государственные регуляторы, например, в финансовой сфере. Поэтому мы как разработчик SIEM-системы стараемся, чтобы результаты ее использования соответствовали рекомендательным и нормативным отраслевым документам. дополнил Фишман

Сертификат ФСТЭК

19 мая 2021 года компания RuSIEM, российский разработчик программного обеспечения в области мониторинга и управления событиями информационной безопасности, сообщила о получении сертификата ФСТЭК России на систему мониторинга, сбора и анализа событий RuSIEM.

Сертификат соответствия ФСТЭК России № 4402, выданный 12 мая 2021 года, удостоверяет, что программный комплекс «Система управления событиями безопасности «RuSIEM», разработанный и производимый ООО «РуСИЕМ» в соответствии с техническими условиями 02646976.62.01.29.001 ТУ, является системой управления событиями информационной безопасности.

В соответствии с экспертным заключением, система RuSIEM отвечает требованиям по безопасности информации, установленным в документе «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (ФСТЭК России, 2020) – по 4 уровню доверия и технических условиях при выполнении указаний по эксплуатации, приведенных в формуляре 02646976.62.01.29.001 30 01.

Сертификат выдан на основании технического заключения от 05.04.2021, оформленного по результатам сертификационных испытаний испытательной лабораторией АО «Документальные Системы», и экспертного заключения от 12.04.2021, оформленного органом по сертификации ФАУ «ГНИИ ПТЗИ ФСТЭК России».

Сертификат соответствия действителен до 12 мая 2026 года.

Максим Степченков, совладелец компании RuSIEM, отметил: «Получение сертификата ФСТЭК России является стратегически важным событием для развития продукта. Заказчики получают возможность приобретения не только качественного продукта, но и продукта, соответствующего требованиям регуляторов в части SIEM. Теперь компании промышленного, энергетического и государственного сектора, в рамках требований нормативных документов, смогут воспользоваться нашим продуктом и оценить его эффективность».

SIEM-система от RuSIEM является участником Единого реестра отечественного ПО (№ 3808) и является рекомендованной для применения в государственных учреждениях.

2019

Технологии:

• В основе решения заложена собственная технология, основанная на потребительском спросе, практическом опыте и техническом анализе конкурентов.
• Используются современные принципы разработки, позволяющая решению развиваться, заменять модули и пополнять решение новыми, подстраиваться под потребности клиентов
• Практическое использование AI и DL технологии

Примеры событий:

• Сетевые атаки
• Фрод и мошенничество
• Откуда и когда блокировались учетные записи
• Изменение конфигураций «не админами»
• Повышение привилегий
• Выявление несанкционированных сервисов
• Обнаружение НСД (вход под учетной записью уволенного сотрудника)
• Отсутствие антивирусной защиты на новом установленном компьютере
• Изменение критичных конфигураций с VPN подключений
• Контроль выполняемых команд на серверах и сетевом оборудовании
• Аудит изменений конфигураций (сетевых устройств, приложений, ОС)
• Выполнение требований Законодательства и регуляторов (PCI СТО БР, ISO 27xx)
• Аномальная активность пользователя (массовое удаление/копирование)
• Обнаружение вирусной эпидемии
• Обнаружение уязвимости по событию об установке софта
• Оповещение об активной уязвимости по запуску ранее отключенной службы
• Обнаружение распределенных по времени атаках
• Влияние отказа в инфраструктуре на бизнес процессы

2017: DeviceLock DLP стала источником событий для RuSIEM

17 июля 2017 года компании «Смарт Лайн» и RuSIEM объявили о технологической интеграции собственных продуктов для повышения эффективности при предотвращения утечек корпоративной информации и анализе инцидентов.

В результате интеграции DLP-комплекс DeviceLock DLP действует для системы управления событиями информационной безопасности RuSIEM в качестве источника событий информационной безопасности^[1].

DeviceLock DLP направляет в SIEM-системы оперативную информацию в реальном времени по протоколам SNMP и SYSLOG, может дублировать записи журналов событийного протоколирования. Тревожные оповещения могут создаваться и направляться в SIEM-системы в результате разрешенных и запрещенных попыток передачи данных по различным каналам сетевых коммуникаций, записи информации на съемные накопители, печати документов на локальные и сетевые принтеры, передачу данных в терминальных сессиях через буфер обмена и т.д.

Примечания