SIEM-система: что это такое и зачем нужна бизнесу в 2025 году
9 мая 2025 · 9 мин чтения · System Networks
SIEM-система (Security Information and Event Management) — это централизованная платформа, которая собирает логи и события безопасности со всей инфраструктуры компании, анализирует их в реальном времени и оповещает ИБ-службу об атаках. Без SIEM даже крупная команда безопасности не способна обработать миллионы событий в день вручную. В 2025 году это не роскошь — это базовый инструмент для компаний с более чем 200 рабочими местами.
Что такое SIEM: объяснение без жаргона
Представьте, что в вашей компании 300 компьютеров, 20 серверов, межсетевой экран, почтовый сервер и корпоративное приложение. Каждое из этих устройств каждую секунду генерирует логи: кто вошёл в систему, какой файл открыл, к какому IP-адресу подключился, какое ПО запустил.
В сутки это десятки миллионов строк. Просматривать их вручную невозможно. Именно это делает SIEM: собирает все эти события в единую базу, применяет правила корреляции (например: «если один пользователь попытался войти с неправильным паролем 20 раз за минуту — это атака bruteforce») и немедленно оповещает аналитика.
Как расшифровывается SIEM
SIM — Security Information Management
Долгосрочное хранение логов, поиск по историческим данным, расследование инцидентов
SEM — Security Event Management
Мониторинг в реальном времени, корреляция событий, немедленные оповещения
SIEM = SIM + SEM. Современные платформы объединяют оба подхода.
Как работает SIEM: архитектура и принцип действия
Работа SIEM-системы состоит из нескольких этапов:
Сбор событий
Агенты на конечных устройствах или безагентный сбор по syslog/API передают события на сервер SIEM. Источники: Windows Event Log, Linux auditd, межсетевые экраны, IDS/IPS, антивирусы, почтовые серверы, облачные сервисы.
Нормализация
События из разных источников приводятся к единому формату. Firewall Cisco и антивирус Kaspersky пишут логи по-разному — SIEM «переводит» их в единый язык для корреляции.
Корреляция
Движок корреляции применяет правила для обнаружения паттернов атак. Правила могут быть встроенными («из коробки») или написанными специалистами под конкретную инфраструктуру.
Обнаружение и алертинг
При срабатывании правила создаётся инцидент с приоритетом. Аналитик получает уведомление в интерфейсе SIEM, по email, в Telegram или в SOAR/тикет-системе.
Хранение и расследование
Все «сырые» события хранятся (обычно 90–365 дней). При расследовании инцидента аналитик поднимает полную хронологию событий: что произошло, как, когда и в какой последовательности.
Зачем SIEM нужна бизнесу в 2025 году
По данным Positive Technologies, среднее время обнаружения атаки в российских компаниях без SIEM составляет 207 дней. Это означает, что злоумышленник уже более полугода находится в сети, прежде чем его заметят. За это время он успевает установить бэкдоры на десятки хостов, выгрузить критические данные и подготовить деструктивную атаку.
Компании с внедрённой SIEM и дежурящей командой SOC сокращают MTTD (Mean Time to Detect — среднее время обнаружения) до нескольких часов или минут.
207 дней
среднее MTTD без SIEM
4–8 часов
MTTD с SIEM и SOC
×26
быстрее обнаружение
Кроме обнаружения атак, SIEM решает ещё несколько задач:
- ·Выполнение требований регуляторов — для КИИ (187-ФЗ) и ГИС обязателен мониторинг событий, SIEM — стандартный инструмент
- ·Расследование инцидентов — полная хронология событий ускоряет forensics и помогает понять вектор атаки
- ·Соответствие 152-ФЗ — мониторинг доступа к персональным данным, фиксация нарушений
- ·Контроль привилегированных пользователей — аномальные действия администраторов попадают в алерты
- ·Аудит изменений — кто, когда и что изменил в конфигурации критических систем
Российские SIEM-системы в 2025 году
После ухода западных вендоров (Splunk, IBM QRadar, ArcSight) российский рынок SIEM занят отечественными решениями. Рассмотрим три основных:
MaxPatrol SIEM
Positive Technologies
Сильные стороны:
- +Глубокая интеграция с MaxPatrol VM
- +Готовые пакеты экспертизы (PT Expert Security Center)
- +Сертификат ФСТЭК
- +Широкая база коннекторов к российским системам
Ограничения:
- −Высокая стоимость лицензии
- −Сложность настройки правил корреляции
- −Требует квалифицированных специалистов
RuSIEM
RuSIEM
Сильные стороны:
- +Более доступная цена для МСБ
- +Относительно быстрое внедрение
- +Сертификат ФСТЭК
- +Российская разработка без иностранных зависимостей
Ограничения:
- −Меньший набор готовых коннекторов
- −Менее развитая экосистема
- −Меньше готовых правил корреляции «из коробки»
KUMA
Лаборатория Касперского
Сильные стороны:
- +Тесная интеграция с продуктами Kaspersky
- +Хорошая скорость обработки событий
- +Сертификат ФСТЭК
- +Поддержка MITRE ATT&CK
Ограничения:
- −Оптимален при наличии других продуктов Kaspersky
- −Меньше партнёров по внедрению
Когда SIEM действительно нужна
SIEM — мощный, но дорогой инструмент. Он оправдан не для всех компаний. Вот практические критерии:
| Признак | SIEM нужна | Пока можно без SIEM |
|---|---|---|
| Размер IT-инфраструктуры | 200+ хостов, 20+ серверов | До 50 рабочих мест |
| Требования регулятора | КИИ, ГИС 1 класса, банки, телеком | Нет особых требований |
| Наличие ИБ-команды | Есть выделенный SOC или ИБ-аналитик | ИБ совмещают с ИТ |
| Критичность данных | Персданные, финансы, коммерческая тайна | Некритичные данные |
| История инцидентов | Были атаки или утечки | Инцидентов не было |
Альтернатива для малого бизнеса
Если бюджет не позволяет внедрить SIEM, рассмотрите MDR-сервис (Managed Detection and Response) или SOC-as-a-service: вы получаете мониторинг 24/7 без необходимости содержать собственную SIEM и команду. Стоимость — от 150 000 рублей в месяц.
Стоимость внедрения SIEM в России
Бюджет на SIEM складывается из нескольких статей:
Малый: до 100 EPS / Средний: 100–500 EPS / Крупный: от 500 EPS
Типичные ошибки при внедрении SIEM
Внедрение SIEM без учёта этих факторов приводит к тому, что дорогостоящая система стоит «на полке» и не приносит пользы:
Не назначили ответственного
SIEM требует аналитика, который разбирает алерты. Без него система генерирует тысячи уведомлений, которые никто не смотрит.
Не настроили правила корреляции
Стандартные правила «из коробки» покрывают лишь часть угроз. Нужна кастомизация под конкретную инфраструктуру — иначе пропускаете реальные атаки.
Подключили не все источники
Если контроллеры домена AD не подключены к SIEM — атаки типа Pass-the-Hash и Kerberoasting будут невидимы.
Игнорируют alert fatigue
Сотни алертов в день — это тоже проблема. Аналитик начинает игнорировать уведомления. Нужна правильная приоритизация и тюнинг правил.
Аудит и внедрение SIEM
Аудит ИБ и помощь с выбором SIEM для вашей компании →MaxPatrol SIEM · RuSIEM · KUMA · интеграция с российской инфраструктурой · от 120 000 ₽
Частые вопросы о SIEM-системах
Что такое SIEM-система простыми словами?
SIEM — это система, которая собирает логи и события безопасности со всей инфраструктуры компании в одном месте, анализирует их в реальном времени и оповещает службу ИБ об атаках и инцидентах. Это «центр управления безопасностью» для вашей IT-инфраструктуры.
Какие российские SIEM-системы существуют?
Основные российские SIEM-системы: MaxPatrol SIEM от Positive Technologies, RuSIEM, KUMA от Лаборатории Касперского, KOMRAD Enterprise от «Эшелона». Все включены в реестр отечественного ПО и имеют сертификаты ФСТЭК.
Сколько стоит внедрение SIEM?
Лицензия на российскую SIEM для среднего бизнеса (до 500 EPS) — от 1,5 до 4 млн рублей в год. Работы по внедрению — ещё от 800 000 до 2,5 млн рублей. Альтернатива — аренда SIEM в рамках MDR-сервиса от 150 000 рублей в месяц.
Обязательна ли SIEM для выполнения требований ФСТЭК и 187-ФЗ?
Для субъектов КИИ 1-й и 2-й категории значимости организация мониторинга инцидентов обязательна, и SIEM — наиболее признанный инструмент. ФСТЭК рекомендует SIEM для ГИС 1-го класса. Для большинства коммерческих компаний SIEM не обязательна, но значительно ускоряет обнаружение инцидентов.
Что такое EPS в SIEM?
EPS (Events Per Second) — количество событий безопасности в секунду, которое SIEM обрабатывает. Это основной параметр лицензирования. Малый бизнес — до 100 EPS, средний — 100–1000 EPS, крупный — тысячи EPS.