Современная SIEM-система
11.06.2026
Запись вебинара

Современная SIEM-система на примере UserGate SIEM

UserGate SIEM: Когда SIEM перестает быть просто «лог-сборником» и учится защищать
Современные системы управления информацией и событиями безопасности (SIEM) давно перестали быть просто «лог-сборниками». Они превратились в полноценные центры управления безопасностью, способные не только анализировать, но и активно противостоять атакам. На примере решения UserGate SIEM разберем, чем отличаются современные SIEM-системы от классических, как они помогают автоматизировать работу аналитиков и почему экосистемный подход становится ключевым трендом в ИБ.

Что делает SIEM-систему современной?

Классические SIEM-решения в основном занимались сбором данных и предоставлением красивых дашбордов. Современные системы, напротив, строятся вокруг трех ключевых принципов:

1. Автоматизация процессов
 Главная задача — не просто показать аналитику, что произошло, а помочь ему быстрее реагировать. Это достигается за счет автоматической корреляции событий и встроенных сценариев реагирования.

2. Экосистемность
 Продукты внутри экосистемы вендора должны «доверять» друг другу и обмениваться данными. Это позволяет выстроить целостную защиту, где межсетевой экран (NGFW), агенты на конечных точках и SIEM-система работают как единый механизм.

3. Активное реагирование
 Современный SIEM не просто сигнализирует об инциденте, но и может автоматически его блокировать. Например, внести IP-адрес атакующего в черный список на межсетевом экране или изолировать зараженную рабочую станцию от сети.

Преимущество UserGate SIEM: Единообразие интерфейса с NGFW и простота развертывания. Поставляется как образ виртуальной машины на базе UserGate OS, что исключает сложные манипуляции с установкой операционной системы и зависимостей.

Архитектура и сбор данных: фундамент анализа

Качество работы любой SIEM-системы напрямую зависит от того, какие данные она получает. UserGate SIEM использует многоуровневый подход к сбору информации.

1. Источники данных
Система агрегирует логи из самых разных источников:
  • Сетевые экраны и NGFW (родные продукты UserGate).
  • Серверы и рабочие станции (Windows Event Collector, системный журнал Linux).
  • Инфраструктурное оборудование.
  • Сторонние средства защиты, включая DLP-системы и антивирусы.

2. Ключевой компонент: AuditD для Linux
Одной из самых важных, но часто недооцененных функций является глубокий мониторинг Linux-систем с помощью подсистемы AuditD.
В отличие от обычного системного журнала (Syslog), который видит только «поверхность» событий приложений, AuditD работает на уровне ядра. Он перехватывает системные вызовы (syscalls) до их обработки, что позволяет фиксировать:
  • Изменения критичных файлов (/etc/passwd, конфигурации).
  • Запуск процессов (execve).
  • Монтирование/размонтирование файловых систем.

Преимущества AuditD:
  • Детализация: Ловит действия, скрытые от приложений.
  • Структурированный формат: Данные легко парсятся и нормализуются для корреляции.
  • Точечные фильтры: Можно настроить мониторинг по конкретному пользователю, пути или системному вызову, снижая нагрузку и шум.

Важно: AuditD не является стандартным решением для всех SIEM, но именно он позволяет эффективно выявлять сложные атаки на уровне ядра, такие как повышение привилегий, которые не оставляют следов в обычных логах приложений.

3. Написание парсеров и коннекторов
Если в инфраструктуре используется редкое или самописное ПО, вендор может помочь с разработкой коннекторов. Однако, как отмечают инженеры UserGate, опытный специалист способен самостоятельно написать парсер для новых логов в течение одного-двух дней.

Корреляция и правила: более тысячи сценариев

Сердце SIEM-системы — это механизм корреляции. В UserGate SIEM он строится на основе правил, написанных на языке YAML. На данный момент в систему встроено более 1000 правил, разбитых по тактикам и техникам матрицы MITRE ATT&CK.

Как создаются правила?
Процесс создания правил в UserGate SIEM максимально упрощен:
  • Из поиска — в правило: Аналитик может найти нужное событие через поиск, отфильтровать его, а затем одной командой (Ctrl+C/V) преобразовать фильтр в готовое корреляционное правило.
  • Кастомизация: Правила можно дописывать, импортировать/экспортировать. Это позволяет быстро адаптироваться под специфику инфраструктуры конкретного заказчика.
  • Исключения (White-listing): Для снижения числа ложных срабатываний (false-positives) в правила можно добавлять исключения по IP-адресам, пользователям или процессам.

Работа с уязвимостью DirtyFrag: пример из практики
Во время демонстрации был показан пример использования UserGate SIEM для обнаружения трендовой уязвимости DirtyFrag (локальное повышение привилегий до root в Linux).
Сценарий атаки выглядит так:
  • Злоумышленник получает доступ к системе под обычным пользователем (без прав sudo).
  • Запускает эксплойт, который использует уязвимость в сетевом стеке ядра.
  • Эксплойт успешно повышает права до уровня root.

Как это обнаружить с помощью AuditD и SIEM?
  • На Linux-активах настраивается AuditD для отслеживания изменений эффективного идентификатора пользователя (EUID).
  • В UserGate SIEM создается правило (или используется коробочное), которое ищет события, где AUID (реальный инициатор) не равен root, а EUID (эффективный пользователь) становится root.
  • При срабатывании правила система сигнализирует о попытке несанкционированного повышения привилегий.

Этот пример наглядно показывает, что без глубокого аудита на уровне ядра (AuditD) и гибкой системы корреляции обнаружить такую атаку было бы крайне сложно.

Преимущества и особенности UserGate SIEM

1. Лицензирование: продолжает работать даже после истечения подписки
Это важное конкурентное отличие. Если срок лицензии на обновления (Security Update) истек, система не прекращает свою работу. Она продолжает собирать и анализировать логи, просто без получения новых версий правил и без возможности открытия тикетов в поддержку. Это дает заказчику «подушку безопасности» при бюрократических задержках.

2. Простота и интеграция
Интерфейс UserGate SIEM максимально унифицирован с интерфейсом NGFW, что снижает порог входа для ИТ-специалистов, уже знакомых с продуктами вендора.

3. Работа с историей (Ретроспективный анализ)
Система позволяет применять новые правила к историческим данным. Это значит, что если аналитики обнаружили новую угрозу и создали под нее правило, они могут проверить, не была ли эта атака совершена в прошлом.

4. Производительность и масштабирование
Типовая лицензия UserGate SIEM рассчитана на обработку до 32 000 событий в секунду (EPS). Для большинства компаний среднего размера (несколько тысяч сотрудников) этот показатель с запасом покрывает потребности. В качестве СУБД для горячего хранения используется ClickHouse, что обеспечивает высокую скорость обработки запросов.

Заключение

UserGate SIEM — это не просто SIEM, а полноценный оркестратор безопасности в рамках экосистемы вендора. Его ценность раскрывается через:
  • Глубину анализа: Благодаря поддержке AuditD система видит то, что скрыто от поверхностных логов.
  • Скорость реакции: Автоматические плейбуки позволяют блокировать угрозы в реальном времени.
  • Гибкость: Аналитики могут быстро создавать собственные правила без помощи разработчиков вендора.

Как и любой другой инструмент, SIEM не является «волшебной таблеткой». Его эффективность определяется не только наличием 1000 правил, но и квалификацией команды, проработанными планами реагирования и регулярным процессом обновления и настройки. UserGate SIEM предоставляет для этого все необходимые инструменты, делая безопасность не формальным отчетом, а управляемым процессом.
Главное в записи вебинара:
Как менялись SIEM-системы и почему классический подход больше не работает
Какие функции стали критичными для эффективного выявления инцидентов
Какие задачи решает UserGate SIEM и как она помогает SOC-аналитикам
UserGate SIEM: современный подход к управлению событиями безопасности в 2026
В записи вас ждёт обзор изменений в ландшафте атак за год: какие техники злоумышленников лидируют по опасности, как на практике выстроить эффективную защиту и почему умные боты превратились в основную головную боль бизнеса
Спикеры
Ряскин Глеб
руководитель группы инженеров TS Solution
Афанасьев Алексей
менеджер по развитию UserGate SIEM
Спицын Роман
рresale-инженер UserGate
Скачать материалы

Вебинар будет особенно актуален для компаний, которые

01
уже имеют SIEM, но не получают нужных результатов
02
тонут в событиях и не понимают, что действительно важно
03
тратят слишком много времени на реагирование
04
перегружены ручной работой в SOC
05
находятся в процессе выбора новой SIEM-системы
Познакомьтесь с Indeed Privileged Access Manager (Indeed PAM) вместе с командой ТС Солюшен
Настроим управление доступом и контроль действий привилегированных пользователей
Сопровождаем, поддерживаем и обучаем на всех этапах
Выполняем проекты любого масштаба

Чек-лист эффективности SIEM:

9 ключевых критериев

Проверьте себя по шпаргалке от экспертов TS Solution: от архитектуры и логов до ролевых моделей и алертов.
Курсы с сертификатом от UserGate в авторизованном учебном центре NTC
Библиотека бесплатных материалов по продуктам на TS University

Часто задаваемые вопросы (FAQ)

Что я получу, посмотрев запись?

Посмотрев запись, вы получите полное понимание того, как эволюционировали SIEM-системы, какие функции стали критичными, чем современный подход отличается от классического, какие задачи решает UserGate SIEM, а также увидите демонстрацию.

Будет ли демонстрация?

Да. Покажем интерфейс и базовые схемы работы UserGate SIEM.

Нужно ли уже иметь SIEM-систему, чтобы понять обсуждение?

Нет. Вебинар подойдет как для тех, кто только выбирает систему, так и для тех, у кого она уже внедрена.
Может быть интересно
Выбирай тему, регистрируйся и задавай вопросы экспертам в прямом эфире
Вебинары TS Solution