.PNG)
Каждую минуту в типичной корпоративной сети генерируются тысячи событий безопасности: входы в систему, обращения к файлам, сетевые подключения, изменения конфигурации. Большинство — легитимные. Одно — начало атаки. Без системы мониторинга информационной безопасности найти это одно событие в потоке невозможно. Среднее время обнаружения атаки без SIEM — 197 дней (IBM X-Force, 2023). С выстроенным мониторингом — часы.
1Что такое мониторинг событий ИБ
Мониторинг событий информационной безопасности — это непрерывный процесс сбора, нормализации и анализа данных о состоянии IT-инфраструктуры с целью раннего обнаружения угроз и инцидентов. Данные поступают со всех узлов инфраструктуры: серверов, рабочих станций, сетевых устройств, облачных сервисов, приложений.
Ключевой принцип мониторинга ИБ — корреляция событий. Одиночное событие редко является признаком атаки. Комбинация — неудачный вход + нетипичное время + обращение к чувствительному файлу + исходящий трафик на внешний IP — однозначно указывает на компрометацию. SIEM строит такие цепочки автоматически.
Мониторинг ИБ — требование регуляторов
2Как работает SIEM — технологическая основа мониторинга
SIEM (Security Information and Event Management) — это центральная система, через которую проходят все события безопасности в инфраструктуре. Работа SIEM состоит из пяти этапов:
| Этап | Что происходит | Результат |
|---|---|---|
| 1. Сбор событий | Агенты и коннекторы собирают логи со всех источников: ОС, приложения, сеть, облако | Единый поток «сырых» событий |
| 2. Нормализация | Разнородные форматы логов приводятся к единой структуре | Сопоставимые данные из разных систем |
| 3. Корреляция | Правила и ML-модели ищут аномалии и цепочки подозрительных событий | Алерты с приоритетом и контекстом |
| 4. Расследование | Аналитик SOC верифицирует алерт, исключает ложные срабатывания, выясняет масштаб | Подтверждённый инцидент или закрытый алерт |
| 5. Реагирование | Команда IR изолирует угрозу, восстанавливает работу, фиксирует данные для форензики | Устранённый инцидент, отчёт, рекомендации |
Подробнее о технологии: что такое SIEM — принципы работы и выбор системы.
3Что мониторят: источники событий
Чем шире охват источников — тем точнее картина угроз. Системы мониторинга ИБ собирают события со следующих категорий:
Рабочие станции и серверы
Логи ОС Windows/Linux: входы, создание процессов, изменения реестра, работа с файлами. Особенно важны события на контроллерах домена — компрометация AD открывает доступ ко всей инфраструктуре.
Сетевые устройства и периметр
Логи NGFW, маршрутизаторов, коммутаторов, VPN-шлюзов. NetFlow — анализ трафика без расшифровки. Позволяет выявить боковое перемещение атакующего и попытки эксфильтрации данных.
Средства защиты (EDR, антивирусы, WAF)
Алерты EDR о подозрительных процессах, поведенческих аномалиях, попытках эксплуатации уязвимостей. WAF — атаки на веб-приложения. Антивирусы — срабатывания на известные угрозы.
Приложения и бизнес-системы
Логи ERP, CRM, баз данных, почтовых серверов. Аномальные запросы к БД могут указывать на SQL-инъекцию или инсайдерскую угрозу. Массовые скачивания файлов — на утечку данных.
Облачные сервисы
Microsoft 365, Google Workspace, AWS, Yandex Cloud: логи авторизации, управления правами, доступа к данным. Облачные атаки часто начинаются с компрометации учётных записей.
Системы управления доступом (PAM/IAM)
Привилегированные учётные записи — главная цель атакующих. Мониторинг действий администраторов, использования сервисных аккаунтов, изменений в правах доступа.
SCADA / АСУ ТП (для КИИ)
Промышленные протоколы (Modbus, OPC-UA, IEC 61850) требуют специализированных коннекторов. Атаки на АСУ ТП могут привести к физическому ущербу — мониторинг здесь критичен.
4Центр мониторинга ИБ (SOC): люди и процессы
Технология без людей не работает. SIEM генерирует сотни алертов в день, часть из которых ложные. Разобраться в них, расставить приоритеты и среагировать — задача аналитиков Security Operations Center (SOC).
| Уровень | Роль | Задачи |
|---|---|---|
| L1 (Триаж) | Аналитик мониторинга | Приём и первичная классификация алертов, фильтрация ложных срабатываний, эскалация на L2 |
| L2 (Расследование) | Старший аналитик ИБ | Углублённый анализ инцидентов, построение цепочки атаки, принятие решений по реагированию |
| L3 (Threat Hunting) | Эксперт по угрозам | Проактивный поиск скрытых угроз, разработка новых правил корреляции, анализ APT |
| IR (Реагирование) | Команда Incident Response | Изоляция угрозы, форензика, восстановление инфраструктуры, юридически значимая документация |
| TI (Разведка) | Threat Intelligence аналитик | Мониторинг даркнета, обработка фидов угроз, применение IoC в SIEM |
О том, как устроен центр мониторинга ИБ изнутри: что такое SOC — структура и принципы работы.
5Самостоятельный мониторинг vs аутсорсинг SOC
Развернуть SIEM можно самостоятельно. Вопрос — обеспечить ли при этом реальную эффективность мониторинга. Объективное сравнение:
| Параметр | Собственный SIEM | Внешний SOC / MSSP |
|---|---|---|
| Стоимость (500 источников) | Лицензия SIEM 500K–2М ₽/год + 2–3 аналитика | от 200–400 тыс. ₽/мес — всё включено |
| Мониторинг 24/7 | Требует ночных смен или дежурства | Включён в базовый пакет |
| Время до запуска | 3–9 месяцев (закупка, настройка, обучение) | 2–4 недели (подключение к готовому SIEM) |
| Качество правил корреляции | Зависит от квалификации команды | Библиотека из тысяч правил + TI-фиды |
| Реагирование на инциденты | Собственная команда IR (или нет) | IR в составе сервиса — SLA 15–60 минут |
| Обновление угроз | Ручное обновление правил и сигнатур | Автоматически через TI-платформу |
Подробнее об аутсорсинге мониторинга ИБ: аутсорсинг ИБ — что входит и сколько стоит.
197
дней
среднее время обнаружения без SIEM (IBM, 2023)
<1ч
обнаружение
при выстроенном мониторинге SOC
24/7
мониторинг
без пропусков и «слепых зон»
1000+
правил
корреляции в библиотеке КРЕДО-С
6Стоимость мониторинга событий ИБ
Цена определяется количеством источников событий (Assets Under Management), режимом работы и набором сервисов:
| Пакет | Источники событий | Что включено | Стоимость/мес |
|---|---|---|---|
| Старт | до 50 источников | SIEM-мониторинг, алертинг, отчёт | от 50 000 ₽ |
| Бизнес | 50–200 источников | Мониторинг 24/7 + L1/L2 аналитики + IR 8×5 | от 120 000 ₽ |
| Профессиональный | 200–500 источников | Мониторинг 24/7 + IR 24/7 + TI + управление уязвимостями | от 250 000 ₽ |
| Enterprise / КИИ | 500+ источников | Полный стек SOC, ГосСОПКА, SLA 15 мин, выделенная команда | от 500 000 ₽ |
Как считается стоимость
7Мониторинг ИБ и регуляторные требования
Мониторинг событий ИБ — не только лучшая практика, но и прямое требование ряда нормативных документов:
| Документ | Требование к мониторингу | Для кого |
|---|---|---|
| Приказ ФСТЭК №17 / №21 | Меры РСБ (регистрация событий безопасности) и АУД (аудит безопасности) — обязательны | ГИС, ИСПДн |
| Приказ ФСТЭК №239 | Мониторинг и анализ событий безопасности (МОН 1–6) — в зависимости от категории | Значимые объекты КИИ |
| ГОСТ Р 57580.1 | Управление инцидентами и мониторинг событий ИБ — уровни 1–3 | Финансовые организации |
| 187-ФЗ + Указ ФСБ | Передача информации об инцидентах в ГосСОПКА в установленные сроки | Субъекты КИИ |
Для субъектов КИИ требования мер МОН по Приказу ФСТЭК №239 различаются по категориям: для значимых объектов 1-й категории обязателен полный комплекс мониторинга, для 3-й — базовый уровень. Подробнее о регуляторных требованиях для КИИ: защита объектов КИИ.
Мониторинг ИБ от КРЕДО-С
24/7/365
Собственный SOC в Москве. SIEM на базе российских и зарубежных платформ (PT SIEM, MaxPatrol SIEM, IBM QRadar). Аналитики L1/L2/L3 в реальном времени. Подключение к ГосСОПКА. Лицензиат ФСТЭК с 2007 года.
Часто задаваемые вопросы
Эта статья подготовлена командой КРЕДО-С — эксперта по информационной безопасности с 1993 года. Используйте наш калькулятор стоимости SOC, пройдите бесплатный экспресс-аудит ИБ или проверьте размер штрафов за нарушения ИБ.
Алексей Смирнов
Руководитель SOC КРЕДО-С
Руководит центром мониторинга информационной безопасности КРЕДО-С. 10 лет опыта в эксплуатации SIEM и построении процессов обнаружения угроз для Enterprise и КИИ.