Обзор UserGate SIEM 7.3
Российским кибербезопасникам хорошо знакома компания UserGate и экосистема ее продуктов UserGate SUMMA. Одним из центральных элементов, своего рода префронтальной корой мозга, является система управления событиями безопасности UserGate SIEM. Она плавно развивалась от простой системы сбора логов до полноценного инструмента анализа и реагирования на инциденты.
Год назад на нашем сайте вышел обзор актуальной на тот момент версии UserGate SIEM 7.1. За это время система прошла значительную трансформацию и окончательно отошла от старой платформы UserGate Log Analyzer. Что именно было обновлено? Рассмотрим в нашем новом обзоре.
Новое в версии UserGate SIEM 7.3
Фундаментальное, однако не самое бросающееся в глаза изменение – теперь UserGate SIEM отделилась от продукта LogAn и имеет собственный дистрибутив. Меняется также и лицензионная политика – тарификация по количеству серверов-источников заменена на тарификацию по количеству процессоров на сервере SIEM. Правда, из-за разной архитектуры нельзя будет бесшовно обновить предыдущие версии SIEM, потребуется переустановка.
Появилась долгожданная возможность отказоустойчивой кластеризации в режиме active-passive. Один сервер SIEM выполняет сбор событий, корреляцию и реагирование, второй, находящийся в резерве, синхронизирует свои настройки и данные с основным сервером, третий выполняет функции арбитра, меняя направление потока данных в случае проблем.
Из важного функционального пополнения – библиотека нормализации логов. Это коллекция готовых правил нормализации, подготовленная экспертами UserGate. В дополнение к этому появилась пользовательская нормализация – возможность создавать собственные шаблоны разбора событий. Существенно выросло и количество встроенных правил: если в 2024 году их было около 400, то теперь – более 1000, и все они создавались с участием экспертов MRC UserGate.
Кроме того, расширился спектр интеграций. Теперь SIEM может работать с Яндекс.Облаком как источником событий, а также собирать логи с систем АСУТП, что актуально для критической информационной инфраструктуры.
В планах на ближайшие релизы – внедрение собственной ML-аналитики, которая дополнит существующую систему обнаружения угроз, улучшая точность и снижая количество ложных срабатываний.
Возможности и функции UserGate SIEM
- Подключение источников событий безопасности. UserGate SIEM поддерживает подключение разнообразных источников логов:
• UserGate NGFW (журналы самого устройства и сетевого трафика, проходящего через него)
• UserGate Management Center (изменения в управляемой инфраструктуре)
• Устройства с установленным UserGate Client (собираются через Management Center)
• Системы, поддерживающие отправку событий по syslog и SNMP (приложения, сетевые устройства, АСУТП-устройства)
• AD/LDAP через UserID-агент по WMI или syslog
• Windows-системы через опрос WMI
• Яндекс.Облако
Для подключения экосистемы SUMMA часто достаточно указать код устройства, отправка и прием syslog тоже достаточно простые операции. Настройка WMI для Windows требует немного больше внимания, но может быть автоматизирована через групповые политики.
- Нормализация событий безопасности. После подключения логи сразу же проходят нормализацию – с помощью встроенных или пользовательских правил. Последние позволяют использовать регулярные выражения для тонкой настройки разбора. Пользовательские правила можно создавать в том числе на основе встроенных.
- Корреляция событий и формирование инцидентов. Собранные и нормализованные события проходят через движок корреляции, где по заранее заданным правилам выявляются потенциальные угрозы. Встроенные правила входят в подписку на экспертизу SIEM, и их можно включать выборочно. Каждое правило можно адаптировать или создать с нуля, используя SQL-подобный язык фильтрации. Аналитик может протестировать фильтр в интерфейсе, убедиться в его корректности, а затем сохранить как новое правило. Ретропоиск по уже собранным событиям позволяет мгновенно проверить его эффективность. Количество правил аналитики превышает 1000 – и это число продолжает расти.
- Автоматизированное реагирование. UserGate SIEM не ограничивается обнаружением угроз. Система поддерживает автоматическое реагирование и, по сути, выполняет функции IRP/SOAR. При срабатывании правила можно задать одно или несколько действий:
• создание инцидента UserGate SIEM с автоматически заполняемыми полями
• отправка уведомлений через email, SMS, Telegram
• отправка POST-запроса на webhook
• передача команд по SSH/HTTPS другим устройствам/сервисам (к примеру, регистрация инцидента в ГосСОПКА)
• изоляция хоста или завершение процесса (при наличии UserGate Client)
Такая связка позволяет реализовать полный цикл – от обнаружения до изоляции угрозы – без участия человека, либо с минимальным его вовлечением.
- Обработка инцидента по настраиваемому сценарию.
Когда автоматических действий недостаточно, наступает этап ручной работы аналитиков. Каждый выявленный инцидент имеет карточку со служебными и информационными свойствами, историей событий, связанными артефактами (IP, хэши и т.д.). Возможно ручное добавление или исключение срабатываний, маркировка артефактов как IOC и отправка их в TIP-системы.
Цикл обработки настраивается: можно задать свои этапы (в работе, на проверке, закрыт и т.д.), логику переходов между ними и типы вердиктов. Это удобно для регламентации работы аналитиков SOC.
- Просмотр процессов на конечных устройствах. Если на хостах установлен UserGate Client, SIEM отображает историю запуска процессов на них. Это особенно полезно для анализа инцидентов, связанных с подозрительными действиями на рабочих станциях.
7. Дашборды, отчеты и аналитика. UserGate SIEM предлагает широкие возможности для визуализации и отчетности:
• сводные отчеты (по типам событий, IP-адресам атакующих и т.д.);
• детализированные отчеты по конкретному инциденту;
• преднастроенные шаблоные отчетов, поддержка пользовательских шаблонов;
• настраиваемые дашборды с виджетами, отображающими события в реальном времени;
• создание виджетов с дополнительными фильтрами по данным;
• кастомизация визуальной части виджетов.
Настройки виджетов гибкие, но не без ограничений – отображение совсем произвольных наборов данных пока не поддерживаются.
- Интеграция с ГОССОПКА. UserGate SIEM умеет отправлять инциденты в ГОССОПКА двумя способами:
• через действие реагирования «Отправка команды на коннектор»;
• через формирование отчета по готовому шаблону xml-отчета (после формирования отчет отправляется по электронной почте. - Пользователи и ролевая модель. Система поддерживает детальную ролевую модель. Пользователи могут быть локальными или загруженными из AD/LDAP. Права можно назначать гибко: например, разрешить редактировать комментировать инцидент, но не добавлять вложения – или наоборот.
Лицензирование
Так как UserGate SIEM теперь – самостоятельный продукт, то схема лицензирования также изменилась и теперь учитывает производительность устройства/виртуальной машины, на которой установлен SIEM:
• больше не нужна базовая лицензия Log Analyzer.
• модуль SIEM превратился в базовую лицензию SIEM. Его стоимость рассчитывается по количеству процессоров сервера/vCPU виртуальной машины (1 vCPU условно подходит для обработки 1000 EPS).
• убрано ограничение на сенсоры (единичные устройства, передающие логи).
| Наименование | Описание | Срок |
| Основная лицензия | ||
| Базовая лицензия SIEM (приобретается на каждый CPU/vCPU) | сбор и корреляция событийдействия реагированияработа с инцидентамидашборды и отчеты | бессрочная |
| Дополнительные лицензии | ||
| Модуль Security Update | получение обновлений ПОполучение обновлений правил нормализации | 1 год |
| Модуль Cluster | Подключение серверов UserGate SIEM в режиме отказоустойчивого кластера | 1 год |
| Модуль «Подписка на экспертизу SIEM» | Получение экспертизы UserGate:обновления библиотеки правил аналитикиобновления библиотеки команд удаленного управления устройствами UserGate | 1 год, после истечения срока можно использовать старые библиотеки |
Сертификаты
UserGate SIEM внесен в Единый реестр российского ПО Минцифры РФ (запись №25528 от 20.12.2024).
Внедрение
Платформа поставляется в виде готового образа виртуальной машины или ПАК. Установка проста и занимает 10–15 минут. Достаточно задать базовые настройки сети, ввести лицензию и создать учетные записи. Далее – дело техники: подключение источников логов реализовано максимально просто, особенно для продуктов из экосистемы UserGate. Windows-хосты подключаются через WMI, сетевые устройства – по SNMP или syslog. При этом логи сразу же проходят нормализацию – по встроенным правилам, созданным экспертами UserGate, или по пользовательским правилам нормализации.
Характеристики и производительность платформ:
| Характеристика | UserGate Е6 | UserGate Е14 | UserGate F25 | UserGate VM |
| Процессор, ядер | 8 | 8 | 32 | от 2 |
| ОЗУ, ГБ | 32 | 32 | 64 | от 8 |
| Объем хранилища, ТБ | 6 | 14 | 25 | от 1 ТБ |
| Расчетное время хранения журналов, дней | 1 000 | 1 400 | 1 300 | зависит от ресурсов |
| Рекомендованное кол-во пользователей | до 3 000 | до 5 000 | до 10 000 | зависит от ресурсов |
Заключение
UserGate SIEM – зрелый и функционально насыщенный продукт для организаций, которым важны не только обнаружение, но и быстрое реагирование на инциденты ИБ. Простота внедрения, расширенные возможности автоматизации, кластеризация, поддержка облаков и АСУТП, развитие в сторону ML и наличие собственной экспертизы делают его одним из самых перспективных отечественных решений на рынке SIEM-систем. Для организаций, строящих SOC на базе российских решений, UserGate SIEM – это уже не просто альтернатива зарубежным аналогам, а полноценный центр управления ИБ, соответствующий актуальным требованиям и стандартам.
Реклама. ООО «Юзергейт», ИНН 5408308256. Erid: 2SDnjbosWzR
