Российские SIEM системы

2025. Security Vision добавила аутентификацию через Keycloak



SIEM платформа Security Vision 5 получила обновление, которое включает ряд улучшений, расширяющих функциональность платформы, упрощающих настройку автоматизации и повышающих удобство работы пользователей. Благодаря новому релизу стало легче управлять правами доступа, автоматизировать процессы без лишних задержек и настраивать систему под бизнес-процессы организации. Теперь пользователи могут проходить авторизацию в платформе с использованием сервиса Keycloak, что делает процесс входа более удобным и безопасным. Эта интеграция позволяет организациям гибко управлять доступами, поддерживать единый вход (SSO) и централизованно администрировать учетные записи сотрудников.


2025. VK разработала собственную SIEM систему



Натуральное ИТ хозяйство продолжает процветать в российских компаниях. VK запустила собственную систему мониторинга безопасности (SIEM). Дмитрий Куколев, руководитель SOC, VK, с гордостью заявил, что решение обеспечивает на старте анализ более 1,5 млн событий в секунду. И, конечно, разработчикам VK есть чем гордиться. Пусть они, наверно, и использовали какую-то open-source платформу, но SIEM - это сложнейшая система, к которой предъявляются очень высокие требования. Другое дело, что пока VK SIEM будет работать только в VK и будет ли продаваться как готовый продукт другим компаниям - не известно. Т.е. VK предпочла не покупать готовую SIEM у Касперского или других ИБ вендоров (видимо, не устроило качество), а наняла своих разработчиков, которые теперь будут заниматься внутренним продуктом.


2025. KOMRAD Enterprise SIEM увеличила производительность в 2 раза



ГК «Эшелон» выпустила новую версии системы комплексного управления событиями ИБ и реагирования на них – KOMRAD Enterprise SIEM 4.5. Производительность подсистемы сбора событий увеличена в 2 раза за счёт оптимизаций кода, а скорость обработки событий на высоких EPS увеличена в десятки тысяч раз за счет улучшения алгоритма обработки и корреляции событий. Обновлена СУБД, теперь используется собственный форк ClickHouse 24.8 LTS. Появились продвинутые виджеты: встроенные редактируемые, а также модуль Grafana без телеметрии со встроенными плагинами источников данных ClickHouse и HTTP/JSON/CSV/XML. Добавлен эвристический анализ событий для упрощения формирования пользовательских правил парсинга для многих плагинов. Появились новые плагины: eBPF, http-scraping, sigma, Zeek JSON, Агент Auditd и ряд вспомогательных плагинов. Появилась возможность искать события по фильтрам за весь период хранения событий в базе данных. Кроме стандартных Lua-фильтров пользователь может задавать произвольные уточняющие запросы к базе событий. Расширен список поддерживаемых ОС, добавлены: Astra Linux 1.8, РЕД ОС 8 и Альт 10 СП.


2025. В SIEM-системе Касперского появилась ИИ-помощница KIRA



Лаборатория Каперского выпустила масштабное обновление своей SIEM-системы KUMA. В новой версии улучшена визуализация ресурсов, расширены возможности коррелятора и упрощена работа с поиском событий. Новый модуль машинного обучения поможет приоритизировать срабатывания. Он анализирует, насколько характерна та или иная активность в потоке событий, и если что - выдает алерт или помечает событие в интерфейсе дополнительным статусом. Таким образом, аналитик быстрее видит инциденты, которые требуют первостепенного внимания. Также в системе появилась AI-ассистентка KIRA, которая позволит начинающим ИБ-специалистам принимать более быстрые и точные решения по реагированию на инциденты. С ней можно общаться в чате, а в качестве движка он использует GigaChat от Сбера.


2024. В RuSIEM появилась возможность агрегации событий



Компания RuSIEM, российский разработчик программного обеспечения в области мониторинга и управления событиями информационной безопасности и ИТ-инфраструктуры, выпустила новый релиз системы мониторинга, сбора и анализа событий RuSIEM – 3.8.0. Функциональные доработки, вошедшие в состав нового релиза, призваны существенно улучшить производительность и удобство работы с системой. Остановимся на самых важных из них. Самой значимой и ожидаемой доработкой стал новый функционал агрегация событий, который позволяет уменьшить объем хранилища событий (ElasticSearch) за счет того, что система перестает хранить однотипные или неважные события. Кроме этого, добавлен новый функционал обогащение событий активами, который позволяет привязать события к активам и добавить информацию из актива в дополнительные поля событий.


2023. Компания UserGate представила собственные EDR и SIEM системы



Компания UserGate, которая, в основном, известна своими межсетевыми экранами (файерволами), расширила свой стек ПО для корпоративной безопасности системами класса EDR и SIEM. Первая - UserGate Client – решение, предназначенное для управления безопасным доступом в сеть пользовательских устройств корпоративных клиентов, объединившее в себе три функции для защиты удаленного доступа устройств: VPN, NAC и EDR (Endpoint Detection and Response). Вторая - UserGate SIEM Light – система управления событиями информационной безопасности (Security Information and Event Management), отвечающая за сбор информации из различных источников, позволяющая выявлять риски и автоматически обеспечивать на основе этого анализа адекватную реакцию. Обе системы являются уже немного устаревшими (по мировым стандартам), т.к. уже все постепенно переходят на XDR системы, менее сложные/дорогие, чем SIEM и более адаптированные к облачным реалиям, чем EDR. Но пока российским ИБ вендорам приходится закрывать дыры, а не думать о новых тенденциях.


2023. В России создали SIEM/DLP комплекс для ИБ профессионалов



В России создали первый в классе SIEM серверный программно-аппаратный комплекс (ПАК), предназначенный для защиты служебной информации и персональных данных. В основе ПАК лежит сервер и СХД Fplus. В качестве операционной системы - оптимизированная серверная ОС Astra Linux разработчика «Группа Астра». ПАК построен на базе SIEM-системы Kaspersky Unified Monitoring and Analysis Platform. Еще одна ступень кибербезопасности - DLP-система для предотвращения утечек конфиденциальной информации Solar Dozor ГК «Солар». Также входит платформа для построения динамической инфраструктуры Базис.DynamiX, ее безопасность обеспечивает Базис.Virtual Security, и корпоративная почтовая система - Mailion. Разработчики утверждают, что это первое отечественное решение, соответствующее требованиям средствам ГосСОПКА. Все компоненты устройства прошли сертификацию и соответствуют требованиям ФСТЭК России.


2018. Positive Technologies выпустила новую версию MaxPatrol SIEM

Positive Technologies представила новую версию системы выявления инцидентов ИБ в реальном времени ― MaxPatrol SIEM 4.0. Обновленный продукт получил полноценный механизм получения и обновления экспертизы ИБ, обладает расширенными возможностями по обогащению данных об активах и детектированию атак в трафике. Благодаря этому обеспечиваются высокие точность и скорость выявления действий злоумышленника в корпоративной сети и противодействие новым типам угроз. Концептуальной новинкой новой версии системы стала регулярная автоматизированная передача в нее компетенций в области обнаружения инцидентов информационной безопасности в виде алгоритмов, позволяющих выявлять даже сложные нетиповые атаки. Соответствующие наборы правил и рекомендаций формирует команда экспертного центра безопасности компании Positive Technologies (PT Expert Security Center), которая непрерывно анализирует актуальные угрозы, исследует полный цикл атак и разрабатывает способы их обнаружения и предотвращения.


2017. Завершена интеграция решений Solar Dozor и NeuroDAT SIEM

Solar Security и «Центр безопасности информации» завершили интеграцию DLP-решения Solar Dozor и системы мониторинга информационной безопасности NeuroDAT SIEM. В рамках технологического сотрудничества реализована схема взаимодействия решений, которая позволяет обогащать NeuroDAT SIEM информацией об инцидентах из Solar Dozor. В отличие от других DLP-систем, Solar Dozor фиксирует не только факт утечки информации, но и нестандартное, подозрительное поведение сотрудников компании. Такая информация является результатом сложной аналитики и помогает выявить готовящуюся или скрытно ведущуюся атаку, незаметную для классических технологий предотвращения утечек. Компании разработали коннектор, позволяющий передавать данную информацию из Solar Dozor в NeuroDAT SIEM. Теперь в NeuroDAT SIEM автоматизированное формирование различных типов инцидентов информационной безопасности на основе анализа и корреляции (сопоставления) событий происходит с использованием ещё одного важного поставщика событий.


2017. InfoWatch и «Центр безопасности информации» интегрировали InfoWatch Traffic Monitor и NeuroDAT SIEM

InfoWatch и компания «Центр безопасности информации» («ЦБИ») заключили соглашение о технологическом сотрудничестве. В рамках партнерства была обеспечена возможность совместной работы решения для предотвращения утечек конфиденциальной информации и защиты бизнеса от внутренних угроз InfoWatch Traffic Monitor и системы мониторинга информационной безопасности (СМИБ) NeuroDAT SIEM. Решение InfoWatch Traffic Monitor фиксирует все события на рабочих станциях и корпоративных мобильных устройствах, выявляет в потоке данных конфиденциальные документы и определяет факты нарушения политик безопасности организации, а также блокирует несанкционированные действия сотрудников. В результате интеграции решений данные, обработанные в DLP-системе InfoWatch Traffic Monitor, становятся доступными для анализа в системе NeuroDAT SIEM. В ходе интеграции был разработан коннектор, который обеспечивает передачу событий, зарегистрированных DLP-системой, в NeuroDAT SIEM по протоколу Syslog. События передаются в режиме времени, близком к реальному, что обеспечивает возможность мгновенной реакции сотрудников служб информационной безопасности на инциденты, связанные с внутренними угрозами.


2017. СЗИ Dallas Lock 8.0 подтвердила совместимость с MaxPatrol SIEM

Positive Technologies и «Конфидент» провели испытания, в результате которых подтверждена корректность совместной работы системы выявления инцидентов ИБ MaxPatrol SIEM c СЗИ Dallas Lock 8.0 редакций «К» и «С». Интеграция двух решений стала возможной благодаря доработке MaxPatrol SIEM по добавлению нового источника событий, в качестве которого используется база данных событий ИБ Dallas Lock 8.0. Функциональность стала доступна конечным заказчикам в новом релизе данного продукта. Теперь пользователи получили возможность реализовать с помощью MaxPatrol SIEM централизованный сбор и корреляцию событий информационной безопасности, генерируемых СЗИ Dallas Lock 8.0 и другими установленными в организации средствами защиты.


2017. СЗИ Dallas Lock 8.0 получила совместимость с системой управления событиями ИБ КОМРАД 2.0

«Конфидент» и НПО «Эшелон» объявили о подписании сертификата совместимости, подтверждающего корректность совместной работы СЗИ Dallas Lock 8.0 редакций «К» и «С» с системой управления событиями информационной безопасности КОМРАД 2.0. СЗИ Dallas Lock 8.0 – сертифицированная система защиты информации, предназначенная для защиты конфиденциальной информации (редакции «К» и «С») и информации, составляющей государственную тайну до уровня «совершенно секретно» включительно (редакция «С»). Используется для защиты информации, содержащейся в ГИС всех классов защищенности, в АС до класса защищенности 1Б включительно, в АСУ ТП до 1 класса защищенности включительно, а также для обеспечения всех уровней защищенности ПДн. Dallas Lock 8.0 работает на автономных АРМ и в сложных сетевых инфраструктурах. Поддерживает работу в ОС семейства Windows (от Windows XP до Windows 10).


2017. «Эшелон» запустил первый в стране лицензированный центр мониторинга по информационной безопасности

Группа компаний «Эшелон» объявила о запуске центра мониторинга и управления информационной безопасностью ((Echelon Security Operation Center, ESOC). Решение первым в России получило соответствующую лицензию ФСТЭК России. Продукт базируется на технических решениях НПО «Эшелон» и накопленном опыте реализации комплексных проектов по информационной безопасности. В основе технической платформы лежат такие ИТ-решения, как SIEM-система «Комрад», система комплексного анализа защищенности «Сканер-ВС», средство анализа безопасности исходного кода AppChecker. Основными услугами ESOC являются непрерывный мониторинг событий информационной безопасности, собираемых с различных объектов ИТ-инфраструктуры заказчиков, контроль защищенности в виде периодических тестов на проникновение, расследование инцидентов и оперативное противодействие компьютерным атакам, а также аудит безопасности кода.


2017. «Смарт Лайн» и RuSIEM представили совместное решение для защиты корпоративных данных

«Смарт Лайн» и RuSIEM объявили о реализации технологической интеграции собственных решений для повышения эффективности в решении задач предотвращения утечек корпоративной информации и анализа инцидентов. В результате интеграции решений двух российских разработчиков DLP-комплекс DeviceLock DLP выступает для системы управления событиями информационной безопасности RuSIEM в качестве источника событий информационной безопасности, связанных с доступом пользователя к периферийным устройствам, съемным накопителям, принтерам, каналам сетевых коммуникаций. DeviceLock DLP позволяет направлять в SIEM-системы оперативную информацию (тревожные оповещения) в реальном времени по протоколам SNMP и SYSLOG, а также дублировать записи журналов событийного протоколирования. Такие тревожные оповещения могут создаваться и направляться в SIEM-системы в результате как разрешенных, так и запрещенных попыток передачи данных по различным каналам сетевых коммуникаций, записи информации на съемные накопители, печати документов на локальные и сетевые принтеры, передачу данных в терминальных сессиях через буфер обмена и т.д.


2017. InfoWatch и RuSIEM объединили технологии для защиты корпоративного периметра организаций

InfoWatch и RuSIEM объявили о завершении интеграции решения для предотвращения утечек конфиденциальной информации и защиты бизнеса от внутренних угроз InfoWatch Traffic Monitor и системы управления событиями информационной безопасности RuSIEM. В результате интеграции технологий двух российских разработчиков, InfoWatch Traffic Monitor Enterprise автоматически подключается к системе RuSIEM в качестве источника событий информационной безопасности. Данные, поступающие из DLP-системы InfoWatch, одновременно становятся доступны для обработки и анализа в системе управления событиями информационной безопасности RuSIEM. Офицер безопасности, использующий в своей работе SIEM-систему RuSIEM в связке c DLP-решением InfoWatch, может контролировать передачу конфиденциальных данных организации и действия привилегированных пользователей в режиме реального времени, отслеживать корреляции между разными типами событий и предотвращать несанкционированные действия сотрудников.


2011. «Инфосистемы Джет» интегрировали комплекс защиты от утечек данных «Дозор-Джет» с системой мониторинга событий ИБ ArcSight

Компания «Инфосистемы Джет» разработала специальный коннектор для интеграции системы класса SIEM (Security Information and Event Management) ArcSight и комплекса защиты от утечек информации «Дозор-Джет». С его помощью информация, полученная системой мониторинга событий ИБ ArcSight из DLP-системы «Дозор-Джет», будет оперативно поступать офицерам информационной безопасности. Это позволит компаниям минимизировать финансовые и репутационные риски, точно и оперативно выявляя события и инциденты, связанные с утечками информации, говорится в сообщении компании «Инфосистемы Джет». Разработка коннектора проходила в несколько этапов. Сначала специалисты «Инфосистем Джет» выделили основные типы событий, для которых необходим централизованный сбор с помощью решений ArcSight. В качестве транспорта был выбран протокол syslog как наиболее удобный в реализации: используется стандартный syslog-коннектор, что позволяет обходиться без покупки дополнительных лицензий на систему мониторинга, пояснили в «Инфосистемах Джет».