UserGate SIEM — обзор и возможности

Если вы хотите глубже разобраться в возможностях и применении продуктов UserGate, читайте подробный обзор.

Система легко масштабируется, быстро запускается, подходит для задач компаний в госсекторе, промышленности, банковской сфере и корпоративных ИТ. Это готовый инструмент централизованного контроля безопасности, развития собственной ИБ-инфраструктуры без сложных доработок и внедрений.

Роль SIEM-систем в современной информационной безопасности

Информационная безопасность не ограничивается защитой периметра и установкой антивирусов. Современная инфраструктура — это сложная экосистема с десятками источников событий: сетевое оборудование, серверы, рабочие станции, облачные сервисы и приложения.

Без систем централизованного сбора и анализа событий организации теряют возможность оперативно выявлять атаки, отслеживать аномалии и реагировать на инциденты. Подробнее о SIEM читайте в нашей статье.

Почему рынок интересуется отечественными SIEM-решениями

С ростом требований к импортозамещению, ужесточением норм, ограничением доступа к зарубежному ПО российские SIEM-решения особенно актуальны. Заказчики чаще ищут платформы, разработанные с учётом национальных стандартов, поддержкой ГОСТ, совместимые с сертифицированными средствами защиты, готовые к работе в инфраструктуре КИИ.

Прозрачная поддержка, документация на русском языке, отсутствие рисков блокировки обновлений, интеграция с другими отечественными ИБ-системами — вот условия для роста российских решений на рынке SIEM.

UserGate SIEM в экосистеме решений UserGate

Это решение российского вендора, хорошо известного по линейке продуктов в области сетевой безопасности и управления трафиком: NGFW, UserGate Client, Log Analyzer. Разработка собственной SIEM-системы стала логичным шагом в сторону создания замкнутой экосистемы средств информационной защиты.

Продукт дополняет портфель компании — он собирает и анализирует события от сторонних источников и собственных решений. Формируется сквозной контур безопасности с унифицированной аналитикой, управлением инцидентами и визуализацией данных. Такой подход особенно ценен для заказчиков, заинтересованных в построении отечественного, централизованного SOC или в повышении зрелости процессов ИБ без зависимости от иностранных вендоров.

Обзор функциональности UserGate SIEM

Решение развивается как часть единой платформы кибербезопасности, интегрируется с другими продуктами вендора — NGFW, UserGate Client, Management Center. Такая связность позволяет управлять реакцией на инциденты в рамках одной экосистемы.

Ориентирован на практическое применение: от быстрого развёртывания до использования в составе SOC и защиты КИИ.

Сбор событий безопасности (источники, протоколы, агенты)

UserGate SIEM поддерживает сбор событий из источников: серверы Windows и Linux, сетевое оборудование, средства защиты, базы данных, веб-приложения и облачные сервисы.

Для сбора используются стандартные протоколы — Syslog, WMI, SNMP.

Дополнительно применяется агент UserGate Client, который устанавливается на конечные точки и собирает подробную хостовую телеметрию: запущенные процессы, сетевые подключения, действия пользователей.

Информация нормализуется и обогащается, унифицировать логи от разных систем для дальнейшего анализа.

Корреляция событий: движок, правила, возможность создания пользовательских правил

В системе реализован модуль корреляции, основанный на наборе предустановленных правил. Эти правила охватывают типовые сценарии: сканирование портов, Brute Force, попытки эскалации прав, использование нестандартных протоколов.

Пользователь может создавать собственные правила с помощью визуального конструктора или языка запросов. Доступен режим ретроспективного тестирования новых правил на архивных данных для снижения риска ложных срабатываний при внедрении.

Корреляция может опираться как на простые условия (логическое «И/ИЛИ»), так и на временные зависимости между событиями.

Визуализация, отчётность, дашборды

В системе предусмотрены интерактивные дашборды: отражают состояние инфраструктуры, инциденты, источники событий и показатели риска. Есть библиотека предустановленных шаблонов (в том числе для выполнения требований регуляторов), а также инструменты для создания собственных визуализаций.

Отчёты можно формировать вручную или по расписанию, экспортировать в PDF/CSV.
Дашборды поддерживают drill-down-анализ, что позволяет быстро переходить от общего показателя к деталям событий.

Реакция на инциденты: playbooks, алерты

Решение может генерировать уведомления (алерты) по заранее настроенным условиям. Для каждого алерта можно задать действия по умолчанию: отправка письма, запись в журнал, запуск скрипта или изоляция хоста через Client.

С помощью встроенного механизма управления инцидентами можно объединять события, задавать статус, отслеживать прогресс расследования, назначать ответственных.

Важно. Есть зачатки SOAR-функциональности: вручную настраиваемые сценарии реагирования, взаимодействие с внешними средствами.

Встроенные политики и сценарии (например, MITRE ATT&CK, соответствие №187-ФЗ)

В UserGate SIEM встроены сценарии обнаружения, ориентированные на тактики MITRE ATT&CK: lateral movement, persistence, privilege escalation и другие.

Отдельное внимание уделено требованиям №187-ФЗ: есть готовые отчёты, контроль доступа, учёт действий администраторов, журналирование. Для интеграции с инфраструктурой ГосСОПКА реализован экспорт инцидентов с использованием форматов передачи данных, утвержденных ФСБ.

Возможности кастомизации

UserGate SIEM поддерживает гибкую настройку компонентов и процессов под требования конкретной организации. Основные направления кастомизации:

• создание собственных правил корреляции на основе бизнес-логики, специфики инфраструктуры или угроз
• добавление нестандартных источников логов через конфигурацию парсеров и настройку приёма по протоколам Syslog, WMI, SNMP.
• настройка визуализаций: собственные дашборды, графики, таблицы, фильтры
• конфигурация процессов обработки инцидентов — статусы, роли, маршрут расследования, уведомления

Интеграции и совместимость

UserGate SIEM проектировалась как часть комплексной ИБ-архитектуры, ориентированной на унифицированную работу с широким спектром источников данных и средств защиты. Интеграционные возможности охватывают собственные решения экосистемы и сторонние системы — от сетевого оборудования до корпоративных каталогов и CMDB. Такой подход снижает фрагментацию в ИБ-инфраструктуре, упрощает централизованное управление инцидентами.

Интеграция с другими продуктами UserGate (NGFW, MC, Client,WAF)

UserGate SIEM тесно взаимодействует с другими компонентами платформы:

• NGFW — события фильтрации, срабатывания политик, сетевые сессии, попытки доступа отправляются в SIEM для анализа и корреляции
• Management Center — единый центр управления политиками и конфигурациями, синхронизирует параметры между модулями, передаёт административные события
• Client — агентское ПО на конечных точках регистрирует действия пользователей, процессы, сетевые соединения, аппаратные изменения. Эти данные поступают напрямую в SIEM
• WAF (в разработке) — запланирована интеграция с SIEM для передачи информации о веб-атаках, попытках обхода фильтрации, а также сессиях доступа к критичным веб-приложениям.

Взаимосвязь между модулями экосистемы строится по открытым интерфейсам, поэтому промежуточные шлюзы или коннекторы не нужны. Инциденты, зарегистрированные в одном компоненте, могут быть автоматически классифицированы и дополнены в рамках SIEM.

Поддержка сторонних источников (Syslog, SNMP, WMI)

UserGate SIEM поддерживает подключение широкого круга внешних источников событий. Доступны следующие методы передачи и получения данных:

1. Syslog (UDP, TCP, TLS) — основной способ подключения сетевого оборудования, межсетевых экранов, серверов Unix-подобных систем.
2. SNMP используется для сбора событий с устройств, поддерживающих сетевой мониторинг (например, коммутаторы, маршрутизаторы, принтеры).
3. WMI (Windows Management Instrumentation) применяется для сбора логов и информации с машин под управлением Windows, включая системные журналы и события приложений.

Все поступающие данные проходят парсинг, нормализацию, корреляцию по заданным правилам.

Интеграция с CMDB, SOC, Active Directory, LDAP и другими системами

UserGate SIEM работает в связке с другими решениями компании, использует их данные для построения единого контура безопасности.

Данные из UserGate NGFW поступают в SIEM по защищённым каналам. Передаются события межсетевого экрана, логи контроля приложений, сетевые подключения, факты применения политик безопасности, срабатывания систем обнаружения вторжений, попытки доступа к защищённым сегментам.

UserGate Management Center объединяет централизованное управление политиками, конфигурациями и лицензиями всех компонентов платформы. Через него SIEM получает административные события, которые фиксируют изменения конфигураций, действий администраторов и состояние компонентов системы.

На конечных точках работает UserGate Client. Агент собирает информацию о запущенных процессах, действиях пользователей, сетевых сессиях, использовании внешних устройств и состоянии антивирусной защиты. Вся эта телеметрия напрямую передается в SIEM для анализа и формирования полной картины активности внутри инфраструктуры.

Для UserGate WAF предусмотрена будущая интеграция. После запуска модуля данные о web-атаках, нарушениях правил фильтрации HTTP/HTTPS трафика, попытках обхода защиты веб-приложений и аномалиях доступа к критичным ресурсам будут передаваться в SIEM для дальнейшего анализа и корреляции с другими событиями.

Все интеграции основаны на унифицированных механизмах обмена данными внутри экосистемы UserGate. Упрощается настройка, формируется максимально полная картина происходящего в инфраструктуре без дополнительных коннекторов и промежуточных систем.

Интеграционные возможности решения охватывают внутреннюю экосистему продуктов и внешние источники и сервисы. Поддерживаются стандартные протоколы передачи событий, механизмы авторизации. Архитектура системы ориентирована на включение в ИБ- и IT-процессы без жёстких зависимостей от конкретных вендоров или решений.

Доступность, масштабирование, простота внедрения UserGate SIEM

Решение обеспечивает бесперебойную работу центров информационной безопасности благодаря поддержке высокой доступности, быстрому масштабированию и простоте развертывания

Поддержка высокой доступности

Ключевые компоненты UserGate SIEM можно дублировать. При выходе из строя одного узла, нагрузку перераспределяют оставшиеся рабочие компоненты в рамках кластера. Система продолжает приём и обработку событий без перерыва. Снижается риск потери данных, остановка мониторинга при сбоях оборудования или сетевых проблемах исключена.

Подходы к масштабированию: горизонтальное и вертикальное

Система масштабируется двумя способами. Вертикальный масштаб применяется на старте — добавляют ресурсы одному серверу: процессоры, память, диски.

На определённом этапе такие наращивания перестают быть эффективными, подключаются дополнительные узлы. Выполняют те же функции, но с распределением нагрузки между несколькими узлами.

За счет такой схемы поддерживается работа в инфраструктурах любого масштаба. В корпоративных SOC система справляется с нагрузками на уровне сотен тысяч событий в секунду.

Минимальные системные требования, поддерживаемые ОС и платформы

Платформа развертывается на собственной операционной системе UGOS. Установка возможна двумя способами:

• Виртуальный вариант: развёртывание выполняется с помощью готового образа, предназначенного для установки на поддерживаемые системы виртуализации.
• Аппаратный вариант: продукт поставляется как готовое аппаратно-программное решение, полностью преднастроенное производителем. Обеспечивает быстрое внедрение без дополнительных настроек.

Быстрый старт UserGate SIEM: развертывание за 10 минут, облачная VM

Решение выпускается в виде готовых образов для виртуализации. После загрузки образа вам остаётся указать сетевые параметры, провести начальную настройку. В типовых случаях развёртывание занимает не больше десяти минут.

Для заказчиков, использующих облачные платформы, доступны виртуальные шаблоны.

Кластеры в SOC: масштаб под реальные нагрузки

Современные центры мониторинга безопасности (SOC) требуют решений, которые могут справляться с резко возрастающей нагрузкой. В UserGate SIEM реализована поддержка кластеров для масштабирования системы в зависимости от размеров вашей инфраструктуры.

При добавлении новых серверов в кластер вы увеличиваете вычислительные мощности, объем хранимых данных и скорость обработки событий. Масштабируемость кластеров помогает сохранять стабильное быстродействие даже при пиковой нагрузке, обеспечивая точный анализ инцидентов в реальном времени.

Кроме того, кластерная архитектура обеспечивает высокую отказоустойчивость. Даже при выходе из строя отдельных узлов система продолжает функционировать — данные не теряются, а события продолжают обрабатываться другими доступными серверами.

Систему удобно адаптировать под изменяющиеся потребности: при расширении инфраструктуры вы просто увеличиваете мощности кластера, подключая дополнительные узлы. Это позволяет не реконструировать существующую архитектуру, а плавно нарастить производительность.

Управление и сопровождение

UserGate SIEM спроектирован так, чтобы администрирование, сопровождение и поддержка продукта не создавали отдельной нагрузки на специалистов. Интерфейс, управление доступами, обновления, интеграции с внешними системами — все элементы собраны в единую логичную систему.

Веб-интерфейс: возможности, удобство, контроль доступа

Работа с UserGate SIEM происходит через веб-интерфейс. Вся функциональность доступна в одном окне: настройка источников логов, создание правил корреляции, обработка инцидентов, отчёты, визуализация данных. Логика управления понятна даже при первом знакомстве с системой.

Доступ пользователей разграничивается через ролевую модель (RBAC). Каждому сотруднику назначается роль с чётким перечнем разрешённых действий — от просмотра логов до редактирования настроек. Авторизация может выполняться локально или через подключение к корпоративным системам — Active Directory или LDAP.

Обновления, резервное копирование, аудит

Обновление программного обеспечения выполняется централизованно. Вендор выпускает обновления функциональности, исправления уязвимостей, а также новые пакеты правил корреляции и отчётов.

Если хотите понять, как управление уязвимостями помогает предотвращать кибератаки, читайте наш обзор.

Резервное копирование конфигураций и базы данных событий помогает восстановить работу после сбоев или ошибок. Параметры резервного копирования настраиваются через административный интерфейс.

Действия пользователей фиксируются в административном аудите. Записи включают информацию о выполненных операциях, времени изменений, используемых учетных записях и результатах действий.

Сценарии поддержки — от on-premises до MSSP

SIEM развёртывается как в инфраструктуре заказчика (on-premises), так и в рамках сервисных центров безопасности (MSSP).

Организации, строящие собственный SOC, используют локальные инсталляции с полным контролем над данными и управлением. Для компаний без собственной ИБ-команды доступны варианты размещения у MSSP-провайдеров, где специалисты подрядчика берут на себя мониторинг, сопровождение и реагирование.

Гибкость развертывания облегчает масштабирование решения в зависимости от зрелости процессов и ресурсов заказчика.

Соответствие требованиям регуляторов

Решение разработано с учётом российских нормативных требований в сфере информационной безопасности. Подходит для внедрения на объектах критической информационной инфраструктуры (КИИ), в госструктурах, финансовых организациях, в компаниях, работающих с персональными данными.

Реализация требований №187-ФЗ (КИИ), приказов ФСТЭК № 239/235, №152-ФЗ (ПДн)

Платформа учитывает положения федерального закона №187-ФЗ. В системе реализован сбор, хранение и анализ событий безопасности, отслеживание действий администраторов, регистрация изменений конфигураций и попыток несанкционированного доступа. Эти функции входят в обязательный перечень средств безопасности КИИ.

Система соответствует ключевым требованиям приказов ФСТЭК России №239 и №235. В ней обеспечивается:

• регистрация и хранение событий безопасности с возможностью последующего анализа
• аудит действий администраторов и пользователей
• контроль целостности конфигураций
• ведение протоколов безопасности в заданных объёмах и сроках хранения
• управление доступом на основе ролей с возможностью привязки к корпоративным системам учёта

При работе с персональными данными UserGate SIEM учитывает требования федерального закона №152-ФЗ. Собираемые события обрабатываются и хранятся в соответствии с мерами защиты ПДн, в том числе при защите данных административного уровня.

Наличие сертификатов ФСТЭК

Продукт включён в Реестр программного обеспечения Минцифры России. Сертификация в ФСТЭК на момент подготовки материала находится в проработке.

Соответствие профилям защиты, участие в испытаниях

Учтены требования типовых профилей защиты информации, применяемых при оценке соответствия. Архитектура решения построена с учётом рекомендаций ФСТЭК по защите автоматизированных систем управления, средств анализа событий безопасности, защиты персональных данных.

UserGate SIEM проходит опытную эксплуатацию и пилотные внедрения на объектах, относящихся к КИИ и к инфраструктурам, поднадзорным регуляторам. Практические внедрения в таких условиях помогают адаптировать продукт под актуальные методики проверок и испытаний.

Взаимодействие с ГосСОПКА

В UserGate SIEM реализована поддержка взаимодействия с инфраструктурой ГосСОПКА. Инциденты безопасности формируются в соответствии с требованиями регулятора и экспортируются в стандартизированном XML-формате через защищённые каналы передачи данных.

Система готова к включению в технологические схемы оперативного информирования о компьютерных инцидентах и обмена данными с государственными центрами мониторинга.

Преимущества и ограничения

UserGate SIEM подходит для построения SOC, защиты объектов КИИ, мониторинга ИТ-инфраструктуры, подготовлен для выполнения требований регуляторов.

Перед проектированием системы оцените текущий функционал, доступные варианты масштабирования, стадии развития продукта, чтобы понять его готовность к вашим задачам.

У решения уже есть сбор логов, корреляция, нормализация, визуализация, в процессе развития находятся:

• полноценный SOAR
• развитая автоматизация реагирования
• глубокая интеграция WAF

Если проекту нужны именно эти функции, нужно узнать, успеет ли вендор довести их к моменту ввода в эксплуатацию.

Система интегрируется с другими решениями вендора — NGFW, Client, Management Center, а в будущем и с WAF. За счёт этого формируется единый контур мониторинга, когда данные от сетевого экрана, рабочих станций, прокси и корпоративных сервисов стекаются в одно аналитическое ядро.

Быстрая установка — ещё одно важное преимущество. Готовые образы для виртуализации позволяют начать работу буквально в течение одного рабочего дня. Это удобно при пилотных проектах или срочном развёртывании базового мониторинга.

В продукте уже реализованы функции, которые встраиваются в концепцию XDR — единый сбор телеметрии с разных слоёв инфраструктуры и обработка этих данных в едином центре принятия решений. UserGate Client дополняет сбор логов детальной информацией о процессах, пользователях, подключениях, событиях на хостах.

Области применения UserGate SIEM: корпоративный сегмент, госструктуры, банки, промышленность

Продукт активно внедряется в организациях разного масштаба. Ключевые сегменты:

• государственные структуры и органы власти, работающие в режиме импортозамещения
• банки, кредитные организации, платёжные системы, выполняющие требования Банка России и ФСТЭК
• промышленные предприятия, в том числе КИИ-объекты, где нужно строгое соответствие №187-ФЗ
• крупные корпоративные заказчики, строящие собственные SOC
• коммерческие MSSP-центры, которые предоставляют услуги мониторинга и реагирования на инциденты для внешних клиентов

Решение можно использовать в небольших инсталляциях и в масштабных федеральных проектах — гибкость масштабирования это позволяет.

Ограничения или моменты, требующие внимания при внедрении

На момент подготовки материала некоторые функциональные блоки продолжают развиваться. В системе нет полноценного встроенного SOAR: автоматизация реагирования на инциденты реализуется на уровне сценариев, скриптов и ограниченных playbook-функций.

WAF пока в разработке. Интеграция с ним появится после завершения внутренней обкатки и выхода в промышленную эксплуатацию.

Перед проектированием крупной инсталляции учитывайте объём исходных логов, производительность оборудования, необходимость точной настройки парсинга нестандартных источников. Поддержка отечественных криптосредств при шифровании каналов требует отдельной настройки в соответствии с нормативами.

Сценарии использования (Use Cases)

UserGate SIEM работает в разных сегментах — от промышленности до государственных органов. Система применима для базового мониторинга событий и для построения полноценных центров кибербезопасности. В каждом случае решаются конкретные задачи, связанные с контролем безопасности, анализом событий, реагированием на инциденты.

Обнаружение вредоносной активности, мониторинг КИИ, аудит доступа

В повседневной работе UserGate SIEM фиксирует события безопасности из сетевых экранов, серверов, рабочих станций, прокси-серверов, других элементов инфраструктуры. Корреляционные правила выявляют подозрительные действия — перебор паролей, нехарактерные сетевые соединения, подозрительные процессы, попытки обойти политики безопасности.

В сегменте КИИ SIEM отслеживает попытки несанкционированного доступа, нарушения внутри защищаемых сегментов, изменения конфигураций систем. Эти события систематизируются и сохраняются в соответствии с требованиями №187-ФЗ.

Для контроля действий сотрудников ведётся аудит доступа. В журнале фиксируются административные изменения, операции с привилегированными правами, доступ к критичным данным. Аудит используется в расследованиях, проверках регуляторов и внутренних проверках служб безопасности.

Интеграция с SOC или MSSP-платформой

UserGate SIEM включается в архитектуру центра мониторинга безопасности — как в собственном SOC заказчика, так и в MSSP-сервисах.

Внутри корпоративных SOC платформа собирает и анализирует события из всех источников, формирует инциденты, ведёт их расследование, готовит отчётность, обеспечивает контроль за выполнением процедур реагирования.

В MSSP-сценариях одна инсталляция обслуживает сразу несколько клиентов. Для каждой компании выделяются собственные источники данных, правила корреляции, отчётные формы. MSSP-провайдер может подключать новые организации без сложной доработки архитектуры.

Реакция на инциденты и расследование

После фиксации события система формирует инцидент и собирает всю связанную информацию: цепочки событий, задействованных пользователей, сетевые подключения, временные метки.

Аналитик может просмотреть историю действий, сопоставить события из разных источников и определить масштаб проблемы. В процессе расследования назначаются ответственные сотрудники, фиксируются промежуточные выводы, принимаются решения о дальнейших шагах. Эта схема упорядочивает работу SOC, сохраняет хронологию каждого инцидента.

Обогащение IoC, интеграция SOC-услуг

UserGate SIEM поддерживает работу с индикаторами компрометации. В систему загружаются внешние списки подозрительных IP-адресов, доменных имён, файловых хэшей. Во время анализа событий SIEM сверяет их с актуальными IoC и выделяет потенциально опасные активности.

Платформа подключается к внешним аналитическим сервисам, обмену данными о киберугрозах, автоматизированным системам реагирования. Такие интеграции расширяют возможности SOC, ускоряют обнаружение атак, снижают объём ручной работы.

ZTNA/EDR-сценарии

При установке UserGate Client на рабочие станции система дополняет стандартный сбор логов более детальной информацией о поведении устройств. Агент отслеживает процессы, сетевые соединения, подключение внешних устройств и статус защиты хоста.

На этой основе формируется контекст для политик Zero Trust — доступ к ресурсам компании выдаётся только устройствам, которые соответствуют требованиям безопасности. UserGate SIEM в паре с UserGate Client позволяет реализовать концепцию EDR.

SIEM может отправлять команды автоматического реагирования на инциденты напрямую в Client, тем самым обеспечивая мгновенную реакцию на подозрительные события

Перспективы развития UserGate SIEM

Вендор расширяет функциональность, усиливает интеграции, готовит новые модули, которые расширят охват задач по защите корпоративных ИТ-систем.

Переход от SIEM Light к полноценной SIEM-платформе, развитие WAF и XDR

На текущем этапе продукт распространяется как SIEM — рабочая система с базовыми возможностями корреляции, сбора событий, анализа инцидентов. Решение уже закрывает многие практические задачи мониторинга безопасности в организациях, которые строят первый уровень контроля за инцидентами.

В дорожной карте развития предусмотрено усиление функциональности. Разработчики планируют расширение автоматизированного реагирования, развитие SOAR-компонентов, а также углублённую интеграцию с новой линейкой WAF. После выхода модулей Web Application Firewall данные о веб-угрозах будут включаться в общий анализ событий безопасности.

Развитие экосистемы идёт в сторону концепции XDR — единого анализа сетевой активности, поведения пользователей, событий на конечных точках и облачных сервисах.

Обучение и тестовые инструменты

Для заказчиков, партнёров и специалистов вендор запустил собственную обучающую платформу — UserGate Академия. Там размещаются курсы по продуктам, практические занятия, экзамены и материалы по работе с платформой. После прохождения обучения специалисты получают сертификацию, подтверждающую знания по внедрению и сопровождению решений UserGate.

Для тестирования и подготовки к работе разработана система UserGate Test Management System. Специалисты могут отрабатывать практические сценарии, тестировать правила корреляции, проверять обработку нестандартных логов, изучать возможности системы до начала промышленной эксплуатации.

UserGate SIEM: цена лицензии, подписок и поддержки

Решение лицензируется и рассчитывается с учётом модели внедрения, числа устройств в системе и выбранных подписок. Расскажем о структуре ценообразования и нюансам, которые важно знать.

Модель лицензирования

Стоимость UserGate SIEM формируется в зависимости от выбранной конфигурации. Для расчёта необходимо определить:

• базовую лицензию;
• дополнительные лицензируемые модули.

Базовая лицензия

Лицензирование UserGate SIEM привязано к производительности системы и зависит от:

• типа аппаратной платформы (если используется программно-аппаратный комплекс);
• количества ядер процессора в виртуальной машине (при развертывании на виртуальной инфраструктуре). При расчёте параметров стоит ориентироваться на соотношение: одно ядро — примерно 1000 EPS (событий в секунду).

Базовая лицензия включает возможность подключения любого числа сенсоров. При ее отсутствии подключить сенсоры невозможно. Действует бессрочно, однако в неё не входят обновления ПО и библиотек.

Дополнительные лицензируемые модули

Security Updates
Обеспечивает доступ к обновлениям ПО SIEM, включая актуализацию библиотеки правил нормализации логов. Поставляется сроком на один год. После его окончания для получения обновлений требуется продлить лицензию.

Cluster
Дает право на использование системы в кластерном режиме.

Подписка на экспертизу SIEM (SIEM Expert)
Включает доступ к экспертизе UserGate и обновляемым библиотекам:

• правила аналитики;
• команды удалённого управления устройствами UserGate.

Действует один год. После окончания лицензии загруженные ранее библиотеки продолжают работать, но новые обновления становятся недоступны до продления подписки.

Пример оценки стоимости

В качестве примера приведена ориентировочная стоимость решения (не является коммерческим предложением) для программно-аппаратного комплекса до 4000 EPS, с лицензией на 1 год и подпиской SIEM Expert:

Особенности активации

Онлайн. Сервер передает срок действия лицензии и доступные модули. Проверяется ежедневно, при невозможности соединения производится 14 повторных попыток каждые два часа.

Офлайн. Создается специальный файл запроса, который отправляется на сервер лицензирования вручную, после чего активированная лицензия загружается обратно на устройство.

UserGate SIEM: отзывы о возможностях и применении

В профессиональных обзорах отмечают простоту настройки и качественную интеграцию в экосистему UserGate:

«Одно из ключевых преимуществ решения – простота настройки и работы в нём. Это здорово ускоряет процесс внедрения, облегчает работу аналитиков ИБ».

В отраслевых сравнениях подчёркиваемое достоинство продукта — централизация контроля на инфраструктуре предприятия:

«UserGate SIEM собирает, анализирует и хранит события, выявляет угрозы и аномалии, формирует отчёты и обеспечивает аудит для расследования инцидентов».

В официальных сообщениях отмечают развитие IRP/SOAR-модулей и готовность к интеграции в крупные инфраструктуры:

«Предоставляет не только базовую функциональность классических SIEM-систем, но и сочетает в себе расширенную функциональность других продуктов… подходящий под мировые тенденции».

Главное о UserGate SIEM

Российская SIEM-платформа для разных отраслей
UserGate SIEM подходит для госсектора, КИИ, банков, промышленности и корпоративного сегмента. Учитывает российские нормы (187-ФЗ, 152-ФЗ, приказы ФСТЭК).

Архитектура: модульная, масштабируемая
Работает как в виде программно-аппаратного комплекса, так и на виртуальных платформах. Поддерживает горизонтальное масштабирование и кластеры под высокие нагрузки.

Сбор событий из любых источников
Подключает сетевые устройства, серверы, рабочие станции, облака, корпоративные сервисы. Есть поддержка Syslog, SNMP, WMI, API, IoC-обогащения. Внутренние источники — NGFW, Client, Management Center.

Корреляция и анализ
Поддерживаются пользовательские корреляции, ретроспективный анализ и гибкая настройка аналитики под собственные процессы.

Управление инцидентами и расследования
Система ведёт карточки инцидентов, связывает события между собой, позволяет вести расследование и документировать действия аналитиков.

Готовность к нормативной отчётности
Есть встроенные отчёты под требования регуляторов, аудит действий, контроль конфигураций, экспорт инцидентов для ГосСОПКА.

Развитие: XDR, SOAR, WAF
Разработка идёт в сторону расширения XDR-функций, автоматизации реагирования и интеграции новых компонентов (WAF, SOAR).

Лицензирование прозрачное
Основной блок — Log Analyzer + SIEM-модуль, дополнительно — Security Updates, кластерный режим, подписка SIEM Expert.

Стоимость рассчитывается индивидуально
Зависит от типа платформы, числа ядер (EPS), выбранных модулей и подписок. Лицензия бессрочная, обновления — по подписке.