Хранение логов: как и где хранятся логи в SIEM-системе, цели, сроки хранения

Просто собирать события недостаточно для работы ситуационного центра ИБ. Нужно хранить их так, чтобы они были в доступе даже спустя длительное время. Рассказываем, как организовать нормализацию и хранение данных в SIEM-системе в соответствии с требованиями регуляторов и без лишних затрат.

Зачем нужно хранить логи в SIEM-системе

Хранение логов — одно из ключевых направлений управления событиями ИБ в инфраструктуре. С его помощью обеспечивается доступ к нужным данным, в том числе ретроспективным.

Рабочая среда для аналитики

Хранение логов в SIEM-системе позволяет увидеть целостную картину ИБ-событий в инфраструктуре. Если оно грамотно организовано, аналитики ситуационного центра будут быстрее получать доступ к нужным данным и эффективнее работать с инцидентами.

Команда Solar 4RAYS

эксперты по кибербезопасности четырех направлений: Defense, Offense, Prediction, Innovation

Конкретные цели хранения логов в SIEM:

Соблюдение требований регуляторов. Хранение логов облегчит прохождение проверок со стороны контролирующих органов и позволит продемонстрировать положение дел в ИТ-инфраструктуре.
Подготовка отчетности. Сохраненные логи используются при создании отчетов для заинтересованных лиц.
Хранение истории и ретроспективный анализ. Хронологию событий хранят, чтобы в любой момент можно было вернуться к нужным данным для изучения статистики или расследований.
Сохранение доказательной базы. Ведение базы данных для хранения логов позволит иметь на руках основания для установления инцидента ИБ и выяснения причастности к нему тех или иных лиц.
Выявление слабых мест безопасности и повторяющихся угроз. Сохраненные логи позволят найти уязвимые участки инфраструктуры и устойчивые аномалии.

Чем лучше организовано хранение логов, тем эффективнее команда будет реагировать на угрозы и разрабатывать стратегию ИБ. Важно обеспечить удобство доступа к данным, поддержание полноты и актуальности информации. При таком подходе компания получит полноценный инструмент для принятия обоснованных решений и расследования инцидентов.

Какие логи нужно хранить, какой срок хранения

В базу данных для хранения логов должны попадать не все события подряд, а только те, которые позволят составить представление о состоянии инфраструктуры, угрозах и инцидентах ИБ. Примеры информации:

Вид	Источники
Логи аутентификации и доступа	AD, SSO, IdM-системы, VPN, журналы ОС.
Действия привилегированных пользователей	PAM-системы, консоли администрирования, СУБД.
Логи конфигурации и администрирования	ОС, сетевое оборудование, NGFW, EDR.
Логи процессов, служб и системных объектов	Windows Event Log, Syslog, серверные ОС.
Сетевые и периметровые логи	NGFW, IDS/IPS, WAF, VPN, proxy.
Логи доступа к данным	СУБД, файловые серверы.
Логи средств защиты	Антивирусы, EDR-системы, межсетевые экраны.

Минимальное время хранения логов согласно требованиям ФСТЭК России — от 6 до 12 месяцев в зависимости от отрасли. Сроки для КИИ и персональных данных — от 12 месяцев. Время хранения логов для возможности проведения ретроспективного анализа инцидентов — до 3 лет.

Компании в соответствии с рекомендациями могут внедрять свои политики хранения. Эти политики должны быть формализованы.

Архитектура хранения логов

Архитектура — система сбора, передачи, обработки, хранения и анализа логов из различных источников. Основные компоненты:

Источники данных. Устройства, серверы, сервисы, приложения, журналы и базы данных, откуда логи поступают на обработку и хранение.
Агенты и парсеры. Инструменты для автоматического сбора и нормализации логов.
Сервер хранение логов. Основная точка, куда стекаются данные из различных источников.
Хранилище горячих данных (Hot Storage). Высокопроизводительная база данных для хранения часто используемых логов, к которым нужен быстрый доступ.
Хранилище холодных данных (Cold Storage). Долгосрочный архив для размещения исторических данных, которые могут пригодиться для отчетов и расследований.

Архитектура должна решать две задачи — обеспечить хранение событий ИБ и сделать эти данные пригодными для дальнейшего использования. Стоит продумать удобный доступ к логам, чтобы специалистам ситуационного центра не пришлось искать нужную информацию по всем массивам.

Проблемы хранения больших объемов данных

Главная сложность заключается в ограниченных ресурсах. Поток событий растет, а мощностей для хранения не хватает. В таком случае часть логов может потеряться. Чтобы этого не произошло, нужно предусмотреть необходимый размер хранилища.

Вторая проблема — разрозненная информация в БД для хранения логов. Данные хранятся вне контекста, в разных форматах, из-за чего их сложно связать между собой. При больших объемах информации это затрудняет анализ. Нужно обеспечить нормализацию и хранение данных в соответствии с контекстом, удалить устаревшие и нерелевантные сведения.

Следующая проблема связана с «горячим» и «холодным» хранением данных. Хранение всех логов в основном контуре приводит к увеличению затрат. Часто используемая информация должна храниться в доступных БД, на быстрых носителях. Такой метод называется «горячим» хранением. Редко используемые данные переводятся в архивы — это «холодный» подход, реализация которого дешевле «горячего».

Четвертая проблема — усложнение работы ситуационного центра ИБ из-за большого объема логов в SIEM-системе. Чтобы ими было удобно пользоваться, нужно спроектировать полноценную архитектуру жизненного цикла данных.

Организуйте эффективное хранение больших объемов логов с помощью системы Solar SIEM

Как SIEM-система от «Солара» оптимизирует хранение логов

Solar SIEMSolar SIEM — программный комплекс автоматизации ситуационного центра ИБ. позволяет централизованно хранить события ИБ в формате, удобном для анализа и отчетности. Преимущества системы в части хранения логов:

Централизованное хранение. Solar SIEM выполняет автоматизированный сбор логов из разных источников со всей ИТ-инфраструктуры. Затем обогащает данные контекстом и передает в хранилище.
Нормализация данных. Система перед отправкой на хранение приводит «сырые» логи к единому формату. Благодаря этому в хранилище они попадают не разрозненными.
Обогащение контекстом. Solar SIEM применяет правила корреляции и дополняет события информацией о пользователях, объектах, устройствах. Это удобно для анализа, расследований и подготовки отчетов.
Сжатие данных. Система помогает оптимизировать хранение больших массивов логов, сжимая их с коэффициентом 9,8–16,6.
Расширение контура хранения. Система построена на основе микросервисной архитектуры, поэтому ее можно масштабировать с ростом потока логов.

Solar SIEM позволяет не просто накапливать логи, а превращать их в структурированный массив данных. Такой подход облегчает работу ситуационного центра ИБ и помогает соблюсти требования регуляторов.

Продуманное хранение логов

Хранение логов в SIEM подразумевает предварительные нормализацию и обогащение событий из разных источников, их разделение на «горячие» и «холодные», обеспечение достаточных ресурсов. Закрыть задачу поможет решение Solar SIEM. Оно обеспечивает централизованное хранение событий ИБ и его оптимизацию за счет нормализации и сжатия данных.

Решите задачи хранения событий ИБ с помощью программного комплекса Solar SIEM

FAQ

Сколько времени по требованиям ФСТЭК России нужно хранить логи?

От 6 до 12 месяцев. Рекомендуемый срок хранения логов — 3 года. Точный определяется регламентами конкретной организации.

Какие логи в SIEM нужно хранить в первую очередь?

Особенно важны логи, которые обеспечивают выявление активных атак и прозрачность критической инфраструктуры. Их источники: межсетевые экраны, контроллеры домена, системы управления доступом, EDR, VPN.

Какой коэффициент сжатия данных обеспечивает Solar SIEM?

Коэффициент кратного сжатия — от 9,8 до 16,6. Данные занимают меньше дискового пространства, благодаря чему хранение логов обходится для компании дешевле.

Чем отличается «горячее» хранение от «холодного» в SIEM?

«Горячее» хранение обеспечивает быструю доступность логов для обработки. «Холодное» предназначено для архивных данных — оно позволяет сохранять историю без больших нагрузок на контур SIEM.

Можно ли использовать Solar SIEM для выполнения 152-ФЗ?

Прямого требования использовать SIEM-систему нет. Однако решение позволяет быстрее выявлять и пресекать подозрительную активность в отношении персональных данных, расследовать инциденты ИБ.