Экспертное мнение: как интеграция Traffic Inspector Next Generation и RuSIEM ускоряет обнаружение сложных атак

Компания MONT, наш дистрибьютор, в своем Telegram-канале для партнеров опубликовала содержательное интервью с Алексеем Прокопчуком, тимлидом разработки Смарт-Софт. В нем Алексей подробно разбирает логику, технические детали и бизнес-пользу интеграции нашего NGFW с отечественной SIEM-платформой. С разрешения MONT и с ссылкой на оригинальную публикацию делимся этой экспертизой в нашем блоге, чтобы больше клиентов и партнеров узнали о возможностях усиленной защиты.

RuSIEM + Смарт-Софт: как интеграция усиливает безопасность

Когда нужно усилить безопасность инфраструктуры, один из вариантов — интеграция двух ИБ-систем. Мы поговорили с Алексеем Прокопчуком, руководителем группы разработки Traffic Inspector Next Generation, о том, почему и как работает связка двух российских решений и какую пользу она принесет бизнесу.

Почему было решено запустить интеграцию RuSIEM и Traffic Inspector Next Generation?

Решение закономерное. Во-первых, растёт запрос от общих заказчиков, которые хотят консолидировать системы безопасности. Во-вторых, это часть нашей стратегии развития Traffic Inspector Next Generation (TING). Мы движемся к открытости и глубокой интеграции с ключевыми элементами отечественной ИБ-экосистемы, чтобы предлагать клиентам готовые мощные связки.

Как связка TING и RuSIEM позволяет обнаружить атаку быстрее?

Здесь работает принцип синергии. TING как межсетевой экран следующего поколения (NGFW) контролирует весь трафик на периметре сети, блокирует угрозы и фиксирует подозрительные действия. RuSIEM выступает «мозговым центром», который коррелирует события из десятков источников.

Например, TING заметил подозрительную попытку связи с внешним ресурсом. RuSIEM мгновенно получает это событие, сопоставляет его с тревогой от антивируса на рабочей станции и успешным несанкционированным доступом. Вместо трёх разрозненных событий аналитик видит один готовый инцидент: «Подтверждённая компрометация». Так связка выявляет сложные многоэтапные атаки почти в реальном времени.

Как внедрить интеграцию?

Процесс состоит из двух этапов:

1. Настройка обмена данными. На стороне TING настраивается отправка событий по протоколу Syslog. В RuSIEM добавляется TING как источник событий. Это базовая задача для технического специалиста.
2. Создание правил корреляции. В RuSIEM настраиваются правила, которые «учат» систему понимать события от TING и связывать их с другими данными.

Весь процесс обычно занимает 3 дня.

Какая практическая польза для компании после внедрения?

Ключевое преимущество — радикальное сокращение времени реакции на сложные атаки.

Пример: злоумышленник получил доступ к компьютеру сотрудника. TING фиксирует редкие SSL-соединения за пределы РФ в нерабочее время. RuSIEM сопоставляет это с успешным логином в корпоративную базу и попытками доступа к файловому хранилищу. Вместо трёх разрозненных событий с низким приоритетом аналитик сразу видит один инцидент с высоким приоритетом: «Подозрение на утечку данных». Это позволяет начать расследование через минуты, а не через дни.

Есть ли кейсы на рынке?

Мы (Смарт-Софт) находимся на старте совместного пути с RuSIEM по продвижению этой интеграции. Сейчас готовим совместные вебинары для заказчиков и партнёров, чтобы познакомить рынок с возможностями связки.

Планируете ли другие интеграции?

Проблема «зоопарка» ИБ-решений у заказчиков сегодня одна из самых болезненных. Компании годами накапливали точечные решения, которые не «разговаривают» друг с другом. Наша стратегия направлена как раз на решение этой проблемы.

Интеграция с RuSIEM — не единственный шаг. У нас уже есть технические интеграции с антивирусом Касперского, NetPolice, Криптоком, рядом DLP-систем, Astra Linux и другими ведущими отечественными платформами. В ближайшее время будем готовы анонсировать новые совместные решения.

Протестируйте бесплатно