Нет необходимости завозить на тестирование аппаратно-программный комплекс или выделять значительные аппаратные ресурсы

Для начала тестирования можно использовать имеющиеся агенты иностранных SIEM, перенаправив из них поток событий в САВРУС по syslog. Таким образом, начать тестирование можно за пару дней

Агенты САВРУС имеют открытую архитектуру, позволяющую для быстрого запуска скопировать многие настройки используемых агентов (парсеры, фильтры)

Для сбора событий нет необходимости устанавливать агенты на рабочие станции и сервера

Поддерживаются все основные типы целевых систем для сбора данных (журналы Windows, текстовые файлы, БД, syslog, SNMP, Kafka)

Есть механизмы импорта правил корреляции из иностранных SIEM систем, позволяющие их импортировать в САВРУС в автоматизированном режиме

Выполняется копирование всех данных и ресурсов из имеющейся SIEM системы в САВРУС, после чего САВРУС сразу вводится в промышленную эксплуатацию, а эксплуатация старой системы прекращается.

«Быстрое» импортозамещение

«Постепенное»
импортозамещение

Параллельная работа
2-х SIEM систем

Параллельная работа
2-х SIEM систем

Сценарий 3

«Постепенное» импортозамещение

Сценарий 2

«Быстрое» импортозамещение

Сценарий 1

Данный сценарий миграции на новую SIEM систему является наиболее рискованным и трудозатратным, поэтому есть смысл его использовать только в том случае если эксплуатировать иностранную систему больше нет возможности, например, из-за санкций.

Плюсы и минусы
такого варианта миграции

Нет возможности посмотреть исторические данные в интерфейсе старой SIEM

Возможность потери событий в момент перехода с одной системы на другую

Сжатые сроки на адаптацию сотрудников к работе в новой системе

Необходимость копирования исторических данных

Больше нет необходимости тратить ресурсы на эксплуатацию и поддержу старой SIEM системы, которую потом все равно придется выбросить

Быстро выполняются требования по импортозамещению

Параллельная работа
2-х SIEM систем

Сценарий 3

«Постепенное» импортозамещение

Сценарий 2

«Быстрое» импортозамещение

Сценарий 1

Данный сценарий миграции на новую SIEM систему видится наиболее подходящим для большинства пользователей, так как позволяет постепенно уйти на новую систему без риска потери данных и даёт возможность сотрудникам без стресса начать работать с новой системой.

Плюсы и минусы
такого варианта миграции

В данном сценарии система САВРУС разворачивается параллельно с имеющейся SIEM системой. В течение некоторого времени обе системы работают параллельно, при этом данные о событиях ИБ сохраняются в обеих системах.

Сотрудники постепенно учатся работать и привыкают к новой системе

Переход на новую систему происходит плавно

«Быстрое» импортозамещение

«Постепенное» импортозамещение

Параллельная работа
2-х SIEM систем

После некоторого периода (например, полгода) старая SIEM система выводится из эксплуатации и остаётся в качестве архивного хранения исторических данных. За время параллельной работы обеих систем в САВРУС накапливаются данные за этот период. Пользователи имеют возможность в течение этого времени обучиться работать в системе САВРУС и протестировать работу перенесённых из старой системы ресурсов, таких как правила корреляции и активные каналы.

Можно использовать старую SIEM для просмотра исторических данных

Выполняются требования регуляторов по импортозамещению

Необходимо поддерживать в рабочем состоянии две системы в течение некоторого периода времени

Параллельная работа
2-х SIEM систем

Сценарий 3

«Постепенное» импортозамещение

Сценарий 2

«Быстрое» импортозамещение

Сценарий 1

«Быстрое» импортозамещение

«Постепенное» импортозамещение

Параллельная работа 2-х SIEM систем

Данный сценарий миграции имеет смысл, когда эксплуатация существующей иностранной SIEM системы может быть продолжена. Недостатком является необходимость использовать и обслуживать две SIEM системы.

Плюсы и минусы
такого варианта миграции

В данном сценарии система САВРУС разворачивается параллельно с имеющейся SIEM системой. Этот сценарий имеет смысл в том случае, когда эксплуатация существующей SIEM системы может быть продолжена, но не может быть расширена для решения новых задач, например, для подключения дополнительных источников событий. Тогда для мониторинга новых систем можно использовать инсталляцию САВРУС.

Продолжение использования существующей системы

Одним из достоинств такой архитектуры является возможность САВРУС производить мониторинг работоспособности используемой иностранной SIEM системы, что может быть критично, например, при отсутствии технической поддержки со стороны вендора.

Увеличивается нагрузка на сотрудников, т.к. необходимо поддерживать в рабочем состоянии две системы

Выполняются требования регуляторов по импортозамещению