Что влияет на объём хранилища SIEM: 4 ключевых параметра

Объём дискового пространства, необходимый для SIEM-системы, зависит от четырёх основных величин, которые должен знать каждый инженер перед развёртыванием.

1. Событий в секунду (EPS)

EPS (Events Per Second) — это средняя скорость поступления событий безопасности от всех подключенных источников: серверов, рабочих станций, сетевого оборудования, приложений, антивирусов и других средств защиты. Например, для небольшой компании с парком из 50 машин EPS может составлять 200–500 событий, а для крупного предприятия с развитой инфраструктурой и несколькими тысячами устройств — 10 000 EPS и более. Важно понимать, что пиковые нагрузки во время инцидентов могут кратно превышать средние показатели.

LSI-слова: EPS, события в секунду, источники событий, корреляция событий, поток данных.

2. Средний размер события

Каждая запись в SIEM — это структурированное сообщение, содержащее информацию об источнике, типе события, временной метке и других полях. В зависимости от формата (syslog, JSON, CEF) и уровня детализации средний размер одного события колеблется от 300 до 1500 байт. Чем больше обогащений и нормализаций производит платформа (например, добавление геолокации, данных Threat Intelligence), тем больше становится итоговый размер записи.

3. Срок хранения (Retention)

Это количество дней, в течение которых логи должны быть доступны для поиска и расследования инцидентов. Требования к сроку хранения диктуются как внутренними политиками компании, так и внешними регуляторами. Например, стандарт PCI DSS требует хранить журналы аудита не менее 12 месяцев, а отраслевые нормы по комплаенсу могут устанавливать свои сроки. Для оперативного анализа обычно достаточно 30–90 дней, для долгосрочного аудита — 180–365 дней.

4. Коэффициент сжатия

Современные SIEM-платформы, включая Kaspersky KUMA, используют алгоритмы сжатия данных для оптимизации хранения событий безопасности. Стандартный коэффициент сжатия составляет 1,5–2, то есть физически на диске логи занимают в 1,5–2 раза меньше места, чем исходный поток. Этот параметр обязательно нужно учитывать при расчёте, иначе можно переплатить за дисковый массив.

Формула расчёта и практические примеры

Итоговый объём хранилища в терабайтах (ТБ) вычисляется по простой формуле:

Чтобы не считать вручную, воспользуйтесь нашим калькулятором хранилища SIEM в начале статьи — он автоматически подставит все значения и выдаст результат с запасом на 20–30%.

Пример 1: Малый бизнес

• EPS: 300
• Размер события: 500 байт
• Хранение: 60 дней
• Сжатие: 1.5

Результат: примерно 0,3 ТБ. Такой объём легко уместится на одном SSD-диске.

Пример 2: Средняя компания

• EPS: 3000
• Размер события: 800 байт
• Хранение: 90 дней
• Сжатие: 2

Результат: примерно 6,5 ТБ. Здесь уже потребуется RAID-массив из нескольких дисков.

Пример 3: Крупный enterprise или MSSP-провайдер

• EPS: 20000
• Размер события: 1000 байт
• Хранение: 180 дней
• Сжатие: 2

Результат: примерно 108 ТБ. Такие объёмы требуют тщательного планирования архитектуры хранения и резервирования.

Kaspersky KUMA: российский SIEM для эшелонированной защиты

Когда речь заходит о выборе платформы, Kaspersky Unified Monitoring and Analysis Platform (KUMA) заслуживает особого внимания. Это отечественная SIEM-система, которая не только собирает и нормализует события, но и обеспечивает глубокую корреляцию, анализ угроз и визуализацию данных. KUMA тесно интегрируется с другими продуктами экосистемы Kaspersky: Kaspersky Endpoint Security (KES), Kaspersky Anti Targeted Attack (KATA), Kaspersky Industrial CyberSecurity (KICS). Благодаря этому достигается сквозная прозрачность инфраструктуры — от конечных точек до промышленных сетей.

Однако даже самая совершенная платформа требует квалифицированных кадров. Неправильно настроенные источники событий, неэффективные правила корреляции или некорректная оценка объёма хранилища могут свести на нет все усилия по внедрению. Именно поэтому мы разработали авторизованные курсы по администрированию и расследованию инцидентов в KUMA.

Почему обучение SIEM-специалистов окупается быстрее железа

Расчёт хранилища — лишь первый шаг. Дальше нужно подключать источники, писать правила корреляции, настраивать инцидент-менеджмент и готовить отчёты для руководства. Наши программы по Kaspersky KUMA (KL 034.4 и KL 051.4) дают практические навыки, которые позволяют инженеру сразу после обучения:

• Развернуть и настроить SIEM с нуля, включая хранилище и коллекторы.
• Подключить источники событий и нормализовать логи.
• Создавать правила корреляции событий безопасности.
• Вести расследование инцидентов, опираясь на данные Threat Intelligence.
• Строить дашборды и отчёты для аудита и комплаенса.

Подробнее о курсах можно узнать в разделе Наши программы по Kaspersky KUMA. Там же вы найдёте информацию о сертификации KLE и специальных предложениях для корпоративных групп.

Заключение

Точный расчёт хранилища SIEM — залог стабильной работы платформы и сохранности критичных данных. Используйте наш калькулятор для быстрой оценки, а затем углубляйте знания на авторизованных курсах. Инвестиция в обучение команды окупается многократно, потому что квалифицированный специалист способен предотвратить ущерб, который в десятки раз превышает стоимость курса. Если у вас остались вопросы по выбору SIEM или расчёту инфраструктуры, свяжитесь с нами — мы поможем.