Внедрение SIEM-системы

Реализацию проекта по созданию SIEM-системы заказчик рассматривал как основу для последующих шагов по созданию SOC. Основными целями проекта внедрения SIEM были определены:

  • создание единого центра сбора событий,
  • сокращение времени реакции на инциденты ИБ,
  • обеспечение возможности проведения ретроспективного анализа состояния ИТ-инфраструктуры,
  • обеспечение возможности долговременного хранения данных для соответствия требованиям регуляторов.

Для достижения поставленных целей проектной командой НТЦ «Вулкан» был реализован комплекс работ: разработано техническое решение и проектная документация системы, разработана схема имплементации, развернута SIEM-система, состоящая из компонента сбора и анализа событий, а также компонента расширенной корреляции событий. Дополнительно развернуто более 10 виртуальных компонентов для сбора событий из целевых сегментов сети заказчика, подключено несколько десятков источников событий. Помимо подключения «классических» средств и систем защиты информации, была произведена интеграция SIEM-системы с GRC-решением и телекоммуникационными бизнес-системами. В соответствии с бизнес-требованиями и задачами заказчика сформированы кастомизированные информационные панели и отчеты.

Суммарный объём получаемых SIEM данных составил более 70 млн. событий в сутки. Одной из экспертных задач, решенных специалистами НТЦ «Вулкан» в ходе проекта, явилась приоритизация данных и уменьшение количества ложных срабатываний правил, формируемых на базе потоков данных (Threat Data Feeds) от сторонних ИБ-компаний.

Внедрение интегрированной системы позволило:

  • существенно сократить время реакции на события информационной безопасности,
  • формировать ретроспективные выборки (отчеты) по компонентам ИТ-инфраструктуры,
  • перейти к управлению полным жизненным циклом событий в ИТ-инфраструктуре,
  • поставлять тегированные данные в департамент продажи услуг конечным пользователям.

Заказчик получил возможность не только своевременно реагировать на постоянно изменяющиеся угрозы безопасности информации, но и автоматизировать и систематизировать ряд внутренних процессов обработки и реагирования на инциденты ИБ

«Выражаем благодарность команде НТЦ «Вулкан» за высокое качество работ, выполненных в ходе внедрения решений RSA Security Analytics и RSA Archer Security Operation Management. Знания и опыт специалистов НТЦ «Вулкан» позволили в установленные сроки получить необходимые практические результаты в области Security Information and Event Management, а также сформировать основу для создаваемого Security Operation Center Kcell. Особо отмечаем исполнительность, профессионализм и внимание к деталям со стороны сотрудников Вашей команды»

Н. Чибисов,
Начальник сектора информационной безопасности