Реализацию проекта по созданию SIEM-системы заказчик рассматривал как основу для последующих шагов по созданию SOC. Основными целями проекта внедрения SIEM были определены:
Для достижения поставленных целей проектной командой НТЦ «Вулкан» был реализован комплекс работ: разработано техническое решение и проектная документация системы, разработана схема имплементации, развернута SIEM-система, состоящая из компонента сбора и анализа событий, а также компонента расширенной корреляции событий. Дополнительно развернуто более 10 виртуальных компонентов для сбора событий из целевых сегментов сети заказчика, подключено несколько десятков источников событий. Помимо подключения «классических» средств и систем защиты информации, была произведена интеграция SIEM-системы с GRC-решением и телекоммуникационными бизнес-системами. В соответствии с бизнес-требованиями и задачами заказчика сформированы кастомизированные информационные панели и отчеты.
Суммарный объём получаемых SIEM данных составил более 70 млн. событий в сутки. Одной из экспертных задач, решенных специалистами НТЦ «Вулкан» в ходе проекта, явилась приоритизация данных и уменьшение количества ложных срабатываний правил, формируемых на базе потоков данных (Threat Data Feeds) от сторонних ИБ-компаний.
Внедрение интегрированной системы позволило:
Заказчик получил возможность не только своевременно реагировать на постоянно изменяющиеся угрозы безопасности информации, но и автоматизировать и систематизировать ряд внутренних процессов обработки и реагирования на инциденты ИБ