Импортозамещение SIEM-системы

Заказчик:
Банк из Топ-10
Отрасль:
Финансы
Июнь 2022 – декабрь 2024
Сроки:
2022 – 2024
Годы:
Задача:
Обеспечить замену системы сбора и корреляции событий информационной безопасности (SIEM) на отечественное решение (импортозамещение). Реализовать перенос подключений источников данных и адаптацию правил корреляции для нового решения.
Что сделали:
Ранее Заказчик использовал SIEM-систему иностранного производителя, ушедшего с российского рынка. Это привело к невозможности обновления, масштабирования и получения технической поддержки. В рамках проекта наша команда совместно с Заказчиком разработала критерии выбора нового SIEM-решения, провела исследование отечественных продуктов, представленных на рынке, и организовала пилотное внедрение. Пилотный проект позволил подтвердить соответствие выбранного решения заданным требованиям и определить оптимальный продукт для дальнейшей работы.

После выбора SIEM-системы была разработана архитектура решения, проведен расчет необходимых ресурсов (сайзинг) и составлен детализированный план миграции. Процесс перехода был организован таким образом, чтобы обеспечить непрерывность мониторинга и реагирования на инциденты информационной безопасности. На этапе миграции функционировали обе системы – старое импортное и новое отечественное решение. Это позволило минимизировать риски и сохранить стабильность работы.

Дополнительно была выполнена адаптация и перенос подключений источников событий, переработаны и перенесены правила корреляции, а также развернут геораспределенный кластер на базе ClickHouse для безопасного хранения событий информационной безопасности.
Инструменты:
  • SIEM KUMA (Kaspersky)
  • серверы DEPO
  • Операционная система «Астра Линукс»
Особенности:
  1. Подключено более 9000 источников событий.
  2. Перенесено и адаптировано более 250 правил корреляции.
  3. Реализован геораспределенный кластер ClickHouse для безопасного хранения событий информационной безопасности.
Результат:
Проект позволил Заказчику успешно перейти на отечественное SIEM-решение без прерывания процессов мониторинга и реагирования на инциденты информационной безопасности. Проект позволил наладить стабильную работу системы обнаружения угроз и атак на инфраструктуру, обеспечив при этом соответствие требованиям федерального законодательства и нормативов Центрального Банка РФ в области информационной безопасности. Заказчик получил полностью поддерживаемое на российском рынке решение, адаптированное под его IT-ландшафт и существующие процессы. В ходе внедрения были оптимизированы механизмы сбора и корреляции событий, что повысило точность обнаружения инцидентов и снизило количество ложных срабатываний.
Контакты
+7 (495) 150 99 86
info@glt.su
sales@glt.su

г. Москва, ул. Фруктовая, д.7, к.2