Обеспечить замену системы сбора и корреляции событий информационной безопасности (SIEM) на отечественное решение (импортозамещение). Реализовать перенос подключений источников данных и адаптацию правил корреляции для нового решения.
Ранее Заказчик использовал SIEM-систему иностранного производителя, ушедшего с российского рынка. Это привело к невозможности обновления, масштабирования и получения технической поддержки. В рамках проекта наша команда совместно с Заказчиком разработала критерии выбора нового SIEM-решения, провела исследование отечественных продуктов, представленных на рынке, и организовала пилотное внедрение. Пилотный проект позволил подтвердить соответствие выбранного решения заданным требованиям и определить оптимальный продукт для дальнейшей работы.
После выбора SIEM-системы была разработана архитектура решения, проведен расчет необходимых ресурсов (сайзинг) и составлен детализированный план миграции. Процесс перехода был организован таким образом, чтобы обеспечить непрерывность мониторинга и реагирования на инциденты информационной безопасности. На этапе миграции функционировали обе системы – старое импортное и новое отечественное решение. Это позволило минимизировать риски и сохранить стабильность работы.
Дополнительно была выполнена адаптация и перенос подключений источников событий, переработаны и перенесены правила корреляции, а также развернут геораспределенный кластер на базе ClickHouse для безопасного хранения событий информационной безопасности.
Инструменты:
SIEM KUMA (Kaspersky)
серверы DEPO
Операционная система «Астра Линукс»
Особенности:
Подключено более 9000 источников событий.
Перенесено и адаптировано более 250 правил корреляции.
Реализован геораспределенный кластер ClickHouse для безопасного хранения событий информационной безопасности.
Результат:
Проект позволил Заказчику успешно перейти на отечественное SIEM-решение без прерывания процессов мониторинга и реагирования на инциденты информационной безопасности. Проект позволил наладить стабильную работу системы обнаружения угроз и атак на инфраструктуру, обеспечив при этом соответствие требованиям федерального законодательства и нормативов Центрального Банка РФ в области информационной безопасности. Заказчик получил полностью поддерживаемое на российском рынке решение, адаптированное под его IT-ландшафт и существующие процессы. В ходе внедрения были оптимизированы механизмы сбора и корреляции событий, что повысило точность обнаружения инцидентов и снизило количество ложных срабатываний.