Внедрение комплексной системы управления событиями и инцидентами информационной безопасности

Заказчик:

«Капитал Груп» (Capital Group)

Руководитель проекта со стороны заказчика

Роман Морозов

Начальник Управления информационной безопасности

Поставщик

Angara Security

Год завершения проекта

2022

Сроки выполнения проекта

Июнь, 2022 - Август, 2022

Масштаб проекта

950 человеко-часов

Цели

Усилить уровень защищенности информационно-вычислительной инфраструктуры Заказчика.
Автоматизировать процесс управления событиями и инцидентами информационной безопасности.
Обеспечить непрерывный мониторинг IT-среды и сбор данных о событиях информационной безопасности.

Уникальность проекта

Для одной из крупнейших российских девелоперских компаний Capital Group был реализован первый проект на практике подразделения ANGARA SOC в рамках которого был применен Max Patrol SIEM. В связи с этим реализованы следующие работы по интеграции с действующими процессами SOC:

проработаны правила корреляции используемые SOC под возможности MP SIEM;
разработана модель данных MP SIEM;
осуществлена интеграция MP SIEM с IRP Security Vision;
разработана процессная модель управления инцидентами в IRP Security Vision:
выстроен процесс технической поддержки в рамках оказываемых услуг.

Проект решает задачи импортозамещения

Да

Использованное ПО

Max Patrol SIEM, операционная система Windows Server 2019, ОС GNU / Linux;
операционные системы: Microsoft Windows Server 2019, Debian 10, Ubuntu 20 LTSB;
программное обеспечение: Max Patrol SIEM, NIDS Suricata, Security Vision, Zabbix.

Сложность реализации

Для Angara Security это был первый и уникальный опыт оказания услуги на сторонней SIEM. В кратчайшие сроки потребовалось переделать множество контента и процессов SOC.

Благодаря этому Angara SOC сможет тиражировать опыт на другие SIEM системы, развивать услуги по мониторингу, быть вендоронезависимыми на рынке информационной безопасности.

Описание проекта

Реализация проекта по построению эффективной системы мониторинга и реагирования на инциденты на базе продукта отечественного разработчика Positive Technologies, MaxPatrol SIEM в связке с Angara SOC.

Работы выполнялись рука об руку четко организованными командами Capital Group и Angara Security.

На первом этапе эксперты команды Angara Security провели обследование инфраструктуры Заказчика, глубоко проработали архитектуру, разработали техническое решение и проектную документацию системы. Выработали схему имплементации и приступили к интеграции.

Следующим этапом установили MP SIEM: были развернуты компоненты сбора, анализа и корреляции событий. Выполнено подключение более 20 типов источников с общим итоговым потоком событий более 4000 EPS (EPS = Событий в секунду), с потенциалом для расширения.

Проработали и согласовали детали подключения информационных и защитных систем Заказчика к инфраструктуре Angara SOC. Выполнили подключение, а затем осуществили перевод и адаптацию действующих сценариев выявления подозрений на инциденты Angara SOC на MP SIEM.

В результате внедрения у Capital Group появилась возможность:

управлять парком IT активов организации и осуществлять непрерывный сбор информации о состоянии активов (адреса, порты) и их взаимодействии;
собирать данные об учетных записях;
управлять учетными записями;
выявлять инциденты и реагировать на них;
выполнять мероприятия по сбору событий ИБ с активов;
агрегировать и анализировать события ИБ;
передавать события об инцидентах в систему корреляции событий SIEM;
накапливать историческую информацию об инцидентах, чтобы производить аналитику и прорабатывать эффективные меры реагирования на инциденты в будущем.

Интеграция SIEM Capital Group с Angara SOC позволила:

существенно сократить время реакции на события информационной безопасности;
сформировать ретроспективные выборки (отчеты) по компонентам ИТ-инфраструктуры;
перейти к управлению полным жизненным циклом событий в ИТ-инфраструктуре.

География проекта

Москва, несколько распределенных площадок

Дополнительные презентации:

Angara_Security_презентация_Проект_года.pdf