Централизованное управление событиями безопасности

• Обеспечение непрерывности бизнеса: гарантировать стабильную и безопасную работу цифровых сервисов компании для более чем 20 млн активных пользователей в месяц (MAU).

• Снижение зависимости от внешних факторов: выстроить архитектуру ИБ, устойчивую к изменению регуляторных требований, рыночных условий и внешних атак.

• Выявление и нейтрализация сложных угроз: обеспечить возможность обнаружения и анализа продвинутых атак (APT, инсайдерские сценарии, таргетированные атаки на бизнес-приложения).

• Развитие внутренних компетенций: сформировать в компании центр экспертизы по SIEM/UEBA, подготовить специалистов к самостоятельной разработке правил корреляции и сценариев реагирования, заложив основу для дальнейшего роста SOC.

• Были открыты новые инциденты, которые ранее были вне доступа

• Была обеспечена безопасность веб приложений

• Среднее время реагирования сократилось на 60%

• Среднее время решения инцидента сократилось на 80%

• R-Vision SIEM продемонстрировала стабильную работу при пиковой нагрузке ~ 72к EPS. Ресурсы на коллекторе - CPU 16 ядер и RAM 8 ГБ (по RAM не использовалось и половины, CPU ~ 80-85%).

• Сформированы устойчивые компетенции по самостоятельному созданию и адаптации корреляционных правил и схем нормализации данных командой «Домклик»

R-Vision SIEM, R-Vision UEBA

С учётом особенностей инфраструктуры был разработан кастомизированный сервис интеграции с системой DLP-cистемой Домклик, обеспечивающий корректный и стабильный сбор событий и их передачу в R-Vision SIEM. На реализацию данного решения потребовалось порядка 30 человеко-часов. Сервис закрыл критически важный интеграционный сценарий и позволил обеспечить полноту данных в системе мониторинга.

«Домклик» внедрил комплексное решение R-Vision SIEM и R-Vision UEBA, обеспечив централизованное управление событиями безопасности, их анализ и корреляцию в режиме реального времени. Гибридное решение позволяет собирать логи с серверов, рабочих станций, сетевых устройств и бизнес-приложений, проводить нормализацию и обогащение данных, а также автоматически выявлять аномалии с помощью продвинутой поведенческой аналитики на базе алгоритмов машинного обучения.

Внедрение R-Vision SIEM охватило как серверную инфраструктуру, так и рабочие станции компании. Подключение бизнес-систем осуществлялось по степени критичности обрабатываемых данных: в первую очередь были интегрированы системы, содержащие наибольшие объёмы клиентских данных.

Дополнительно была реализована интеграция R-Vision SIEM с Telegram-ботом, благодаря чему команда безопасности «Домклик» получила возможность в режиме реального времени получать уведомления о срабатываниях и оперативно реагировать на инциденты. 

Параллельно решение R-Vision UEBA обеспечило детальный анализ событий авторизации, попыток перебора паролей, управления учетными записями и группами безопасности, запусков процессов и приложений, мониторинг почтового трафика, а также выявление подозрительных DGA и look-a-like доменов. 

Как итог, на текущий момент все события анализируются с использованием сложных корреляционных правил и сценариев реакции на инциденты, что позволяет SOC работать проактивно, а не только реагировать на угрозы. Время выявления инцидентов сократилось на 60% и время реагирования — на 80%.

SIEM-система демонстрирует стабильную работу под нагрузкой ~ 72к EPS, при ресурсах на коллекторе CPU - 16 ядер и RAM 8 ГБ (по RAM не использовалось и половины, CPU ~ 80-85%).

Также команда вендора провела для специалистов «Домклик» расширенное обучение по работе с функционалом решения. В результате команда «Домклик» существенно повысила уровень компетенций и перешла к самостоятельной разработке правил корреляции и нормализации для R-Vision SIEM, заложив тем самым основу для дальнейшего совершенствования SOC в компании.

Россия