Внедрение системы мониторинга событий (SIEM) было одной из рекомендаций по результатам этого проекта, призванной реализовать требования по управлению событиями информационной безопасности в информационных системах персональных данных. Кроме этого, развитие ИТ-инфраструктуры, увеличение числа пользователей, расширение спектра приложений привело к увеличению данных, требующих анализа, в связи с этим, руководством компании было принято решение о внедрении SIEM-системы. Для данного проекта была выбрана система компании McAfee.
На этапе подготовки проекта перед специалистами Андэка была поставлена задача не просто внедрить SIEM систему, необходимо было обеспечить подключение специфических источников событий, а также реализовать мониторинг действий привилегированных пользователей и контроль использования приложений SAP.
Ранее сотрудниками «Андэк» был проведен аудит обработки персональных данных в компании Efes Rus. Внедрение системы мониторинга событий (SIEM) было одной из рекомендаций по результатам этого проекта, призванной реализовать требования по управлению событиями информационной безопасности в информационных системах персональных данных. Кроме этого, развитие ИТ-инфраструктуры, увеличение числа пользователей, расширение спектра приложений привело к увеличению данных, требующих анализа, в связи с этим, руководством компании было принято решение о внедрении SIEM-системы.
Помимо стандартных источников событий (операционные системы, сетевое оборудование, антивирусные системы) специально для этого проекта компанией «Андэк» были разработаны кастомизированные парсеры журналов для нескольких систем: аудита СУБД DB2, журналов аудита приложений SAP и журналов трафика системы MS Exchange 2013, позволяющие собирать события с источников. Для контроля привилегированных пользователей была выполнена глубокая интеграция системы с несколькими доменами Active Directory.
В соответствии с задачами заказчика с помощью SIEM системы был реализован мониторинг назначения и использования привилегий (ролей) SAP, а также мониторинг запуска критичных бизнес-транзакций в реальном времени и генерация исторической отчетности в соответствие с требованиями Заказчика. Были настроены правила корреляции, позволяющие выявлять критичные инциденты ИБ автоматически и уведомлять о них ответственный персонал компании-заказчика.
«Система автоматического информирования зарекомендовала себя положительно. Она позволяет выстраивать автоматический превентивный контроль по ряду транзакций и процессов, которые могут быть сочтены критическими, позволяет в режиме online реагировать на возникающие угрозы в части возникновения критического совмещения полномочий. Внедренная SIEM-система является дополнительным, но не лишним инструментом контроля» — подчеркнул Павел Шветц, менеджер по внутреннему контролю компании Efes Rus.
Реализованный проект повысил уровень защиты от внешних угроз, позволяет специалистам Efes Rus получить целостную картинку ситуации в корпоративной сети, визуализированную и упорядоченную. SIEM система осуществляет централизованный сбор, обработку и хранение событий информационной безопасности, кроме этого она предоставляет возможности использовать отчетность разной степени детализации и периода, что облегчает проведение расследований инцидентов.