13:52
Пробки:   4
$
103.4207
107.9576
Система мониторинга событий ИБ RuSIEM успешно внедрена в контур «Криптонита»
Система мониторинга событий ...
Подписка на рассылку

Система мониторинга событий ИБ RuSIEM успешно внедрена в контур «Криптонита»

26 ноября 2024
21108
4 мин.
1
Система мониторинга событий ИБ RuSIEM успешно внедрена в контур «Криптонита»

Завершен проект по интеграции SIEM-системы RuSIEM в инфраструктуру российской ИТ-компании «Криптонит». Новая система предоставляет ИБ-администраторам полную, своевременную и достоверную информацию о событиях и инцидентах информационной безопасности.

SIEM-система RuSIEM позволяет специалистам «Криптонит» централизованно выполнять сбор, мониторинг и агрегирование информации о событиях от различных источников: сетевого и телекоммуникационного оборудования, серверных систем и персональных рабочих станций, систем защиты информации, серверных и пользовательских операционных систем, систем разработки ПО и др., а также производить нормализацию и фильтрацию информации, коррелировать данные, сфокусировав внимание на действительно важных событиях. Решение даёт возможность проактивного реагирования на события ИБ, обнаруживает на основе анализа событий внешние и внутренние угрозы, включая известные виды атак и предполагаемые злонамеренные действия.

Компании «Криптонит» удалось не только грамотно интегрировать систему в рабочие процессы, но и дать рекомендации по её улучшению. Так по запросу заказчика разработчики RuSIEM оперативно добавили функционал динамических таблиц.

Мониторинг событий информационной безопасности происходит на постоянной основе и уже превысил 1500 EPS в потоке и 4000 EPS в пике. Архитектура очередей устроена так, что при пиковых нагрузках данные очереди автоматически буферизуются на диск, что предотвращает их потерю.

Несмотря на то, что большинство поступающих данных от различных источников событий корректно обрабатывались в системе, не все задекларированные источники при парсинге давали результат, нужный специалистам «Криптонита». Такая ситуация наблюдалась при анализе событий, поступающих от OpenVPN, MikroTik, интерфейсов управления платформой (IPMI) и бэкап-сервисов. Также присутствовали и нераспарсенные сообщения, требующие индивидуального подхода, например, у таких сервисов, как Nexus, GitLab, Passwork, MyTeam.

В рамках решения возникшей задачи специалисты компании «Криптонит» провели работы по написанию собственных и изменению имеющихся парсеров RuSIEM. Данные работы стандартизированы и не вызвали дополнительных затрат. Подключение сервиса к SIEM, исследование источника и подготовка технического задания заняли у заказчика 3 дня, а написание парсера и правил корреляции (1-5 шт.) – от нескольких часов до одного дня.

Когда было достигнуто журналирование всех ключевых сервисов, ИБ-специалисты сконцентрировались на оптимизации и совершенствовании правил корреляции, в результате которых было прописано более 100 необходимых для мониторинга событий ИБ правил корреляции.

В частности, 9 новых правил были добавлены в репозиторий для хранения артефактов Nexus и 20 правил корреляции – в систему отработки событий ИБ, полученных от контроллеров домена и локальных рабочих станций, которые связаны с учётными записями пользователей.

«При небольшом опыте в написании регулярных выражений нам удалось достаточно эффективно использовать предложенный функционал и привести данные к универсальному формату, подходящему для дальнейшей работы. Теперь любой запрос на создание собственного парсера или правила корреляции выполняется оперативно, и в данных вопросах мы никак не зависим от технической поддержки, хотя она у RuSIEM работает быстро», – рассказывает Павел Боглай, руководитель отдела информационной безопасности компании «Криптонит».

Помимо классического использования, SIEM-система позволяет компании «Криптонит» осуществлять автоматизированный мониторинг и сбор информации о состоянии всех компонентов ИТ-инфраструктуры и инвентаризировать её, мониторить изменения в настройках активного сетевого оборудования и сетевых средств защиты, следить за соответствием политики безопасности, проводить анализ и идентификацию подключенных устройств, отслеживать почтовые коммуникации, вести учёт офисной техники, а также проводить инвентаризацию учётных записей.

«Внедрение системы RuSIEM в инфраструктуру компании «Криптонит» позволило эффективно выявлять инциденты информационной безопасности и представлять информацию о них в удобной и понятной форме. Это способствует быстрому принятию решений и оперативному реагированию на угрозы, что дает возможность не только устранять инциденты, но и минимизировать возможные риски. В результате удалось повысить общий уровень информационной безопасности в организации», – уверен Павел Боглай, руководитель отдела информационной безопасности компании «Криптонит».

«Мы всегда рекомендуем заказчикам проактивно подходить к работе в SIEM-системе, предлагать доработки для повышения удобства использования нашего продукта. Помимо оперативной технической поддержки, у нас есть канал RuSIEM community в TG, позволяющий оперативно получать помощь как от команды разработчиков, так и от сообщества пользователей RuSIEM», – подчеркивает Даниил Вылегжанин, руководитель отдела предпродажной подготовки компании RuSIEM.

Компании1 в новости

Криптонит
1 место

ПРЕСС-РЕЛИЗЫ МОСКВЫ


Пресс-релизы ГлобалМСК.ру – это актуальные новости от московских компаний.
На ресурсе регулярно публикуются официальные пресс-релизы компаний Москвы и Московской области. Узнать самые свежие новости предприятий можно в соответствующем разделе на главной странице. Размещение пресс-релизов — традиционный и действенный способ продвижения вашего бизнеса. Он позволяет организациям заявить о себе и своих товарах и услугах максимально широкой массе аудитории. При этом информационный повод может быть любым: привлечение людей на мероприятие или конференцию, освещение новых товаров или кадровые назначения. Если вы ставите цель привлечь внимание к своей информации, то ГлобалМСК.ру станет вашим надежным помощником в данном деле. Благодаря порталу ваш пресс-релиз увидят обозреватели ведущих интернет-изданий, клиенты и партнеры.
ГлобалМСК.ру дает возможности представителям компаний и организаций в Москве и Московской области самостоятельно разместить пресс-релиз при регистрации на ресурсе. Самая главная особенность ГлобалМСК.ру в том, что все публикации московских компаний попадают в архивы и будут доступны из поиска длительное время. Вам достаточно лишь добавить пресс-релиз в информационную ленту.
ГлобалМСК.ру предлагает своим клиентам абонементское обслуживание, которое позволяет компаниям регулярно публиковать пресс-релизы на выгодных условиях. Кроме того, бизнес портал дает возможность более полно рассказать о жизни компании благодаря добавлению фото и видеоматериалов, персон и цитат сотрудников. Все информационные материалы обладают активными ссылками и приведут потенциальных клиентов на ваш ресурс.
Потапова Алёна

Директор по развитию
Население
8177730958
Умерли за год
58835936
Родились за год
144746816