Поделиться
«Магнит» использует MaxPatrol SIEM для мониторинга событий кибербезопасности с десятков тысяч активов
Розничная сеть «Магнит» внедрила MaxPatrol SIEM для непрерывного мониторинга событий кибербезопасности и управления инцидентами. На первом этапе проекта система отслеживает десятки тысяч узлов и обрабатывает более 20 тыс. событий в секунду, планируется, что целевая конфигурация после подключения оставшихся источников будет обрабатывать до 100 тыс. событий в секунду. Об этом CNews сообщили представители Positive Technologies.
Для обеспечения надежной защиты «Магниту» необходимы полная видимость ИТ-инфраструктуры и эффективное управление инцидентами информационной безопасности. До внедрения продукта Positive Technologies компания уже использовала систему класса SIEM зарубежного вендора.
При реализации проекта импортозамещения ритейлер тестировал решения разных вендоров. Компании было необходимо сохранить киберустойчивость и непрерывность бизнеса, встроив новую систему в существующие в организации процессы. Кроме того, специалистам розничной сети требовался удобный интерфейс для создания пользовательских правил нормализации и корреляции. Лучше всех требованиям компании соответствует MaxPatrol SIEM.
«На первом этапе внедрения MaxPatrol SIEM специалисты компании подключили к системе необходимые источники событий для одной из площадок, настроили уведомления и отчеты, а также написали правила нормализации и корреляции, специфичные для «Магнита», — отметил Иван Прохоров, руководитель продукта MaxPatrol SIEM, Positive Technologies. — Максимально сократить время от установки MaxPatrol SIEM до начала работы специалистов с ней и получения реальных результатов позволяет большой объем экспертизы, которой наполнена система. Мы постоянно актуализируем контент и добавляем в продукт правила обнаружения новейших тактик и техник злоумышленников».
Сегодня с MaxPatrol SIEM работают 10 специалистов «Магнита». Поток событий нужных отделу безопасности для работы после фильтрации и оптимизации составляет 20 тыс. событий в секунду. Планируется, что целевая конфигурация после подключения оставшихся источников будет обрабатывать до 100 тыс. событий в секунду.
К MaxPatrol SIEM подключены более 60 групп источников, которые собирают события с десятков тысяч активов. Среди основных узлов — Windows- и Unix-системы, сетевые устройства, решения для удаленного доступа и системы виртуализации, основные средства защиты информации для контроля безопасности инфраструктуры (PT Application Firewall, антивирусные программы), почтовый сервис. MaxPatrol SIEM также поддерживает шесть критически важных бизнес-систем, которые хранят свои логи в базах данных, — это кастомные источники.
Один из практических кейсов мониторинга — аудит безопасности ресурсов, размещенных в Yandex Cloud, сопровождающийся контролем сетевого периметра. MaxPatrol SIEM также использует информацию, собранную со СКУД, чтобы выявлять потенциальные инциденты, связанные с несанкционированным доступом к информационным системам ритейлера.
«MaxPatrol SIEM помогает не только сотрудникам SOC, но и другим подразделениям, — сказал Алексей Бобровский, руководитель SOC группы компаний «Магнит». — Например, ИТ-специалисты используют отчеты MaxPatrol SIEM для поддержки пользователей и администрирования систем. В свою очередь, подразделение, занимающееся антифродом, обнаруживает мошенников по аномальной активности в программах лояльности, которую выявляет система».
В качестве базы данных сотрудники «Магнита» используют LogSpace, разработанную Positive Technologies специально для решения задач хранения больших объемов информации о событиях из разнообразных источников. Специалисты отмечают ее преимущество перед open-source-СУБД: плотность хранения данных выше. Организация, исходя из своих потребностей, может регулировать объем либо срок хранения событий, минимизируя при этом потребление хранилища данных. Кроме того, внедренный MaxPatrol SIEM установлен с возможностью горизонтального масштабирования для быстрого подключения новых конвейеров обработки событий для дальнейшего выхода на необходимую мощность.
«Для нас было важно, чтобы новая SIEM-система позволяла оперативно выявлять потенциальные угрозы, — сказал Александр Василенко, директор по информационной безопасности группы компаний «Магнит». — MaxPatrol SIEM отвечает запросам информационной безопасности «Магнита». Сегодня продукт полностью закрывает потребности компании по мониторингу и выявлению кибератак».
Помимо MaxPatrol SIEM и PT Application Firewall, «Магнит» использует систему для обнаружения уязвимостей и эффективного управления ими — MaxPatrol VM. Интеграция продукта с MaxPatrol SIEM позволяет обеспечить прозрачность ИТ-инфраструктуры и выстроить процесс управления уязвимостями, таким образом сокращается поверхность потенциальных атак и снижается вероятность проникновения хакеров в инфраструктуру. Кроме того, в 2025 г. компания планирует внедрить встроенный в MaxPatrol SIEM ML-модуль Behavioral Anomaly Detection (BAD), который помогает обнаруживать аномальное поведение пользователей или сущностей в ИТ-инфраструктуре организации и оценивать степень риска обнаруженных угроз.
Поделиться
Короткая ссылка
