Проект

В МФЦ Курской области внедрили систему MaxPatrol SIEM

Заказчики: МФЦ Курской области

Курск; Государственные и социальные структуры

Подрядчики: Аксофт (Axoft), Щит-СБ
Продукт: MaxPatrol SIEM

Дата проекта: 2022/02 — 2022/07
Технология: ИБ - Межсетевые экраны
подрядчики - 391
проекты - 1466
системы - 734
вендоры - 263
Технология: ИБ - Предотвращения утечек информации
подрядчики - 281
проекты - 1122
системы - 429
вендоры - 248
Технология: ИБ - Управление информацией и событиями в системе безопасности (SIEM)
подрядчики - 74
проекты - 271
системы - 296
вендоры - 157

2022: Внедрение MaxPatrol SIEM

13 июля 2022 года компания Axoft сообщила о том, что в целях укрепления киберзащиты и выявления атак в режиме реального времени, МФЦ Курской области решили внедрить систему MaxPatrol SIEM с помощью инженеров компании Axoft, партнером проекта выступил ООО «ЩИТ-СБ».

По информации компании, перед МФЦ стояла задача - оперативно оптимизировать уровень информационной безопасности, своевременно выявлять и реагировать на возможные атаки на информационные ресурсы. В учреждении ранее использовались отдельные средства контроля уязвимостей, которые не позволяли увидеть полную картину состояния защищенности инфраструктуры.

Для организации централизованного сбора, хранения и управления событиями, администрацией был сделан выбор в пользу MaxPatrol SIEM от Positive Technologies. Решение зарегистрировано в Едином реестре российских ПО и соответствует регуляторным требованиям заказчика. Система позволяет эффективно управлять ИБ-событиями, анализировать и определять аномальное поведение, а также работать с большим объемом данных и автоматизировать процесс с помощью продвинутых инструментов фильтрации и корреляции.

Внедрением и развертыванием системы занималась инженерная команда Axoft. Весь процесс проходил в три этапа. На первом этапе инженеры разработали план интеграции SIEM. Для этого был составлен перечень источников в инфраструктуре, которые необходимо подключить:

Также направлена документация техническим специалистам МФЦ. Важно, чтобы источники были корректно настроены теми специалистами, которые их эксплуатируют, от этого будет зависеть эффективность работы всей системы в дальнейшем. Параллельно разворачивалась компонентная база для средненагруженных систем.

Второй этап включает подключение источников событий, корреляцию и контроль поступающих инцидентов. Также настраиваются задачи аудита и, на основании полученных данных, формируются статические/динамические группы и виджеты для оперативного доступа к критичной информации. Этот блок является самым объемным и занимает до 90% времени от всего внедрения, так как есть много нюансов при работе с источниками, которые необходимо учитывать. Например, сетевые устройства в большинстве своем передают информацию по Syslog, который в свою очередь может отправлять данные в любом виде. Поэтому их нужно контролировать и следить, что нормализовалось, а что нет.

После того, как все источники были подключены, инженеры перешли к настройке правил корреляции правил. Из «коробки» у MaxPatrol SIEM достаточно широкий набор заданных правил. Поэтому необходимо было приоритизировать и применить только те, которые действительно необходимы. При запуске событий были ложные срабатывания, но это естественный процесс, так как правило еще не понимает инфраструктуру, такие случаи вовремя "отлавливались" и дорабатывались.

На заключительном этапе система была введена в эксплуатацию, инженеры проконтролировали, чтобы все работало корректно, а также провели обучение специалистов МФЦ по работе с Системой.

Развертывание сертифицированной версии SIEM позволило, помимо стандартных задач по сбору логов и проведения аудита узлов, собрать информацию о «киберслабостях». Так, на нескольких критичных узлах были обнаружены уязвимости, которые могут привести к заражению вредоносными ПО WannaCry. Чтобы своевременно их отслеживать, инженер установил специальный виджет.

Стоит отметить, что систему разворачивали в сети VIPNet. Особенности пула адресов VIPNet, а также порядок доступа к базам хранилища не позволяют работать со стандартными настройками. Но совместно с командой технических специалистов вендора удалось оперативно решить эту проблему.

«
В целом внедрение российской MaxPatrol SIEM прошло в штатном режиме. Команда инженеров Axoft осуществила разработку плана и последующее развертывание. Мы проводили как консультацию с точки зрения построение правильного процесса управления событиями, так и производили необходимые настройки на стороне SIEM. Были некоторые нюансы в адресации сети, но совместно с вендорской технической поддержкой Positive Technologies их удалось решить.

отметил Денис Фокин, руководитель отдела консалтинга и инженерной поддержки направления по информбезопасности компании Axoft
»

В итоге развертывание системы SIEM длилось около двух месяцев, удалось подключить 19 филиалов МФЦ по Курской области, общий объем источников, с которых собирали события составил около 1000 узлов.

«
Команда Axoft в установленные сроки провела внедрение продукта, подключила все заявленные источники событий и обеспечила взаимодействие с заказчиком. За проектом был закреплен инженер, который помог настроить систему на надлежащем уровне. Планируем в дальнейшем продолжать сотрудничество с Axoft.

рассказал Денис Гавриленко, генеральный директор ООО «ЩИТ-СБ»
»