ПУБЛИКАЦИИ
Внедрение SIEM-системы в железнодорожной компании
Краткое описание
ИТ-служба железнодорожной компании внедрила SIEM-систему Security Capsule SIEM, чтобы повысить точность выявления киберугроз и улучшить прозрачность процессов кибербезопасности.
Причина
ИТ-инфраструктура включала сотни узлов на Windows и Linux. Стандартное журналирование ОС было недостаточным для мониторинга событий информационной безопасности. Многие подозрительные действия оставались вне поля зрения, а управление инцидентами ИБ было затруднено.
Задача
Обеспечить сбор расширенных событий с серверов и рабочих станций и интегрировать их в централизованную SIEM-систему безопасности — Security Capsule SIEM. Цель — повысить эффективность реагирования на инциденты ИБ и сократить время на анализ.
Реализация
1. Анализ текущего логирования
Проведён аудит журналов. Обнаружено, что отсутствует информация о параметрах запуска процессов, что снижало обнаружение угроз безопасности.
2. Внедрение утилиты Sysmon
Выбрана утилита Sysmon от Microsoft, позволяющая контролировать процессы, соединения и изменения в ОС. Решение поддерживает как Windows, так и Linux.
3. Интеграция с SIEM
События Sysmon были интегрированы с системой мониторинга SC SIEM. Настроена категоризация и разбор событий, что позволило расширить анализ событий информационной безопасности.
4. Настройка правил и оповещений
Настроены правила корреляции и уведомления. Реагирование на инциденты ИБ стало автоматизированным: при срабатывании системных индикаторов отправляются сообщения ИБ-аналитикам.
Результат
- +42% обнаруженных инцидентов ИБ, ранее не фиксировавшихся;
- Снижение времени реагирования на 35%;
- Сокращение повторных нарушений ИБ-политик;
- Объединение событий Windows и Linux в единое хранилище;
- Внутренним аудитом выявлены 2 случая несанкционированного доступа.