Внедрение системы мониторинга и корреляции событий на базе McAfee SIEM

Заказчик: Крупный процессинговый центр
Оказанные услуги: Внедрение системы мониторинга и корреляции событий на базе McAfee Enterprise Security Manager (McAfee SIEM).

 


Цели проекта: 

  • Повышение общего уровня информационной безопасности компании за счет повышения эффективности процесса управления инцидентами.
  • Обеспечение соответствия требованиям компании в сфере ИБ, требованиям регулирующих органов и международных и отечественных стандартов в сфере ИБ.
  • Внедрение системы мониторинга и анализа событий, как платформы для построения центра управления системой информационной безопасности компании.

Результаты проекта: 

Внедрение систем позволит достичь следующих результатов:

  • Обеспечит оперативный и эффективный процесс выявления и реагирования на инциденты информационной безопасности.
  • Позволит снизить уровень рисков информационной безопасности за счет своевременного обнаружения и обработки инцидентов информационной безопасности.
  • Обеспечит соответствие требованиям стандартов, в том числе и банковской сферы.

Конфигурация программного и аппаратного обеспечения, предполагаемого к внедрению:

  • McAfee MFE Event Receiver VM 12 P:1GL.
  • McAfee MFE ELM VM Max 12 Cores P:1 GL.
  • McAfee MFE Adv Corr Eng VM P:1GL.
  • McAfee McAfee MFE ESM VM Max 12 Cores P:1 GL.
  • McAfee MFE Sol Services Custom Consult Daily.
  • McAfee MFE GTI for ESM-VM-12 1:1GL.

Описание решения:

McAfee SIEM

Решение McAfee SIEM относится к классу систем сбора и анализа событий информационной безопасности (Security Information Management / Security Event Management).

Указанные системы позволяют в режиме реального времени получать события информационной безопасности, анализировать их и реагировать на выявленные угрозы, инциденты и нарушения политик информационной безопасности.

Инфраструктура сбора информации McAfee ESM обеспечивает расширенные возможности для получения данных из широкого набора источников — журналов более 300 устройств и источников событий, включая операционные системы, сетевые устройства (маршрутизаторы, коммутаторы), сетевые анализаторы (мониторы сети и анализаторы трафика и др.), системы безопасности (системы обнаружения и предотвращения вторжений, межсетевые экраны, виртуальные частные сети, сканеры уязвимости), а также журналы аудита приложений, баз данных, решений для управления идентификацией, веб-серверов и Интернет-приложений.

McAfee ESM предоставляет инфраструктуру корреляции, которая позволяет определить значение каждого конкретного события, помещая его в контекст, т. е. показывая кто, что, где, когда и почему обусловило появление данного события, это помогает выявить влияние события на бизнес-риск. Средства корреляции обеспечивают точную автоматическую приоритезацию угроз безопасности и нарушений соответствия требованиям, показывая события в соответствующем бизнес-контексте.

При этом для того, чтобы такая система обеспечивала эффективное выявление инцидентов, быстрое реагирование и отсутствие ложных срабатываний, она должна быть настроена в соответствии с имеющимися в компании бизнес-процессами и ИТ-инфраструктурой.

План работ:

Компания «Софтлист» предлагает услугу по внедрению решений McAfee ESM, в соответствии с требованиями регламентирующих документов и международных стандартов по безопасности в сфере ИБ. Комплекс работ включает в себя:

  • Поставку и развертывание систем.
  • Разработку необходимой проектной документации.
  • Обучение сотрудников базовым навыкам работы с системами.
  • Консультационную поддержку в процессе внедрения систем McAfee ESM.
  • План работ по внедрению решения McAfee ESM.
  • Установка систем.
  • Планирование архитектуры решения McAfee ESM.
  • Составление частного ТЗ.
  • Установка и настройка компонентов.
  • Настройка системы (стандартный коннектор).
  • Подключение устройств с помощью стандартных коннекторов.
  • Консалтинг (обучение).
  • Консультация (обучение) инженеров заказчика по внедрённой системе.
  • Разработка документации.
  • Написание пояснительной записки.
  • Написание инструкции администратора.
  • Приёмо-сдаточные испытания.
  • Разработка программы и методики испытаний (ПМИ).
  • Проведение испытаний.

Описание работ:

Начало работ подразумевает под собой обследование инфраструктуры Заказчика. Проводится сбор информации об источниках, которые необходимо подключить к системе мониторинга, определяется и согласовывается для каждого источника список действий и событий, мониторинг которых будет проводиться, проводится определение перечня соответствующих режимов аудита, которые необходимо включить на источнике событий безопасности, определяется объем событий, поступающих со всех типов источников, подлежащих подключению к системе мониторинга.

Также специалистами нашей компании совместно с представителями Заказчика проводят формирование списка типовых инцидентов информационной безопасности, подлежащих мониторингу. Разрабатывается и согласовывается Техническое Задание на систему мониторинга.

Проводится внедрение систем McAfee ESM и в соответствии с собранной информацией и первичными данными, полученными от Заказчика. Проводятся установка и настройка систем в соответствии с ТЗ. При внедрении специалистами Исполнителя реализуется установка системы мониторинга, проводится контроль установки режимов аудита на всех источниках, подключаемых к системе мониторинга, настраивается система мониторинга (проверяется поступление событий в систему, проводится группировка источников событий, настраиваются параметры архивирования и резервирования базы событий, проверяется работоспособность политик), а также интеграция с существующими системами McAfee NSM и McAfee MVM.

После проведения комплекса работ по инсталляции систем и первичной настройке правил мониторинга и корреляции событий, проводится опытная эксплуатация системы. На данном этапе проводится разработка эксплуатационной документации на систему мониторинга (руководства пользователя, администратора), готовится программа и методика испытаний системы.

Также производятся разработка и доработка коннекторов ко всем системам, входящим в область проекта, разрабатываются правила корреляции событий. Подход к разработке правил согласовывается аналитической группой Исполнителя с проектной группой Заказчика. Специалисты Исполнителя проводят экспресс-обучение работе с системой мониторинга специалистов Заказчика.

В ходе работ по опытной эксплуатации системы мониторинга проводится также тестирование и проверка функциональных возможностей систем, проводятся нагрузочные испытания системы, осуществляется отработка существующих в компании регламентов управления инцидентами ИБ.

По окончанию опытной эксплуатации проводятся приёмо-сдаточные испытания согласно разработанной программе и методике. Результатом работ является перевод систем в промышленную эксплуатацию на основании успешного прохождения приёмо-сдаточных испытаний.


КОНТАКТНАЯ ИНФОРМАЦИЯ
 
 Адрес и телефон в Киеве:
+380 (44) 593-74-50
ул. Дегтяревская, 53а