Впровадження системи моніторингу та кореляції подій на базі McAfee SIEM
Компанія: Державне підприємство Призначення: Підвищення загального рівня інформаційної безпеки Технологія: McAfee Enterprise Security Manager
Детальніше
Опис проєкту
Перед розробниками стояло завдання розробити рішення на базі McAfee SIEM, яке могло б відстежувати всі процеси, які відбуваються в мережі, та повідомляти, у разі виявлення підозрілої активності, з негайним реагуванням та запобіганням загрози.
Клієнт
Компанія: Державне підприємство Призначення: Підвищення загального рівня інформаційної безпеки Технологія: McAfee Enterprise Security Manager Короткий опис: Впровадження системи моніторингу та кореляції подій на базі McAfee Enterprise Security Manager (McAfee SIEM)
Цілі проєкту
Підвищення загального рівня інформаційної безпеки компанії шляхом підвищення ефективності процесу управління інцидентами.
Забезпечення відповідності вимогам компанії у сфері ІБ, вимогам регулюючих органів, міжнародних та вітчизняних стандартів в сфері ІБ.
Впровадження системи моніторингу та аналізу подій як платформи для побудови центру управління системою інформаційної безпеки компанії.
Конфігурація програмного та апаратного забезпечення, передбачуваного до впровадження
McAfee MFE Event Receiver VM 12 P:1GL
McAfee MFE ELM VM Max 12 Cores P:1 GL
McAfee MFE Adv Corr Eng VM P:1GL
McAfee McAfee MFE ESM VM Max 12 Cores P:1 GL
McAfee MFE Sol Services Custom Consult Daily
McAfee MFE GTI for ESM-VM-12 1:1GL
Опис рішення
MCAFEE SIEM
Рішення McAfee SIEM належить до класу систем збору та аналізу подій інформаційної безпеки (Security Information Management / Security Event Management). Зазначені системи дозволяють в режимі реального часу отримувати події інформаційної безпеки, аналізувати їх та реагувати на виявлені загрози, інциденти та порушення політик інформаційної безпеки. Інфраструктура збору інформації McAfee ESM забезпечує розширені можливості для отримання даних з широкого набору джерел — журналів понад 300 пристроїв та джерел подій, включаючи операційні системи, мережеві пристрої (маршрутизатори, комутатори), мережеві аналізатори (монітори мережі й аналізатори трафіку та ін.), системи безпеки (системи виявлення та запобігання вторгнень, міжмережеві екрани, віртуальні приватні мережі, сканери уразливості), а також журнали аудиту додатків, баз даних, рішень для управління ідентифікацією, веб-серверів та Інтернет-додатків. McAfee ESM надає інфраструктуру кореляції, яка дозволяє визначити значення кожної конкретної події, розміщуючи її в контекст, тобто показуючи хто, що, де, коли та чому зумовило появу даної події. Це допомагає виявити вплив події на бізнес-ризик. Засоби кореляції забезпечують точну автоматичну пріоритетність загроз безпеки й порушень відповідності вимогам, показуючи події у відповідному бізнес-контексті. При цьому для того, щоб така система забезпечувала ефективне виявлення інцидентів, швидке реагування та відсутність помилкових спрацьовувань, вона повинна бути налаштована відповідно до наявних в компанії бізнес-процесами та ІТ-інфраструктурою.
План робіт
Постачання та розгортання систем
Розробка необхідної проєктної документації
Навчання співробітників базовим навичкам роботи з системами
Консультаційна підтримка в процесі впровадження систем McAfee ESM
План робіт по впровадженню рішення McAfee ESM
Установка систем
Планування архітектури рішення McAfee ESM
Розробка необхідної проєктної документації
Складання приватного ТЗ
Інсталяція та налаштування компонентів
Налаштування системи (стандартний конектор)
Підключення пристроїв за допомогою стандартних конекторів
Консалтинг (навчання)
Консультація (навчання) інженерів замовника по впровадженій системі
Розробка документації
Написання пояснювальної записки
Написання інструкції адміністратора
Розробка програми та методики випробувань (ПМВ)
Проведення випробувань
Опис робіт
MCAFEE SIEM
Початок робіт має на увазі обстеження інфраструктури Замовника. Проводиться збір інформації про джерела, які необхідно приєднати до системи моніторингу, визначається та узгоджується для кожного джерела список дій та подій, моніторинг яких буде проводитися, проводиться визначення переліку відповідних режимів аудиту, які необхідно включити на джерелі подій безпеки, визначається обсяг подій, що надходять з усіх типів джерел, що підлягають підключенню до системи моніторингу. Також фахівцями нашої компанії спільно з представниками Замовника проводять формування списку типових інцидентів інформаційної безпеки, які підлягають моніторингу. Розробляється та узгоджується Технічне Завдання на систему моніторингу. Проводиться впровадження систем McAfee ESM та відповідно до зібраної інформації й первинними даними, отриманими від Замовника. Проводяться встановлення та налаштування систем відповідно до ТЗ. При впровадженні фахівцями Виконавця реалізується установка системи моніторингу, проводиться контроль установки режимів аудиту на всіх джерелах, що підключаються до системи, налаштовується система моніторингу (перевіряється надходження подій в систему, проводиться групування джерел подій, налаштовуються параметри архівування та резервування бази подій, перевіряється працездатність політик), а також інтеграція з наявними системами McAfee NSM і McAfee MVM. Після проведення комплексу робіт по інсталяції систем та первинного налаштування правил моніторингу та кореляції подій, проводиться дослідна експлуатація системи. На даному етапі проводиться розробка експлуатаційної документації на систему моніторингу (керівництва користувача, адміністратора), готується програма та методика випробувань системи. Також проводиться розробка та доопрацювання конекторів до всіх систем даного проєкту, розробляються правила кореляції подій. Підхід до розробки правил узгоджується аналітичною групою Виконавця з проєктною групою Замовника. Фахівці Виконавця проводять експрес-навчання роботі з системою моніторингу фахівців Замовника. В ході робіт по контрольній експлуатації системи моніторингу проводиться також тестування та перевірка функціональних можливостей систем, проводяться навантажувальні випробування системи, здійснюється відпрацювання наявних в компанії регламентів управління інцидентами ІБ. По закінченню контрольній експлуатації проводяться спільні випробування згідно з розробленою програмою та методикою. Результатом робіт є переклад систем в промислову експлуатацію на підставі успішного проходження спільних випробувань.