Cyber
SIEM
SOC
Мониторинг
Пилот SIEM с набором use-cases
Провели пилотный проект внедрения SIEM: подключили ключевые источники, разработали 25 правил корреляции, обучили команду.
2024
3 месяца
Preview
Задача
Отсутствие централизованного мониторинга безопасности, разрозненные логи, невозможность детектировать инциденты.
Ограничения
- Ограниченный бюджет на пилот
- Требование работать с существующей инфраструктурой
- Минимум влияния на production
Решение
Развернули SIEM на выделенной инфраструктуре, подключили 15 источников (AD, FW, VPN, Web, DB). Разработали матрицу событий, создали 25 use-cases, настроили алерты и дашборды.
Результаты
| Метрика | До | После | Изменение |
|---|---|---|---|
| Источников событий | 0 | 15 | +15 |
| Use-cases | 0 | 25 | +25 |
| MTTD (обнаружение) | >24ч | 15 мин | -99% |
Технологии
MaxPatrol SIEM
Elasticsearch
Grafana
Python
Артефакты
- SIEM конфигурация
- Матрица событий
- Каталог use-cases
- Регламенты
- Обучение