Компания «Маск Сэйф» внедрила SIEM-систему от «СёрчИнформ» для выявления инцидентов и управления событиями информационной безопасности. Решение развернули на всей ИТ-инфраструктуре в сентябре 2025 года после пилотного проекта.
В выборе SIEM заказчик ориентировался на следующие параметры: наличие необходимых предустановленных коннекторов для интеграции с различными элементами ИТ-инфраструктуры, легкое внедрение без долгой предварительной настройки, простота использования и невысокие программно-аппаратные требования.
«Постоянно растущие ИБ-угрозы и требования регуляторов сделали невозможным дальнейший анализ событий информационной безопасности вручную. Нам требовалась централизованная система для сбора, корреляции и хранения логов со всех узлов ИТ-инфраструктуры компании. Поэтому решили внедрить SIEM, – рассказывает Никита Михайлов, директор ООО «Маск Сэйф». – Мы протестировали несколько систем отечественных разработчиков. В результате остановились на "СёрчИнформ SIEM". Решение соответствовало нашим запросам. В системе есть все необходимые функции «из коробки», наличие интеграции с 1С и Kaspersky, а также возможность развернуть систему на существующих серверах без закупки дорогостоящего оборудования».
«СёрчИнформ SIEM» – «коробочная» система, ориентированная на практичность и удобство. Она устроена так, чтобы минимизировать нагрузку на компанию-заказчика. Так, после внедрения SIEM-системы от «СёрчИнформ» в компании «Маск Сэйф» нагрузка на администраторов снизилась вдвое, а время расследования инцидентов сократилось на 70%.
«Если раньше на поиск причины взлома уходили дни, то теперь система сигнализирует о проблеме мгновенно. За первые два месяца работы "СёрчИнформ SIEM" помогла выявить несколько ИБ-инцидентов: во-первых, подбор пароля к учетной записи администратора, атака шла из внешней сети. Во-вторых, попытку сотрудника бухгалтерии выгрузить базу 1С в нерабочее время. Здесь сработало правило «ночная активность». В-третьих, факт запуска вредоносного ПО. В двух последних случаях удалось предотвратить возможные финансовые и репутационные потери», – говорит Никита Михайлов.
Заказчик отметил встроенный функционал SIEM-системы – запуск автоматических реакций, позволяющий в моменте противодействовать угрозам. ИБ-специалист может прописать любые сценарии действий, которые SIEM запустит как реакцию на инцидент. К примеру, система заблокирует порт на фаерволе, если обнаружит обращение к скомпрометированному ресурсу. Это облегчает выполнение рутинных задач и повышает быстроту действий всех систем защиты.
«По данным нашего исследования, более 70% заказчиков считают работу SIEM сложной, опасаются чрезмерных затрат на внедрение и настройку, – отмечает Павел Пугач, системный аналитик "СёрчИнформ". – Поэтому мы спроектировали нашу систему так, чтобы уменьшить эти сложности для заказчиков. И предложили решение «из коробки». Систему можно эксплуатировать сразу после установки. Заказчики получают решение, которое интегрируется с любой ИТ-инфраструктурой и имеет более 500 преднастроенных правил корреляции».
Система «СёрчИнформ SIEM» сертифицирована ФСТЭК и внесена в Единый реестр российских программ для электронных вычислительных машин и баз данных. Программа позволяет выполнять требования защиты информационных систем государственных и коммерческих организаций, установленные требованиями ФСТЭК.
.jpg)
%20(3).png)