Компания «Андэк» внедрила SIEM систему в компании Efes Rus

Внедренная система мониторинга событий информационной безопасности позволяет получить целостную картинку ситуации в корпоративной сети компании Efes Rus.

Компания «Андэк» завершила проект по внедрению системы мониторинга событий информационной безопасности на базе McAfee ESM в виртуальной среде компании Efes Rus.

Ранее сотрудниками «Андэк» был проведен аудит обработки персональных данных в компании Efes  Rus. Внедрение системы мониторинга событий (SIEM) было одной из рекомендаций по результатам этого проекта, призванной реализовать требования по управлению событиями информационной безопасности в информационных системах персональных данных. Кроме этого, развитие ИТ-инфраструктуры, увеличение числа пользователей, расширение спектра приложений привело к увеличению данных, требующих анализа, в связи с этим, руководством компании было принято решение о внедрении SIEM-системы.

На этапе подготовки проекта перед специалистами Андэка была поставлена задача не просто внедрить SIEM систему, необходимо было обеспечить подключение специфических источников событий, а также реализовать мониторинг действий привилегированных пользователей и контроль использования приложений SAP.

Ранее сотрудниками «Андэк» был проведен аудит обработки персональных данных в компании Efes Rus. Внедрение системы мониторинга событий (SIEM) было одной из рекомендаций по результатам этого проекта, призванной реализовать требования по управлению событиями информационной безопасности в информационных системах персональных данных. Кроме этого, развитие ИТ-инфраструктуры, увеличение числа пользователей, расширение спектра приложений привело к увеличению данных, требующих анализа, в связи с этим, руководством компании было принято решение о внедрении SIEM-системы.

Помимо стандартных источников событий (операционные системы, сетевое оборудование, антивирусные системы) специально для этого проекта компанией «Андэк» были разработаны кастомизированные парсеры журналов для нескольких систем: аудита СУБД DB2, журналов аудита приложений SAP и журналов трафика системы MS Exchange 2013, позволяющие собирать события с источников. Для контроля привилегированных пользователей была выполнена глубокая интеграция системы с несколькими доменами Active Directory.

В соответствии с задачами заказчика с помощью SIEM системы был реализован мониторинг назначения и использования привилегий (ролей) SAP, а также мониторинг запуска критичных бизнес-транзакций в реальном времени и генерация исторической отчетности в соответствие с требованиями Заказчика. Были настроены правила корреляции, позволяющие выявлять критичные инциденты ИБ автоматически и уведомлять о них ответственный персонал компании-заказчика.

«Система автоматического информирования зарекомендовала себя положительно. Она позволяет выстраивать автоматический превентивный контроль по ряду транзакций и процессов, которые могут быть сочтены критическими, позволяет в режиме online реагировать на возникающие угрозы в части возникновения критического совмещения полномочий. Внедренная SIEM-система является дополнительным, но не лишним инструментом контроля» – подчеркнул Павел Шветц, менеджер по внутреннему контролю компании Efes Rus.

Реализованный проект повысил уровень защиты от внешних угроз, позволяет специалистам Efes Rus получить целостную картинку ситуации в корпоративной сети, визуализированную и упорядоченную. SIEM система осуществляет централизованный сбор, обработку и хранение событий информационной безопасности, кроме этого она предоставляет возможности использовать отчетность разной степени детализации и периода, что облегчает проведение расследований инцидентов.

Дмитрий Никифоров, руководитель дирекции реализации проектов компании «Андэк» прокомментировал данный проект: «Мы рады, что нам представилась возможность участвовать в этом проекте, специалистами нашей компании был получен уникальный опыт прямого подключения журналов аудита SAP без помощи сторонних средств. Надеемся, что наше давнее и плодотворное сотрудничество в части внедрения и развития систем обеспечения информационной безопасности продолжится и в дальнейшем».