3 марта 2025 г.

«Магнит» внедрил MaxPatrol SIEM для непрерывного мониторинга событий кибербезопасности и управления инцидентами. На первом этапе проекта система отслеживает десятки тысяч узлов и обрабатывает более 20 000 событий в секунду, планируется, что целевая конфигурация после подключения оставшихся источников будет обрабатывать до 100 000 событий в секунду.

Для обеспечения надежной защиты «Магниту» необходимы полная видимость ИT-инфраструктуры и эффективное управление инцидентами информационной безопасности. До внедрения продукта Positive Technologies компания уже использовала систему класса SIEM зарубежного вендора.

«На первом этапе внедрения MaxPatrol SIEM специалисты компании подключили к системе необходимые источники событий для одной из площадок, настроили уведомления и отчеты, а также написали правила нормализации и корреляции, специфичные для „Магнита“, — отмечает Иван Прохоров, руководитель продукта MaxPatrol SIEM, Positive Technologies. — Максимально сократить время от установки MaxPatrol SIEM до начала работы специалистов с ней и получения реальных результатов позволяет большой объем экспертизы, которой наполнена система. Мы постоянно актуализируем контент и добавляем в продукт правила обнаружения новейших тактик и техник злоумышленников».

Сегодня с MaxPatrol SIEM работают 10 специалистов «Магнита». Поток событий нужных отделу безопасности для работы после фильтрации и оптимизации составляет 20 000 событий в секунду. Планируется, что целевая конфигурация после подключения оставшихся источников будет обрабатывать до 100 000 событий в секунду.

К MaxPatrol SIEM подключены более шестидесяти групп источников, которые собирают события с десятков тысяч активов. Среди основных узлов — Windows- и Unix-системы, сетевые устройства, решения для удаленного доступа и системы виртуализации, основные средства защиты информации для контроля безопасности инфраструктуры (PT Application Firewall, антивирусные программы), почтовый сервис. MaxPatrol SIEM также поддерживает шесть критически важных бизнес-систем, которые хранят свои логи в базах данных, — это кастомные источники.

Один из практических кейсов мониторинга — аудит безопасности ресурсов, размещенных в Yandex Cloud, сопровождающийся контролем сетевого периметра. MaxPatrol SIEM также использует информацию, собранную со СКУД, чтобы выявлять потенциальные инциденты, связанные с несанкционированным доступом к информационным системам ритейлера.

«MaxPatrol SIEM помогает не только сотрудникам SOC, но и другим подразделениям, — рассказал Алексей Бобровский, руководитель SOC группы компаний „Магнит“. — Например, IT-специалисты используют отчеты MaxPatrol SIEM для поддержки пользователей и администрирования систем. В свою очередь, подразделение, занимающееся антифродом, обнаруживает мошенников по аномальной активности в программах лояльности, которую выявляет система».

В качестве базы данных сотрудники «Магнита» используют LogSpace, разработанную Positive Technologies специально для решения задач хранения больших объемов информации о событиях из разнообразных источников. Специалисты отмечают ее преимущество перед open-source-СУБД: плотность хранения данных выше. Организация, исходя из своих потребностей, может регулировать объем либо срок хранения событий, минимизируя при этом потребление хранилища данных. Кроме того, внедренный MaxPatrol SIEM установлен с возможностью горизонтального масштабирования для быстрого подключения новых конвейеров обработки событий для дальнейшего выхода на необходимую мощность.

«Для нас было важно, чтобы новая SIEM-система позволяла оперативно выявлять потенциальные угрозы, — прокомментировал Александр Василенко, директор по информационной безопасности группы компаний „Магнит“. — MaxPatrol SIEM отвечает запросам информационной безопасности „Магнита“. Сегодня продукт полностью закрывает потребности компании по мониторингу и выявлению кибератак».

Помимо MaxPatrol SIEM и PT Application Firewall, «Магнит» использует систему для обнаружения уязвимостей и эффективного управления ими — MaxPatrol VM. Интеграция продукта с MaxPatrol SIEM позволяет обеспечить прозрачность ИT-инфраструктуры и выстроить процесс управления уязвимостями, таким образом сокращается поверхность потенциальных атак и снижается вероятность проникновения хакеров в инфраструктуру. Кроме того, в 2025 году компания планирует внедрить встроенный в MaxPatrol SIEM ML-модуль Behavioral Anomaly Detection (BAD), который помогает обнаруживать аномальное поведение пользователей или сущностей в IT-инфраструктуре организации и оценивать степень риска обнаруженных угроз.

Источник: Пресс-служба компании Positive Technologies