Внедрение системы мониторинга и корреляции событий на базе McAfee Enterprise Security Manager (McAfee SIEM)

Заказчик: Крупный процессинговый центр
Оказанные услуги: Внедрение системы мониторинга и корреляции событий на базе McAfee Enterprise Security Manager (McAfee SIEM).
Цели проекта
Повышение общего уровня информационной безопасности компании за счет повышения эффективности процесса управления инцидентами.
Обеспечение соответствия требованиям компании в сфере ИБ, требованиям регулирующих органов и международных и отечественных стандартов в сфере ИБ.
Внедрение системы мониторинга и анализа событий, как платформы для построения центра управления системой информационной безопасности компании.
Результаты проекта
Внедрение систем позволит достичь следующих результатов:
Обеспечит оперативный и эффективный процесс выявления и реагирования на инциденты информационной безопасности.
Позволит снизить уровень рисков информационной безопасности за счет своевременного обнаружения и обработки инцидентов информационной безопасности.
Обеспечит соответствие требованиям стандартов, в том числе и банковской сферы.
Конфигурация программного и аппаратного обеспечения, предполагаемого к внедрению:
McAfee MFE Event Receiver VM 12 P:1GL
McAfee MFE ELM VM Max 12 Cores P:1 GL
McAfee MFE Adv Corr Eng VM P:1GL
McAfee McAfee MFE ESM VM Max 12 Cores P:1 GL
McAfee MFE Sol Services Custom Consult Daily
McAfee MFE GTI for ESM-VM-12 1:1GL
Описание решения
MCAFEE SIEM
Решение McAfee SIEM относится к классу систем сбора и анализа событий информационной безопасности (Security Information Management / Security Event Management).
Указанные системы позволяют в режиме реального времени получать события информационной безопасности, анализировать их и реагировать на выявленные угрозы, инциденты и нарушения политик информационной безопасности.
Инфраструктура сбора информации McAfee ESM обеспечивает расширенные возможности для получения данных из широкого набора источников — журналов более 300 устройств и источников событий, включая операционные системы, сетевые устройства (маршрутизаторы, коммутаторы), сетевые анализаторы (мониторы сети и анализаторы трафика и др.), системы безопасности (системы обнаружения и предотвращения вторжений, межсетевые экраны, виртуальные частные сети, сканеры уязвимости), а также журналы аудита приложений, баз данных, решений для управления идентификацией, веб-серверов и Интернет приложений.
McAfee ESM предоставляет инфраструктуру корреляции, которая позволяет определить значение каждого конкретного события, помещая его в контекст, т. е. показывая кто, что, где, когда и почему обусловило появление данного события, это помогает выявить влияние события на бизнес-риск. Средства корреляции обеспечивают точную автоматическую приоритизацию угроз безопасности и нарушений соответствия требованиям, показывая события в соответствующем бизнес-контексте.
При этом для того, чтобы такая система обеспечивала эффективное выявление инцидентов, быстрое реагирование и отсутствие ложных срабатываний, она должна быть настроена в соответствии с имеющимися в компании бизнес-процессами и ИТ-инфраструктурой.
План работ:
Компания «Софтлист» предлагает услугу по внедрению решений McAfee ESM, в соответствии с требованиями регламентирующих документов и международных стандартов по безопасности в сфере ИБ. Комплекс работ включает в себя:
Поставку и развертывание систем.
Разработку необходимой проектной документации.
Обучение сотрудников базовым навыкам работы с системами.
Консультационную поддержку в процессе внедрения систем McAfee ESM.
План работ по внедрению решения McAfee ESM.
Установка систем.
Планирование архитектуры решения McAfee ESM.
Составление частного ТЗ.
Установка и настройка компонентов.
Настройка системы (стандартный коннектор).
Подключение устройств с помощью стандартных коннекторов.
Консалтинг (обучение).
Консультация (обучение) инженеров заказчика по внедрённой системе.
Разработка документации.
Написание пояснительной записки.
Написание инструкции администратора.
Приёмо-сдаточные испытания.
Разработка программы и методики испытаний (ПМИ).
Проведение испытаний.
Описание работ
MCAFEE SIEM
Начало работ подразумевает под собой обследование инфраструктуры Заказчика. Проводится сбор информации об источниках, которые необходимо подключить к системе мониторинга, определяется и согласовывается для каждого источника список действий и событий, мониторинг которых будет проводиться, проводится определение перечня соответствующих режимов аудита, которые необходимо включить на источнике событий безопасности, определяется объем событий, поступающих со всех типов источников, подлежащих подключению к системе мониторинга.
Также специалистами нашей компании совместно с представителями Заказчика проводят формирование списка типовых инцидентов информационной безопасности, подлежащих мониторингу. Разрабатывается и согласовывается Техническое Задание на систему мониторинга.
Проводится внедрение систем McAfee ESM и в соответствии с собранной информацией и первичными данными, полученными от Заказчика. Проводятся установка и настройка систем в соответствии с ТЗ. При внедрении специалистами Исполнителя реализуется установка системы мониторинга, проводится контроль установки режимов аудита на всех источниках, подключаемых к системе мониторинга, настраивается система мониторинга (проверяется поступление событий в систему, проводится группировка источников событий, настраиваются параметры архивирования и резервирования базы событий, проверяется работоспособность политик), а также интеграция с существующими системами McAfee NSM и McAfee MVM.
После проведения комплекса работ по инсталляции систем и первичной настройке правил мониторинга и корреляции событий, проводится опытная эксплуатация системы. На данном этапе проводится разработка эксплуатационной документации на систему мониторинга (руководства пользователя, администратора), готовится программа и методика испытаний системы.
Также производятся разработка и доработка коннекторов ко всем системам, входящим в область проекта, разрабатываются правила корреляции событий. Подход к разработке правил согласовывается аналитической группой Исполнителя с проектной группой Заказчика. Специалисты Исполнителя проводят экспресс обучение работе с системой мониторинга специалистов Заказчика.
В ходе работ по опытной эксплуатации системы мониторинга проводится также тестирование и проверка функциональных возможностей систем, проводятся нагрузочные испытания системы, осуществляется отработка существующих в компании регламентов управления инцидентами ИБ.
По окончанию опытной эксплуатации проводятся приём и отладка согласно разработанной программе и методике. Результатом работ является перевод систем в промышленную эксплуатацию на основании успешного прохождения приёмо-сдаточных испытаний.
Проекты
Напишите нам
Есть вопросы или хотите связаться с нами?
Пожалуйста, укажите ваши данные и напишите нам, мы свяжемся с вами как можно скорее