Построение SOC-центра для крупного банка
Импортозамещение
IBM QRadar → MaxPatrol SIEM
Задача
Банк из ТОП-15 нуждался в создании собственного Центра мониторинга информационной безопасности (SOC) для соответствия требованиям ЦБ РФ и выявления кибератак в реальном времени.
Решение
Спроектирована и внедрена трёхуровневая модель SOC: L1 мониторинг 24/7, L2 анализ инцидентов, L3 расследование и форензика. Развёрнута SIEM-платформа на базе MaxPatrol SIEM с интеграцией 85 источников событий. Разработано 150+ корреляционных правил.
Результаты
SOC выведен в промышленную эксплуатацию за 8 месяцев. Среднее время обнаружения инцидента — 12 минут. За первый квартал работы выявлено и предотвращено 23 целевые атаки. Соответствие требованиям ЦБ РФ подтверждено аудитом.
Масштаб и сроки
85 источников событий, 12 000 EPS
8 месяцев
Технологии
Оценка заказчика
Экспертные инсайты
Участники проекта делятся уроками, техническими деталями и выводами
Первые 3 месяца SOC: чего мы не ожидали
Главный сюрприз — 70% алертов в первый месяц оказались false positives из-за легаси-систем, которые общались по нестандартным портам. Мы потратили целый месяц на «обучение» SIEM особенностям инфраструктуры заказчика. Совет: всегда закладывайте 1-2 месяца на тюнинг правил корреляции после подключения источников.
Мария Лебедева
Руководитель SOC
Выбор MaxPatrol SIEM: решающие факторы
Мы сравнивали MaxPatrol SIEM, Splunk и ELK-стек. MaxPatrol победил по трём критериям: готовые правила корреляции для российских систем (1С, Директум, Astra Linux), русскоязычная документация для аналитиков L1 и отсутствие лимитов на объём данных в лицензии.
Игорь Сидоров
Архитектор ИБ
Команда проекта
Игорь Сидоров
Архитектор ИБ
Мария Лебедева
Руководитель SOC