03/03/25
«Магнит», одна из ведущих розничных сетей в России, внедрила MaxPatrol SIEM для непрерывного мониторинга событий кибербезопасности и управления инцидентами. На первом этапе проекта система отслеживает десятки тысяч узлов и обрабатывает более 20 000 событий в секунду, планируется, что целевая конфигурация после подключения оставшихся источников будет обрабатывать до 100 000 событий в секунду.
Для обеспечения надежной защиты «Магниту» необходимы полная видимость IT-инфраструктуры и эффективное управление инцидентами информационной безопасности. До внедрения продукта Positive Technologies компания уже использовала систему класса SIEM зарубежного вендора.
При реализации проекта импортозамещения ритейлер тестировал решения разных вендоров. Компании было необходимо сохранить киберустойчивость и непрерывность бизнеса, встроив новую систему в существующие в организации процессы. Кроме того, специалистам розничной сети требовался удобный интерфейс для создания пользовательских правил нормализации и корреляции. Лучше всех требованиям компании соответствует MaxPatrol SIEM.
«На первом этапе внедрения MaxPatrol SIEM специалисты компании подключили к системе необходимые источники событий для одной из площадок, настроили уведомления и отчеты, а также написали правила нормализации и корреляции, специфичные для «Магнита», — отмечает Иван Прохоров, руководитель продукта MaxPatrol SIEM, Positive Technologies. — Максимально сократить время от установки MaxPatrol SIEM до начала работы специалистов с ней и получения реальных результатов позволяет большой объем экспертизы, которой наполнена система. Мы постоянно актуализируем контент и добавляем в продукт правила обнаружения новейших тактик и техник злоумышленников».
Сегодня с MaxPatrol SIEM работают 10 специалистов «Магнита». Поток событий нужных отделу безопасности для работы после фильтрации и оптимизации составляет 20 000 событий в секунду. Планируется, что целевая конфигурация после подключения оставшихся источников будет обрабатывать до 100 000 событий в секунду.
К MaxPatrol SIEM подключены более шестидесяти групп источников, которые собирают события с десятков тысяч активов. Среди основных узлов — Windows- и Unix-системы, сетевые устройства, решения для удаленного доступа и системы виртуализации, основные средства защиты информации для контроля безопасности инфраструктуры (PT Application Firewall, антивирусные программы), почтовый сервис. MaxPatrol SIEM также поддерживает шесть критически важных бизнес-систем, которые хранят свои логи в базах данных, — это кастомные источники.
Один из практических кейсов мониторинга — аудит безопасности ресурсов, размещенных в Yandex Cloud, сопровождающийся контролем сетевого периметра. MaxPatrol SIEM также использует информацию, собранную со СКУД, чтобы выявлять потенциальные инциденты, связанные с несанкционированным доступом к информационным системам ритейлера.
«MaxPatrol SIEM помогает не только сотрудникам SOC, но и другим подразделениям, — рассказал Алексей Бобровский, руководитель SOC группы компаний «Магнит». — Например, IT-специалисты используют отчеты MaxPatrol SIEM для поддержки пользователей и администрирования систем. В свою очередь, подразделение, занимающееся антифродом, обнаруживает мошенников по аномальной активности в программах лояльности, которую выявляет система».
В качестве базы данных сотрудники «Магнита» используют LogSpace, разработанную Positive Technologies специально для решения задач хранения больших объемов информации о событиях из разнообразных источников. Специалисты отмечают ее преимущество перед open-source-СУБД: плотность хранения данных выше. Организация, исходя из своих потребностей, может регулировать объем либо срок хранения событий, минимизируя при этом потребление хранилища данных. Кроме того, внедренный MaxPatrol SIEM установлен с возможностью горизонтального масштабирования для быстрого подключения новых конвейеров обработки событий для дальнейшего выхода на необходимую мощность.
«Для нас было важно, чтобы новая SIEM-система позволяла оперативно выявлять потенциальные угрозы, — прокомментировал Александр Василенко, директор по информационной безопасности группы компаний «Магнит». — MaxPatrol SIEM отвечает запросам информационной безопасности «Магнита». Сегодня продукт полностью закрывает потребности компании по мониторингу и выявлению кибератак».
Помимо MaxPatrol SIEM и PT Application Firewall, «Магнит» использует систему для обнаружения уязвимостей и эффективного управления ими — MaxPatrol VM. Интеграция продукта с MaxPatrol SIEM позволяет обеспечить прозрачность IT-инфраструктуры и выстроить процесс управления уязвимостями, таким образом сокращается поверхность потенциальных атак и снижается вероятность проникновения хакеров в инфраструктуру. Кроме того, в 2025 году компания планирует внедрить встроенный в MaxPatrol SIEM ML-модуль Behavioral Anomaly Detection (BAD), который помогает обнаруживать аномальное поведение пользователей или сущностей в IT-инфраструктуре организации и оценивать степень риска обнаруженных угроз.
