Ранее в MC Банк Рус функционировала SIEM-система Qradar компании IBM, и заказчиком было принято решение заменить данную систему другим сервисом. Банк рассматривал несколько вариантов реализации проекта: приобретение решения от российских производителей, построение гибридного SOC, возможность использования SOC в качестве сервиса.
В ходе оценки финансовых затрат, сроков подключения и нагрузки на собственных специалистов, банком была выбрана модель SOC as a Service. Одним из решающих факторов при выборе решения стало то, что сервис Infosecurity SOC сопровождают профильные эксперты.
Во время перехода на новый сервис перед специалистами стояли следующие ключевые задачи: сохранение «логов» ранее функционировавшего SIEM-решения и подключение основных источников событий в кратчайший срок. Компания справилась с этими задачами за короткий срок благодаря высокому уровню погружения в ситуацию на самых ранних этапах проекта.
Оперативное выполнение ключевых пунктов позволило впоследствии заниматься более тонкой настройкой и проработкой деталей работы сервиса. Была выполнена передача части контроля специалистам Softline, что позволило снизить нагрузку на ИТ-персонал заказчика и повысило скорость реагирования на события. Детально были проработаны схемы взаимодействия со специалистами MC Банк Рус – важнейшие сценарии и порядок уведомления в случае инцидентов. Также проводятся работы по «индивидуальной доработке» в рамках дополнительных запросов клиента.
Эффективность сервиса была проверена с помощью тестирования на проникновение (Pentest) от сторонней организации без уведомления специалистов Softline. SOC оперативно отреагировал и отследил все нелегитимные события.