Изначально специалисты банка занимались мониторингом инцидентов самостоятельно, для чего была приобретена SIEM-система HP ArcSight, настроена собственная логика корреляционных правил для обнаружения инцидентов. В связи со стремительным ростом бизнеса специалистами банка было принято решение о привлечении дополнительных ресурсов для осуществления непрерывной аналитики новых векторов угроз, мониторинга инцидентов в режиме реального времени, постоянной работы с SIEM по разработке новых правил, отчетов и написания коннекторов для подключения новых систем.
Компанию-подрядчика привлекли по гибридной схеме, когда аутсорсер использует уже внедренную в банке систему HP ArcSight. Для реализации такой модели взаимодействия после проведения пилотного проекта был выбран Solar JSOC – российский центр мониторинга, выявления и реагирования на инциденты компании Solar Security.
В рамках проекта ставились задачи по существенному расширению логики обнаружения инцидентов среди уже подключенных к SIEM источников событий информационной безопасности. Был определен список систем, которые необходимо было подключить к мониторингу и предоставить новые правила под них. Основной задачей стал непрерывный мониторинг и анализ происходящего в инфраструктуре банка с точки зрения кибербезопасности.
Запуск услуг Solar JSOC проводился в несколько этапов. Так как банк долгое время вел работы по наполнению HP ArcSight собственными правилами и отчетами, было важно сохранить полученные результаты, поэтому на первом этапе был проведен анализ SIEM-системы и установлен новый контент без нарушения работы накопленной логики. Далее шло профилирование и адаптация сценариев обнаружения инцидентов под подключенную инфраструктуру и принятую в банке за норму работу сервисов, систем и пользователей. На третьем этапе состоялось подключение SIEM-системы банка к дежурным линиям Solar JSOC для обеспечения круглосуточного мониторинга и реагирования на инциденты.
При реализации гибридной модели аутсорсинга банк достиг развития наиболее важных функций собственного центра операционной безопасности. В результате подключения был существенно расширен перечень сценариев обнаружения инцидентов, минимизировано количество ложных оповещений, введен регламент взаимодействия в случае обнаружения инцидентов и проработан план подключения новых источников инфраструктуры и бизнес-приложений.