Пилот SIEM с набором use-cases
Провели пилотный проект внедрения SIEM: подключили ключевые источники, разработали 25 правил корреляции, обучили команду.
SIEM-консоль пилота с источниками, корреляцией и use-cases
Операционный экран аналитика: инциденты, приоритеты, карты событий и таймлайн.
Как это выглядит
Ниже - визуальные UI-сценарии ключевых экранов проекта: так посетитель может быстро понять, как выглядел бы продукт в реальной работе.
Центр мониторинга событий
Видимость по источникам, критичности и временным аномалиям.
Матрица use-cases
Какие сценарии закрыты, какие в пилоте и какие ждут источников.
Разбор инцидента
Карточка события, таймлайн и артефакты по цепочке атаки.
Задача
Отсутствие централизованного мониторинга безопасности, разрозненные логи, невозможность детектировать инциденты.
Ограничения
- Ограниченный бюджет на пилот
- Требование работать с существующей инфраструктурой
- Минимум влияния на production
Решение
Развернули SIEM на выделенной инфраструктуре, подключили 15 источников (AD, FW, VPN, Web, DB). Разработали матрицу событий, создали 25 use-cases, настроили алерты и дашборды.
Результаты
| Метрика | До | После | Изменение |
|---|---|---|---|
| Источников событий | 0 | 15 | +15 |
| Use-cases | 0 | 25 | +25 |
| MTTD (обнаружение) | >24ч | 15 мин | -99% |
Технологии
Артефакты
- SIEM конфигурация
- Матрица событий
- Каталог use-cases
- Регламенты
- Обучение