Внедрение системы мониторинга информационной безопасности

Задача

Создать надежную и непрерывно действующую систему для оперативного контроля над всеми событиями информационной безопасности. Это позволяет в режиме реального времени отслеживать угрозы и реагировать на инциденты, обеспечивая защиту критически важных данных.

Что сделали

Мы развернули и настроили отказоустойчивый комплекс для мониторинга безопасности, который состоит из двух ключевых компонентов: Основной сервер KUMA: На него установили все необходимые модули для приема, обработки, анализа и долгосрочного хранения данных. Сервер-коллектор: Специализированный сервер для эффективного сбора данных. Конфигурация оборудования была рассчитана на высокую нагрузку — до 750 событий в секунду (EPS), с учетом требований к длительности хранения информации. Для сбора данных с компьютеров под управлением Windows мы внедрили сервер Windows Event Collector (WEC). Эта система по подпискам собирает события со всех рабочих станций и серверов в домене, обеспечивая их предварительное хранение и пересылку. Вся передача данных происходит с использованием стандартных защищенных протоколов Windows.

Результат

Заказчик получил надежную систему мониторинга, которая функционирует круглосуточно и без выходных. Ее отказоустойчивость обеспечивается за счет нескольких факторов.

1. Простое восстановление: Актуальные версии ПО всегда доступны для быстрого развертывания в случае сбоя.
2. Самодиагностика: Система самостоятельно отслеживает свое состояние и своевременно обнаруживает неполадки.
3. Стабильность: Использование стандартных серверных компонентов минимизирует риски совместимости.
4. Безопасность для инфраструктуры: Выход системы из строя не оказывает негативного влияния на работоспособность других IT-компонентов заказчика.

ИБ-инструменты

Особенности

Для заданной нагрузки в 750 EPS было выбрано сбалансированное решение — размещение всех компонентов на едином сервере.