«Магнит» использует MaxPatrol SIEM для мониторинга событий кибербезопасности с десятков тысяч активов

«Магнит», одна из ведущих розничных сетей в России, внедрила MaxPatrol SIEM для непрерывного мониторинга событий кибербезопасности и управления инцидентами. На первом этапе проекта система отслеживает десятки тысяч узлов и обрабатывает более 20 000 событий в секунду, планируется, что целевая конфигурация после подключения оставшихся источников будет обрабатывать до 100 000 событий в секунду.

Для обеспечения надежной защиты «Магниту» необходимы полная видимость IT-инфраструктуры и эффективное управление инцидентами информационной безопасности. До внедрения продукта Positive Technologies компания уже использовала систему класса SIEM зарубежного вендора.

При реализации проекта импортозамещения ритейлер тестировал решения разных вендоров. Компании было необходимо сохранить киберустойчивость и непрерывность бизнеса, встроив новую систему в существующие в организации процессы. Кроме того, специалистам розничной сети требовался удобный интерфейс для создания пользовательских правил нормализации и корреляции. Лучше всех требованиям компании соответствует MaxPatrol SIEM.

Сегодня с MaxPatrol SIEM работают 10 специалистов «Магнита». Поток событий нужных отделу безопасности для работы после фильтрации и оптимизации составляет 20 000 событий в секунду. Планируется, что целевая конфигурация после подключения оставшихся источников будет обрабатывать до 100 000 событий в секунду. 

К MaxPatrol SIEM подключены более шестидесяти групп источников, которые собирают события с десятков тысяч активов. Среди основных узлов — Windows- и Unix-системы, сетевые устройства, решения для удаленного доступа и системы виртуализации, основные средства защиты информации для контроля безопасности инфраструктуры (PT Application Firewall, антивирусные программы), почтовый сервис. MaxPatrol SIEM также поддерживает шесть критически важных бизнес-систем, которые хранят свои логи в базах данных, — это кастомные источники.

Один из практических кейсов мониторинга — аудит безопасности ресурсов, размещенных в Yandex Cloud, сопровождающийся контролем сетевого периметра. MaxPatrol SIEM также использует информацию, собранную со СКУД, чтобы выявлять потенциальные инциденты, связанные с несанкционированным доступом к информационным системам ритейлера.

В качестве базы данных сотрудники «Магнита» используют LogSpace, разработанную Positive Technologies специально для решения задач хранения больших объемов информации о событиях из разнообразных источников. Специалисты отмечают ее преимущество перед open-source-СУБД: плотность хранения данных выше. Организация, исходя из своих потребностей, может регулировать объем либо срок хранения событий, минимизируя при этом потребление хранилища данных. Кроме того, внедренный MaxPatrol SIEM установлен с возможностью горизонтального масштабирования для быстрого подключения новых конвейеров обработки событий для дальнейшего выхода на необходимую мощность.

Помимо MaxPatrol SIEM и PT Application Firewall, «Магнит» использует систему для обнаружения уязвимостей и эффективного управления ими — MaxPatrol VM. Интеграция продукта с MaxPatrol SIEM позволяет обеспечить прозрачность IT-инфраструктуры и выстроить процесс управления уязвимостями, таким образом сокращается поверхность потенциальных атак и снижается вероятность проникновения хакеров в инфраструктуру. Кроме того, в 2025 году компания планирует внедрить встроенный в MaxPatrol SIEM ML-модуль Behavioral Anomaly Detection (BAD), который помогает обнаруживать аномальное поведение пользователей или сущностей в IT-инфраструктуре организации и оценивать степень риска обнаруженных угроз.