«Магнит» использует MaxPatrol SIEM для мониторинга событий кибербезопасности с десятков тысяч активов

2025: Внедрение MaxPatrol SIEM

«Магнит» внедрил MaxPatrol SIEM для непрерывного мониторинга событий кибербезопасности и управления инцидентами. На первом этапе проекта система отслеживает десятки тысяч узлов и обрабатывает более 20 000 событий в секунду, планируется, что целевая конфигурация после подключения оставшихся источников будет обрабатывать до 100 000 событий в секунду. Об этом Positive Technologies сообщили 3 марта 2025 года.

Для обеспечения надежной защиты «Магниту» необходимы полная видимость ИТ-инфраструктуры и эффективное управление инцидентами информационной безопасности. До внедрения продукта Positive Technologies компания уже использовала систему класса SIEM зарубежного вендора.

При реализации проекта импортозамещения ритейлер тестировал решения разных вендоров. Компании было необходимо сохранить киберустойчивость и непрерывность бизнеса, встроив новую систему в существующие в организации процессы. Кроме того, специалистам розничной сети требовался удобный интерфейс для создания пользовательских правил нормализации и корреляции. Лучше всех требованиям компании соответствует MaxPatrol SIEM.

На первом этапе внедрения MaxPatrol SIEM специалисты компании подключили к системе необходимые источники событий для одной из площадок, настроили уведомления и отчеты, а также написали правила нормализации и корреляции, специфичные для «Магнита, — отметил Иван Прохоров, руководитель продукта MaxPatrol SIEM, Positive Technologies. — Максимально сократить время от установки MaxPatrol SIEM до начала работы специалистов с ней и получения реальных результатов позволяет большой объем экспертизы, которой наполнена система. Мы постоянно актуализируем контент и добавляем в продукт правила обнаружения тактик и техник злоумышленников.

На март 2025 года с MaxPatrol SIEM работают 10 специалистов «Магнита». Поток событий нужных отделу безопасности для работы после фильтрации и оптимизации составляет 20 000 событий в секунду. Планируется, что целевая конфигурация после подключения оставшихся источников будет обрабатывать до 100 000 событий в секунду. ВТБ добился независимости для ИИ-разработчиков в банке от зарубежных технологий 5.1 т

К MaxPatrol SIEM подключены более шестидесяти групп источников, которые собирают события с десятков тысяч активов. Среди основных узлов — Windows- и Unix-системы, сетевые устройства, решения для удаленного доступа и системы виртуализации, основные средства защиты информации для контроля безопасности инфраструктуры (PT Application Firewall, антивирусные программы), почтовый сервис. MaxPatrol SIEM также поддерживает шесть критически важных бизнес-систем, которые хранят свои логи в базах данных, — это кастомные источники.

Один из практических кейсов мониторинга — аудит безопасности ресурсов, размещенных в Yandex Cloud, сопровождающийся контролем сетевого периметра. MaxPatrol SIEM также использует информацию, собранную со СКУД, чтобы выявлять потенциальные инциденты, связанные с несанкционированным доступом к информационным системам ритейлера.

MaxPatrol SIEM помогает не только сотрудникам SOC, но и другим подразделениям, — рассказал Алексей Бобровский, руководитель SOC группы компаний «Магнит». — Например, ИТ-специалисты используют отчеты MaxPatrol SIEM для поддержки пользователей и администрирования систем. В свою очередь, подразделение, занимающееся антифродом, обнаруживает мошенников по аномальной активности в программах лояльности, которую выявляет система,

В качестве базы данных сотрудники «Магнита» используют LogSpace, разработанную Positive Technologies специально для решения задач хранения больших объемов информации о событиях из разнообразных источников. Специалисты отмечают ее плюс перед open source-СУБД: плотность хранения данных выше. Организация, исходя из своих потребностей, может регулировать объем либо срок хранения событий, минимизируя при этом потребление хранилища данных. Кроме того, внедренный MaxPatrol SIEM установлен с возможностью горизонтального масштабирования для быстрого подключения новых конвейеров обработки событий для дальнейшего выхода на необходимую мощность.

Для нас было важно, чтобы новая SIEM-система позволяла оперативно выявлять потенциальные угрозы, — прокомментировал Александр Василенко, директор по информационной безопасности группы компаний «Магнит». — MaxPatrol SIEM отвечает запросам информационной безопасности «Магнита». Сегодня продукт полностью закрывает потребности компании по мониторингу и выявлению кибератак.