Мы передаём каждое заблокированное соединение межсетевого экрана, каждую неудачную попытку аутентификации и каждое удаление файла в оркестратор SIEM (Security Information and Event Management). Наши специализированные инженеры SOC в режиме 24/7 в реальном времени анализируют скомпилированные ИИ аномалии и пресекают брутфорс-атаки глубокой ночью.
SIEM-платформа и приём журналов
Мы разворачиваем Microsoft Sentinel или Splunk в качестве SIEM-ядра, принимая журналы с межсетевых экранов (FortiGate, Palo Alto), Active Directory, облачных платформ (AWS CloudTrail, Azure Monitor), почтовых шлюзов и агентов на конечных точках. Офис среднего размера в Дубае генерирует от 2 до 5 миллионов событий безопасности в сутки — слишком много для ручного анализа. Корреляционные правила и основанное на машинном обучении обнаружение аномалий сокращают этот поток до 20–50 actionable-оповещений в день.
Хранение журналов настроено на 12 месяцев в горячем хранилище и 3 года в холодном — это удовлетворяет требованиям NESA IA к сохранению журналов и позволяет проводить криминалистическое расследование исторических инцидентов.
- Приём журналов из нескольких источников: межсетевые экраны, AD, облако, конечные точки, почта
- Обнаружение аномалий на основе ML — снижение шума до actionable-оповещений
- Хранение журналов 12 месяцев в горячем хранилище для соответствия требованиям NESA
- Кастомные правила обнаружения для угроз, характерных для региона ОАЭ
- Автоматическое создание инцидентных тикетов в вашей ITSM-платформе
Реагирование SOC 24/7 и проактивный поиск угроз
Наш Центр управления безопасностью работает в три смены, обеспечивая покрытие в рабочее время, вечерние часы и ночное время в ОАЭ. Когда SIEM поднимает высокоприоритетное оповещение — например, атака credential stuffing на ваш M365-тенант в 2 часа ночи — инженер SOC изучает контекст события, подтверждает, что это не ложное срабатывание, и действует в течение 15 минут: блокирует атакующий IP на межсетевом экране и отключает целевую учётную запись до завершения расследования.
Помимо реактивного реагирования на оповещения, мы еженедельно проводим сессии проактивного поиска угроз — ищем индикаторы компрометации, которые могли пропустить автоматические правила: медленную утечку данных или атаки типа living-off-the-land, использующие легитимные системные инструменты Windows.
Отчётность и доказательная база для аудита
Ежемесячные отчёты по безопасности содержат статистику инцидентов, среднее время до обнаружения (MTTD), среднее время реагирования (MTTR) и классификацию основных категорий угроз. Для организаций, проходящих аудит NESA или DFSA, мы формируем отчёты с привязкой контролей к регуляторным требованиям: хранение журналов, мониторинг доступа и история реагирования на инциденты в соответствии с применимым фреймворком.