Построение SOC для торговой сети
Развёртывание центра мониторинга безопасности, обучение команды и разработка регламентов реагирования на инциденты.
Задача
Торговая сеть из 50 магазинов и интернет-магазин с базой 500 000 клиентов не имели централизованного мониторинга информационной безопасности. Инфраструктура включала POS-терминалы, корпоративную сеть, e-commerce платформу и облачные сервисы — всё это работало без единого контроля.
- Отсутствие видимости событий безопасности — логи собирались фрагментарно, никто не анализировал их в реальном времени
- Инциденты обнаруживались постфактум — последний инцидент (утечка данных карт лояльности) был обнаружен через 3 недели после начала
- Нет команды реагирования — за безопасность отвечал один системный администратор, который занимался ей 20% времени
- PCI DSS compliance — процессинг платежей требовал соответствия стандартам, а мониторинг был одним из обязательных требований
- DDoS-атаки на интернет-магазин — 2–3 раза в месяц, средний простой — 2 часа, потеря выручки до 500 000 ₽ за инцидент
После утечки данных карт лояльности компания потратила 8 млн ₽ на расследование, уведомление клиентов и восстановление репутации.
Решение
Построили полноценный Security Operations Center с нуля: от выбора технологий до обучения команды аналитиков.
Этап 1: Аудит и проектирование (3 недели)
- Инвентаризация всех источников логов: 50 магазинов, POS-терминалы, корпоративная сеть, e-commerce, облако
- Оценка текущих рисков и приоритизация угроз по матрице MITRE ATT&CK
- Проектирование архитектуры SOC: SIEM, SOAR, ticketing, threat intelligence
Этап 2: Развёртывание SIEM (6 недель)
- Wazuh + ELK Stack — сбор и корреляция событий со всех систем: серверы, сетевое оборудование, endpoint-агенты
- 200+ правил детектирования — покрывают основные тактики MITRE ATT&CK: brute force, lateral movement, data exfiltration, privilege escalation
- Интеграция с TheHive — платформа управления инцидентами для структурированного расследования
- Threat Intelligence — подключение фидов MISP для обогащения алертов контекстом об угрозах
Этап 3: Команда и процессы (5 недель)
- 15 playbooks — регламенты реагирования на типовые инциденты: DDoS, компрометация учётных данных, вредоносное ПО, аномальный трафик
- Обучение 4 аналитиков — 80-часовая программа подготовки SOC L1/L2 аналитиков с практикой на реальных инцидентах
- Табличные учения — симуляция 5 сценариев атак для отработки playbooks
Технический стек SOC
В основе SOC — open-source стек: Wazuh для сбора и корреляции событий, ELK Stack (Elasticsearch, Logstash, Kibana) для хранения и визуализации, TheHive + Cortex для управления инцидентами и автоматизации расследований, MISP для threat intelligence. Выбор open-source позволил сократить стоимость лицензий на 80% по сравнению с коммерческими решениями при сопоставимом функционале.
Архитектура мониторинга
Агенты Wazuh установлены на всех серверах, POS-терминалах и рабочих станциях. Сетевые устройства отправляют syslog напрямую в коллектор. Для e-commerce платформы настроен мониторинг WAF-логов и application-level событий. Все данные нормализуются и обогащаются контекстом из MISP перед корреляцией.
Результаты после 6 месяцев
- Среднее время обнаружения инцидента (MTTD): 15 минут (было — дни и недели)
- Среднее время реагирования (MTTR): 45 минут для критических инцидентов
- 200+ правил детектирования покрывают 85% тактик MITRE ATT&CK, релевантных для ритейла
- 4 обученных аналитика обеспечивают мониторинг 12/7 в две смены
- Успешно отражено 8 DDoS-атак без простоя интернет-магазина
"До SOC мы узнавали об инцидентах от клиентов или из новостей. Теперь видим угрозы в реальном времени."