SIEM и EDR в компании на 40 человек — оправдано или из пушки по воробьям?

[envoywizard]

Я единственный админ в компании на 40 человек (типичный набор: 1С, файловый сервер, почта, десяток линуксовых машин, остальное Windows). У партнёров месяц назад шифровальщик положил всё, включая 1С, восстанавливались три недели. Теперь директор пришёл ко мне с вопросом «а у нас такое возможно?» и бюджетом примерно 500 тысяч в год на «сделать безопасно».

Читаю про SIEM и EDR и не могу понять: это вообще для нашего масштаба или я просто куплю дорогую игрушку, на которую не будет времени? Куда бы вы направили такой бюджет в первую очередь?

[zfspro]

Рассмотрите вариант MSSP — отдать мониторинг на аутсорс. За ваши 500 тысяч в год вполне реально получить «SOC-лайт» с реагированием в рабочие часы, некоторые подрядчики дают и круглосуточный тариф для малого бизнеса.

Минус: качество гуляет от подрядчика к подрядчику очень сильно. На переговорах требуйте конкретику — время реакции в договоре с цифрами, а не «оперативно», и обязательно попросите тестовый период с имитацией инцидента. Кто отказывается от проверки — мимо.

[penalty]

Подпишусь под каждым словом про бэкапы. Видел вблизи три инцидента с шифровальщиками в малом бизнесе, и итог везде определялся ровно одним: были ли копии, до которых атакующие не дотянулись.

Правило 3-2-1, одна копия физически отключена от сети, и восстановление проверяется раз в квартал руками, а не «ну, задание в планировщике зелёное». У одних из тех троих бэкапы формально были — на сетевой шаре с доменной учёткой. Зашифровались вместе со всем остальным.

[markrob1]

@envoywizard, Поделюсь опытом, у нас похожий масштаб — 60 человек, я плюс полставки помощника.

Развернул Wazuh 4.9: на виндовые машины Sysmon с конфигом на базе наработок сообщества, на линуксы auditd, хранение событий 90 дней. Сервер — одна виртуалка 8 vCPU / 16 ГБ, тянет спокойно. Алерты высокого уровня прилетают ботом в мессенджер.

По деньгам — только железо и моё время. По времени честно: месяц на развёртывание и тюнинг, потом часа три-четыре в неделю на разбор алертов. Критичная ошибка, которую я успел совершить за вас: не включайте все правила сразу. Утонете в шуме за два дня и забросите. Начните с десятка сценариев: создание новых служб, очистка журналов, запуск из временных каталогов, всплески неудачных логинов.

Что реально поймали за год: майнер на машине дизайнера (приехал с «активатором» пиратского пакета) и методичный перебор учёток на VPN-шлюзе.

Про коммерческий EDR при вашем бюджете: лицензии уровня Kaspersky EDR Optimum — порядка полутора-двух тысяч за узел в год, на 40+ машин это уже заметная часть бюджета, и главное — на алерты всё равно должен кто-то реагировать. EDR без человека за консолью не работает.

[matguyvr]

Не в SIEM. Сначала гигиена, по пунктам:

- инвентаризация: что вообще есть в сети и что из этого торчит наружу;
- патчи на всё, что торчит наружу, в течение недели после выхода;
- оффлайн-бэкапы с регулярным тестом восстановления;
- MFA на VPN, почту и админские учётки;
- RDP из интернета закрыть совсем, LAPS на локальных админов.

Это закрывает девять из десяти сценариев, по которым реально ломают малый бизнес в СНГ. SIEM без этого фундамента — просто дорогой сборщик логов о том, как вас взломали.