Внедрение системы мониторинга Splunk в ООО«Магистраль северной столицы»
Предпосылки
Информационная инфраструктура Заказчика представлена большим количеством ИТ-систем, которые поддерживают бизнес-процессы Компании. В число таких систем входят:
- система защиты веб-трафика Cisco WSA;
- система предотвращения вторжений Cisco IPS;
- система электронной почты Exchange;
- системы управления базами данных MS SQL и Oracle;
- системы антивирусной защиты Kaspersky и Symantec;
- система предотвращения утечки данных Devicelock;
- система контроля и управления доступом Parsec;
- активное сетевое оборудование ЛВС;
- VPN-шлюз на базе Cisco ASA и другие.
Основной проблемой в работе ИТ-систем являлось то, что в процессе функционирования всё это оборудование генерирует большие объёмы машинных данных, которые могли бы быть собраны, проиндексированы и стали бы доступными системному администратору для поиска и анализа с использованием веб-интерфейса.Цели проекта
Решение задачи
На начальном этапе работ специалисты компании ЗАО «Инфосэл» провели уточнение требований Заказчика к системе мониторинга, а затем изучили существующую территориально распределенную информационную инфраструктуру ООО «Магистраль северной столицы».
Далее в ходе выполнения работ по проекту специалистами ЗАО «Инфосэл» совместно с инженерами ИТ-подразделения Заказчика была успешно спроектирована, развернута и настроена система мониторинга Splunk, а именно были выполнены следующие работы:
- установлено и настроено ПО Splunk Enterprise и Splunk Enterprise Security (ES), а также дополнительные приложения Splunk и технологические надстройки (TA, Add-ons);
- настроена регистрация работы сервисов доступа в Интернет и корпоративной почтовой системы (Cisco WSA и ESA, Microsoft Exchange) и других систем;
- разработаны панели (Dashboards) для отображения статистики использования доступа в Интернет и электронной почты;
- настроенны корреляционные поисковые запросы для создания оповещений по различным событиям информационной безопасности;
- подготовлено информационное табло для отображения основных событий информационной безопасностиРезультаты
В результате выполнения проекта Заказчик получил требуемую ему систему сбора и анализа машинно-генерируемых данных, реализованную на базе программного обеспечения Splunk Enterprise и приложения Splunk Enterprise Security.
Основные характеристики реализованного решения:
- для получения общей картины по состоянию ИТ-инфраструктуры Заказчика в систему мониторинга поступают машинно-генерируемые данные из семнадцати различных ИТ-систем, настроены аналитика и оповещения;
- текущее состояние системы мониторинга отображается на двух информационных табло, а ответственные лица получают оповещения и в случае необходимости могут выполнить поиск необходимых сведений и провести расследование инцидентов с использованием веб-интерфейса системы Splunk.
Проект внедрения системы мониторинга Splunk в территориально распределенной инфраструктуре ООО «Магистраль серверной столицы» был выполнен в срок и в полном объеме. Техническая документация с описанием архитектуры системы и выполненными конфигурационными настройками была передана Заказчику.