КРЕДО-С
CREDOS:SOC/Мониторинг и SOC

Мониторинг событий ИБ (SOC)

Хакер уже может быть в вашей сети — без мониторинга вы узнаете об этом через 207 дней, когда данные уже утекли. SOC-центр КРЕДО-С обнаруживает инциденты и оповещает до 30 минут.

Для кого: Компании от 50 рабочих станций без собственной команды ИБ или с недостаточным покрытием мониторинга

24/7КИИФСТЭК
до 30 мин
Первичное оповещение
99.5%
Доступность сервиса
Еженедельно + ежемесячно
Отчётность
Услуга «Мониторинг событий ИБ (SOC)» от компании КРЕДО-С — лицензиата ФСТЭК и ФСБ России. Хакер уже может быть в вашей сети — без мониторинга вы узнаете об этом через 207 дней, когда данные уже утекли. SOC-центр КРЕДО-С обнаруживает инциденты и оповещает до 30 минут. Категория: Мониторинг и SOC. Подразделение: Отдел проектов ИБ. КРЕДО-С — аккредитованная ИТ-компания с 1993 года, реализовала более 1000 проектов в 36 регионах России. Лицензии ФСТЭК и ФСБ. Сайт: soc.credos.ru

Описание услуги

Хакер в среднем проводит в сети жертвы 200+ дней до обнаружения — такую оценку дают исследования IBM Cost of a Data Breach и Mandiant. Всё это время он изучает инфраструктуру, собирает учётные данные и готовит атаку. Мониторинг информационной безопасности сокращает это окно до минут.

КРЕДО-С эксплуатирует собственный центр мониторинга информационной безопасности с 2020 года. Дежурная смена классифицированных специалистов работает 24/7/365 — не один инженер на подхвате, а полноценная команда с эскалацией на линии 1, 2 и 3. Первичное оповещение о выявленном инциденте — до 30 минут.

Что именно мониторит SOC

Систему мониторинга событий информационной безопасности подключаем к журналам Windows Event Log и Syslog с серверов, событиям Active Directory (вход, создание учётных записей, изменение прав), трафику с межсетевых экранов и IDS/IPS, логам веб-приложений, действиям в антивирусах, EDR, DLP. Поддерживаем российские решения: Kaspersky, Positive Technologies MaxPatrol, Континент, UserGate, Solar Dozor, ViPNet IDS. Обычный объём — 500–5000 событий в секунду на среднюю инфраструктуру.

Подключение начинается с аудита: инвентаризируем источники событий — серверы, АРМ, сетевое оборудование, СЗИ. Организуем защищённый канал связи, заводим события в центр мониторинга. Первая неделя — тестовый период: калибровка алертов, снижение ложных срабатываний, согласование эскалаций с ИТ-службой заказчика.

КРЕДО-С — партнёр крупных вендоров SIEM: Kaspersky, Positive Technologies, Solar и других. Платформу выбираем под инфраструктуру и бюджет. Аналитики работают со 500+ корреляционными правилами, актуальными базами индикаторов компрометации (IoC) и моделями поведения пользователей (UEBA). При срабатывании — классификация угрозы по MITRE ATT&CK, сбор артефактов, карточка инцидента с рекомендациями. Если на хостах развернут EDR, аналитики SOC приступают к активному реагированию — изолируют затронутые атакой активы.

Типичные угрозы, которые обнаруживает SOC

Компрометация учётной записи администратора через фишинг — выявляется по аномальной локации входа и привилегированным действиям. Lateral movement после проникновения в сегмент АРМ. Попытка подключения к командному серверу известной APT-группировки. Массовое шифрование файлов шифровальщиком. Эксфильтрация данных через облачные сервисы. В большинстве случаев SOC обрывает атаку на стадии разведки или повышения привилегий — до нанесения ущерба.

Внутренний SOC или внешний

Построение собственного центра мониторинга обходится от 30 млн ₽ в год: три смены аналитиков, лицензии SIEM, обучение, сертификация. Для большинства компаний это нецелесообразно. Внешний SOC КРЕДО-С — готовая экспертиза за 50 000–300 000 ₽/мес в зависимости от масштаба. Преимущество внешнего центра: аналитики видят инциденты одновременно в десятках инфраструктур клиентов, поэтому новые угрозы распознаются быстрее.

Регуляторная отчётность

Для субъектов КИИ настраиваем канал передачи инцидентов в ГосСОПКА — НКЦКИ получает уведомления автоматически по 187-ФЗ. Еженедельные сводки и ежемесячные отчёты пригодны для аудита ФСТЭК, расчёта показателя защищённости КЗИ (приказ ФСТЭК №117) и аттестации информационных систем по приказам №17 (ГИС), №21 (ИСПДн), №239 (ЗОКИИ).

Лицензия ФСТЭК с 2007 года, ФСБ с 2009 — работаем с КИИ, ГИС и персональными данными без ограничений. Более 33 лет в ИБ, опыт в финансовом секторе, госорганах и промышленности.

Как проходит работа

1

Аудит инфраструктуры

Инвентаризируем источники событий: серверы, АРМ, сетевое оборудование, СЗИ. Определяем объём и критичность.

2

Установка коллектора

Разворачиваем коллектор в инфраструктуре заказчика. Организуем защищённый канал связи.

3

Подключение источников

Настраиваем сбор логов с серверов, AD, МСЭ, IDS/IPS, антивирусов. Нормализация и парсинг событий.

4

Тестовый период

Неделя работы SOC в тестовом режиме: калибровка алертов, снижение ложных срабатываний, настройка эскалаций.

5

Боевая эксплуатация

Круглосуточный мониторинг 24/7. Выход на SLA.

Ключевые преимущества

SLA

Первичное оповещение о выявленном инциденте/алерте — до 30 минут

Круглосуточная команда

Дежурная смена классифицированных специалистов на связи 24/7/365 — не один инженер, а полноценный SOC

500+ правил корреляции

Постоянно обновляемая база правил под актуальные TTPs и индикаторы компрометации

Подключение от 2 недель

От заявки до боевого мониторинга — настройка, тестовый период

Что входит

  • Аудит ИТ-инфраструктуры и определение источников событий безопасности
  • Настройка централизованного сбора логов и интеграция с SIEM
  • Разработка корреляционных правил и моделей поведения
  • Круглосуточный мониторинг событий безопасности 24/7 аналитиками SOC
  • Обнаружение инцидентов, оповещение и рекомендации по реагированию
  • Управление индикаторами угроз (Threat Intelligence)
  • Регулярная аналитическая отчётность о состоянии ИБ

Результаты работы

Еженедельные сводки по инцидентам безопасности
Ежемесячные аналитические отчёты о состоянии ИБ
Квартальные обзоры ландшафта угроз
Карточки инцидентов с описанием, классификацией и мерами реагирования
CREDOS:SOC

Почему КРЕДО-С

SOC работает с 2020 года — классифицированные специалисты, смены 24/7/365, без праздников

Оповещение об инциденте до 30 минут — в сотни раз быстрее среднерыночных 207 дней

Партнёрство с Kaspersky, Positive Technologies, Solar и другими ведущими вендорами — выбор платформы под бюджет и требования

Лицензия ФСТЭК с 2007 года, ФСБ с 2009 — можем работать с КИИ, ГИС и персональными данными

Подключение от 2 недель: настройка, тестовый период

Проекты по этой услуге

SOC на F.A.C.C.T. Managed XDR (F6) для финансовой организации — 126 500 событий ИБ за год
Финансовый сектор
NDA
2023

SOC на F.A.C.C.T. Managed XDR (F6) для финансовой организации — 126 500 событий ИБ за год

Мониторинг событий ИБ

Кейс мониторинга ИБ 24/7 для финансовой организации на F.A.C.C.T. Managed XDR (с 2024 — F6 Managed XDR). За год зафиксировано и отработано более 126 500 событий ИБ. MSSP-партнёрство КРЕДО-С.

  • За год решение зафиксировало и отработало более 126 500 событий ИБ: около 125 000 сетевых событий и более 700 событий на хостах
  • Модуль MXDR для защиты корпоративной почты заблокировал более 100 опасных рассылок, содержащих программы-шпионы или стилеры для кражи данных
  • Обеспечена защита от широкого спектра киберрисков: программы-шифровальщики, банковские трояны, шпионы, бэкдоры, вредоносные скрипты и скрытые каналы передачи данных
Подробнее о кейсе
Анализ защищённости ИС авиастроительной корпорации: 2 000 специалистов, 1 300 изделий
Авиакосмическая промышленность
NDA
2024

Анализ защищённости ИС авиастроительной корпорации: 2 000 специалистов, 1 300 изделий

Анализ защищенности ИС

Комплексный анализ защищённости ИТ-инфраструктуры авиастроительной корпорации с более чем полувековой историей: внешний и внутренний периметры, политики СЗИ, приоритизация уязвимостей по критичности.

  • Подготовлен Аналитический отчёт по оценке защищённости с подробным анализом уязвимых мест и рекомендациями
  • Подготовлен Технический отчёт с детальными рекомендациями по устранению уязвимостей — достаточными для самостоятельного устранения штатными специалистами
  • Выявлены уязвимости с присвоением уровней критичности для правильной приоритизации
Подробнее о кейсе
Защита КИИ и мониторинг ИБ предприятия энергетического машиностроения: 7 объектов КИИ и SIEM KUMA
Энергетическое машиностроение
NDA
2023

Защита КИИ и мониторинг ИБ предприятия энергетического машиностроения: 7 объектов КИИ и SIEM KUMA

Защита КИИКатегорирование объектов КИИ

Категорирование 7 объектов КИИ оборонно-промышленного предприятия, внедрение SIEM KUMA, сканера RedCheck и решений UserGate. Интеграция нестандартных источников и подключение к ГосСОПКА.

  • Проведено категорирование 7 объектов КИИ и спроектирована СБЗОКИИ в соответствии с 187-ФЗ
  • Внедрено 7 продуктов ИБ: SIEM KUMA, сканер RedCheck, решения UserGate и другие
  • Система непрерывно отслеживает события, выявляет аномалии и формирует оповещения на узлах значимых объектов КИИ
Подробнее о кейсе
MSSP-мониторинг информационной безопасности финансовой компании
Финансовый сектор
NDA
2023

MSSP-мониторинг информационной безопасности финансовой компании

Мониторинг событий ИБ

Круглосуточный мониторинг и реагирование на инциденты ИБ по модели MSSP для финансовой компании — переход на отечественные СЗИ, соответствие ГОСТ Р 57580 и Положению ЦБ 802-П без покупки оборудования.

  • Развёрнут круглосуточный мониторинг событий ИБ по модели MSSP
  • Выполнен переход на отечественные средства защиты информации
  • Обеспечено оперативное реагирование на инциденты без найма штатных ИБ-специалистов
Подробнее о кейсе

Другие услуги

Мониторинг и SOC

Расследование инцидентов

CREDOS:IR

Атака произошла — теперь важно понять, как именно, что утекло и какие следы остались. КРЕДО-С подключается в течение 4 часов, фиксирует цифровые доказательства и восстанавливает полную картину инцидента. Предварительные результаты — за 3–5 рабочих дней.

ЭкстренноеФорензикаMITRE ATT&CK
  • Экстренное реагирование на инцидент и локализация угрозы
  • Сбор и консервация цифровых доказательств (образы дисков, дампы памяти)
  • Анализ индикаторов компрометации (IoC) и вредоносного ПО
  • Восстановление хронологии событий и вектора атаки
  • и ещё 4...
Подробнее
Мониторинг и SOC

MSSP-услуги

CREDOS:MSSP

Собственный SOC стоит от 10 млн в год — оборудование, лицензии, три смены аналитиков. MSSP от КРЕДО-С даёт тот же уровень защиты от 50 000 ₽/мес без капитальных затрат и найма.

MSSP24/7КИИ
  • Managed XDR на платформе F.A.C.C.T. (F6)
  • SIEM как сервис (RuSIEM, MaxPatrol SIEM, KUMA)
  • ViPNet IDS в связке с системой анализа угроз TIAS
  • WAF как сервис для защиты веб-приложений
  • и ещё 3...
Подробнее
Аттестация и соответствие

Защита критической информационной инфраструктуры

CREDOS:KII

За нарушение требований 187-ФЗ по значимым объектам КИИ грозит уголовная ответственность по ст. 274.1 УК РФ. CREDOS:KII проводит категорирование, выстраивает защиту и подключает к ГосСОПКА.

187-ФЗГосСОПКАФСТЭК 239
  • Формирование комиссии и проведение категорирования объектов КИИ
  • Подготовка перечня объектов КИИ, подлежащих категорированию
  • Оформление актов категорирования и направление в ФСТЭК России
  • Проектирование системы безопасности значимых объектов КИИ по приказу ФСТЭК 239
  • и ещё 4...
Подробнее

Актуально для отраслей

Производство и КИИФинансовый секторГосударственные учрежденияЗдравоохранение

Часто задаваемые вопросы

Что такое SOC-мониторинг?
SOC-мониторинг — это непрерывное наблюдение за событиями информационной безопасности в ИТ-инфраструктуре силами специализированного центра (Security Operations Center). Аналитики SOC выявляют аномалии, индикаторы компрометации и оперативно реагируют на угрозы. Работает круглосуточно 24/7/365 — команда аналитиков 1-й, 2-й и 3-й линии с эскалацией, оснащённая SIEM-платформой с сотнями правил корреляции. Каждое подозрительное событие проходит классификацию: ложные срабатывания отсеиваются, реальный инцидент попадает в карточку с рекомендациями и передаётся заказчику за считанные минуты.
Работает ли мониторинг круглосуточно?
Да, SOC-центр КРЕДО-С работает в режиме 24/7/365 без выходных и праздников. Круглосуточное наблюдение критически важно: более 60% кибератак совершаются вне стандартных рабочих часов — ночью, в выходные и праздничные дни, когда собственные ИТ-специалисты организации недоступны. Собственный мониторинг в формате 8×5 оставляет инфраструктуру уязвимой в самое опасное время. В SOC КРЕДО-С в каждый момент дежурит полноценная смена с эскалацией: аналитик 1-й линии → 2-й линии → инженер по реагированию.
Какие системы используются для мониторинга?
В центре мониторинга информационной безопасности КРЕДО-С используются три класса решений. SIEM-платформы для сбора и корреляции событий: Kaspersky Unified Monitoring, Positive Technologies MaxPatrol SIEM, Solar Dozor. EDR-решения для мониторинга действий на конечных точках с возможностью активного реагирования. SOAR для автоматизации рутинных задач аналитиков и оркестрации сценариев реагирования. Выбор конкретной платформы зависит от инфраструктуры заказчика: интеграций с отечественными СЗИ, объёма событий, требований к импортонезависимости и бюджета. Все решения сертифицированы ФСТЭК России.
Что происходит при обнаружении инцидента?
Команда SOC формирует карточку инцидента и передаёт заказчику в течение 30 минут. Карточка включает: классификацию по критичности и MITRE ATT&CK, затронутые активы, временную шкалу атаки, индикаторы компрометации, конкретные шаги реагирования. Если на хостах развернут EDR — аналитики SOC приступают к активному реагированию: изолируют затронутые активы, блокируют подозрительные процессы. При сложных инцидентах подключается команда расследования КРЕДО-С — проводит форензику, устанавливает полный масштаб компрометации и готовит уведомления в НКЦКИ/Роскомнадзор по 187-ФЗ и 152-ФЗ.
Сколько стоит SOC-мониторинг?
Стоимость зависит от размера инфраструктуры, режима мониторинга (24×7 или 8×5) и набора источников событий. Минимальная стоимость — от 50 000 ₽/мес для небольшой инфраструктуры на 8×5, до 300 000 ₽/мес для крупной на 24×7 с расширенным покрытием. Для сравнения: построение собственного SOC — от 30 млн ₽ в год (три смены аналитиков, лицензии SIEM, обучение, сертификация). Точный предварительный расчёт — на калькуляторе soc.credos.ru/calculator за 2 минуты.
Как быстро можно подключиться к SOC?
Процесс подключения занимает от 2 недель. Последовательность: согласование договора и SLA → установка коллектора в инфраструктуре заказчика → подключение источников событий (AD, МСЭ, IDS/IPS, антивирусы, EDR) → настройка правил корреляции под специфику инфраструктуры → недельный тестовый период с калибровкой алертов → передача в боевую эксплуатацию. Критические источники (контроллеры домена, периметровые МСЭ) начинают мониториться уже на второй неделе — то есть защита работает ещё до полной настройки всего контура.
Можно ли совместить собственный SOC с внешним?
Да. Типовой сценарий — гибридная модель: SOC КРЕДО-С обеспечивает 24/7 покрытие и экспертизу по сложным инцидентам (2-я и 3-я линия), а внутренняя команда заказчика работает на 1-й линии и выполняет локальные действия. Другой сценарий — временное закрытие SOC от КРЕДО-С пока заказчик строит собственный центр: за 1–2 года внутренняя команда обучается, мы передаём правила корреляции, runbook реагирования и сертифицированных специалистов. При необходимости обеспечиваем полный outsourcing в формате MSSP — с управлением SIEM, EDR и подключением к ГосСОПКА «под ключ».

Бесплатные инструменты

Экспресс-аудит ИБ

Бесплатная онлайн-проверка — 10 вопросов, 3 минуты, оценка уровня защищённости

Попробовать бесплатно
Калькулятор штрафов

Узнайте размер штрафов за нарушения ИБ для вашей компании по актуальным данным

Попробовать бесплатно

Обсудить ваш проект

Рассчитайте стоимость SOC-услуг онлайн или оставьте заявку для бесплатной консультации

Рассчитать стоимость SOC