ua

Впровадження SIEM Wazuh для фінансової компанії

Клієнт:
Середня фінансова компанія у сфері онлайн-банкінгу та електронних платежів
Галузь:
FinTech / Фінансові послуги
Фокус:
Впровадження SIEM Wazuh та побудова процесів моніторингу в гібридній інфраструктурі
Основний виклик:
Відсутність централізованого SIEM та ризик непоміченої компрометації платіжних даних
Ринок:
Локальний
Надані послуги:
Впровадження SIEM (Wazuh)
Ключові висновки
  • Забезпечено готовність до аудиту PCI DSS та ISO 27001.
  • Кількість хибних спрацювань знижено на 60–70%.
  • Час виявлення атак скорочено з кількох днів до 1–2 годин.
  • Виявлено 12 інцидентів, які раніше залишалися непоміченими.
  • Реалізовано 65 сценаріїв моніторингу у Wazuh для гібридної інфраструктури.
  • 65
    сценаріїв моніторингу
    1-2 год
    новий MTTD
    1 місяць
    тривалість проєкту
    Впровадження SIEM Wazuh для фінансової компанії
    Фінансова компанія з понад 200000 клієнтів роками працювала без централізованого SIEM — інциденти помічали лише через кілька днів. Datami розгорнула Wazuh SIEM у гібридній інфраструктурі: MTTD скоротився до 1–2 годин, а компанія отримала готовність до аудиту PCI DSS і ISO 27001.

    Клієнт — фінансова компанія, яка надає послуги онлайн-банкінгу та процесингу електронних платежів. Її системами користуються понад 200000 активних клієнтів і близько 500 внутрішніх співробітників.

    Компанія обробляє чутливі персональні та фінансові дані, тому підпадає під вимоги регуляторів. Будь-яка прогалина у захисті може призвести до шахрайських транзакцій, витоку даних клієнтів і накладення санкцій.

    Завдання та виклики проєкту
    Клієнт звернувся до Datami із запитом на проєктування та впровадження SIEM на базі Wazuh.
     
    Раніше вже фіксувалися спроби підбору облікових даних на вебпорталі та фішингові атаки, які призводили до злому поштових акаунтів співробітників.

    Проєкт ініційовано також через наближення зовнішнього аудиту PCI DSS і ISO 27001.
     
    • Розгорнути Wazuh SIEM у локальному відмовостійкому кластері з підключенням усіх джерел подій.
    • Реалізувати критичні сценарії моніторингу та забезпечити покриття відповідно до MITRE ATT&CK.
    • Скоротити час виявлення та усунення інцидентів і підготувати компанію до зовнішнього аудиту PCI DSS, ISO 27001 і SOC 2.
    icon
    Впровадження SIEM
    Централізований збір і кореляція журналів подій з різних джерел у єдиній платформі Wazuh.
    icon
    Покриття сценаріїв
    Реалізація критичних сценаріїв: злам акаунтів, латеральне переміщення, атаки на AD, вебшели.
    icon
    Відповідність стандартам
    Закриття прогалин для проходження аудиту PCI DSS, ISO 27001 та SOC 2.

    Наш підхід

    Для цього проєкту Datami застосувала комбінований підхід: поєднання аналізу ризиків для онлайн-банкінгу з мапінгом сценаріїв моніторингу до фреймворку MITRE ATT&CK. Це дозволило пріоритезувати найкритичніші сценарії та уникнути надмірного «шуму» у правилах.

    Wazuh розгорнуто у локальному відмовостійкому кластері з інтеграцією Elastic Stack. Підключено AWS CloudTrail, CloudWatch, S3, журнали Docker і Kubernetes, поштові системи та бізнес-додатки. Налаштовано оперативне та архівне зберігання журналів подій.

    Black-box

    Hybrid-підхід

    Поєднання аналізу ризиків і прив'язки до MITRE ATT&CK для охоплення критичних загроз у гібридному середовищі Windows/Linux/AWS.
    Ключові етапи робіт та рішення

    Критичні знахідки — прогалини в політиках аудиту Windows та небезпечні конфігурації AWS IAM — були усунені протягом 24 годин після виявлення, ще до завершення проєкту.

    Команда Datami організувала щотижневі статус-зустрічі з клієнтом через Google Meet, підтримувала постійний зв'язок електронною поштою.

    • Аудит та підготовка
      Аналіз архітектури, визначення обсягу робіт, налаштування локального відмовостійкого кластера Wazuh, стандартизація політик аудиту.
    • Підключення джерел і сценаріїв моніторингу
      Інтеграція джерел подій з Windows, Linux, AWS, Docker/Kubernetes, баз даних та поштових систем; реалізація 65 сценаріїв моніторингу для виявлення підбору облікових даних.
    • Налаштування правил та звіт
      Налаштування правил Wazuh; зменшення хибних спрацювань на 60–70%; підготовка аналізу прогалин, процедур реагування на інциденти та рекомендацій.
    Як ми можемо вам допомогти?

    Кожне прикладне дослідження кібербезпеки, яке ми розв’язуємо, передбачає глибокий аналіз, індивідуальні рішення та результати, які можна вимірювати.
    Datami вже допомогла понад 600 компаніям посилити їхній цифровий захист — і ми можемо зробити те саме для вашого бізнесу.
    Готові діяти?

    Почнемо з безкоштовної консультації!
    Результати та рекомендації

    Результати та рекомендації

    На старті проєкту ситуація оцінювалася як високоризикова: централізованого SIEM не було, логи збиралися хаотично, а MTTD становив кілька днів. Раніше зафіксовані інциденти свідчили про реальну загрозу платіжним даним клієнтів.

    Команда Datami виявила низку загроз:

    • критичні: злам акаунтів через підбір облікових даних і фішинг, компрометація ключів AWS IAM, розміщення вебшелів у вебдодатках;
    • середні: латеральне переміщення у Windows/Linux, небезпечні конфігурації Docker, витік журналів із персональними даними;
    • низькі: некоректні політики аудиту, розсинхронізація часу, надмірне логування без безпекового контексту.

    Під час пілотного запуску Wazuh SIEM виявив 12 інцидентів, які раніше залишалися непоміченими. Критичні прогалини були виправлені протягом 24 годин. 

    За підсумками проєкту клієнт отримав рекомендації щодо регулярного коригування правил Wazuh, формалізації процесу реагування на інциденти, планового ретестування сценаріїв моніторингу.

    Ключові результати проєкту

    Фінансова компанія отримала повноцінно налаштований Wazuh SIEM із централізованою видимістю подій. Час виявлення інцидентів скорочено з кількох днів до 1–2 годин, а кількість хибних спрацювань знижено на 60–70%.

    Цей кейс з кібербезпеки демонструє, що фінансові компанії з гібридною інфраструктурою найбільш вразливі саме тоді, коли вважають, що нічого не сталося. Якщо ваша компанія обробляє платіжні дані або підпадає під PCI DSS — час діяти.

    Показник
    До проєкту
    Після впровадження
    MTTD
    Кілька днів (оцінка ретроспективно)
    1-2 години
    MTTR
    2-3 дні
    6-8 годин
    Рівень ризику
    Високий
    Помірний, під контролем
    Хибні спрацювання
    Не вимірювалися, великий "шум"
    Знижено на 60-70%
    Відповідність стандартам
    Часткова (прогалини у моніторингу)
    Готовність до аудиту PCI DSS, ISO 27001, SOC 2
    Видимість подій
    Фрагментарна, без кореляції
    Централізована: Windows, Linux, AWS, Docker
    Більше історій успіху з Datami
    Перегляньте приклади інших проєктів
    Аудит безпеки блокчейн-проєкту
    Аудит безпеки блокчейн-проєкту
    • Перевірено 9000+ рядків Rust-коду.
    • Проєкт сертифіковано Datami для криптопроєктів
    Послуги:
    Blockchain Security Audit
    Черв. 30, 2026
    Впровадження SOC для ІТ-компанії
    Впровадження SOC для ІТ-компанії
    • Налаштовано 47 сценаріїв виявлення, 25 сценаріїв реагування
    • Відповідність ISO 27001 підвищено з 32% до 94%
    Послуги:
    SOC / SIEM Implementation
    Черв. 30, 2026
    Аудит безпеки Kubernetes-інфраструктури
    Аудит безпеки Kubernetes-інфраструктури
    • Виявлено 21 вразливість різного рівня критичності.
    • Ризик несанкціонованого доступу зменшено на 90%.
    Послуги:
    Пентест, оцінка безпеки хмарної інфраструктури
    Черв. 23, 2026
    Security image
    Готові оцінити безпеку вашого проєкту?
    Звертайтеся в Datami — ми допоможемо вам визначити ризики, посилити вашу кібербезпеку та впевнено пройти сертифікацію.
    Cтатті Datami
    Пентест мобільних додатків: захист від шкідливих застосунків Олександр Філіпов
    Олександр Філіпов
    Пентест мобільних додатків: захист від шкідливих застосунків

    Шкідливі мобільні додатки атакують не лише смартфон — вони цілеспрямовано використовують вразливості вашого застосунку. Читайте, як пентест виявляє ці слабкі місця до того, як ними скористається зловмисник.

    15 хв. Черв. 30, 2026
    Топ проблем кібербезпеки бізнесу Олександр Філіпов
    Олександр Філіпов
    Топ проблем кібербезпеки бізнесу

    З якими проблемами кібербезпеки найчастіше стикається бізнес? У цій статті розглядаємо топ-9 найпоширеніших типів проблем за рівнем критичності та даємо рекомендації щодо їх усунення.

    3 хв. Трав. 4, 2026
    Що таке інцидент кібербезпеки? Олександр Філіпов
    Олександр Філіпов
    Що таке інцидент кібербезпеки?

    Кіберінциденти давно перестали бути головним болем лише великих корпорацій і державних структур. Сьогодні це звичайна частина цифрової реальності, з якою стикаються компанії будь-якого масштабу.

    3 хв. Трав. 4, 2026
    Замовте консультацію
    Ми цінуємо вашу конфіденційність
    Ми використовуємо файли cookie для забезпечення максимально зручного використання наших послуг, підготовки персональної реклами чи контенту, а також для аналізу нашого трафіку. Натискаючи "Прийняти все", ви погоджуєтесь на використання файлів cookie. Політика використання файлів cookie