Dohled SIEM – k čemu slouží a pro koho je určen
01.01.2020   
Dohled SIEM – k čemu slouží a pro koho je určen

Chcete aby se o Váš SIEM někdo správně postaral, případně chcete dodat službu Security Operation Centra (SOC) plně na klíč?

Hlavní přínosy služby

  • Dohledové centrum CDC hlídá všechny podezřelé aktivity a události v infrastruktuře zákazníka – na firewallech, Active Directory, na koncových zařízení, nebo i v Cloudu.
  • Investigací podezřelých událostí se zabývá náš specializovaný a proškolený tým.
  • Klient se může věnovat rozvojovým aktivitám vlastního businessu namísto dohledu činnosti, veškerý dohled nad bezpečnostními událostmi přebírá Cyber Defense Center (CDC).

Pro koho je služba určena

  • Pro společnosti, které nemají vybudovaný tým kybernetické bezpečnosti a bezpečnostního dohledu.
  • Pro uživatele, kteří chtějí předat dohled a kontrolu nad kybernetickou bezpečností do rukou profesionálů.
  • Pro firmy, které provozují vlastní SIEM, ale z nějakého důvodu jim správa, tvorba pravidel a vyhodnocování pokulhává – nebo na to prostě jen nemají čas.
  • Pro firmy, které SIEM sice nemají, ale rádi by si dohled nad bezpečnostními událostmi nechali zpracovat od specialistů v oboru. Typicky se tak může jednat o menší městkou část nebo okresní město, ale zrovna tak i o bankovní instituci.
  • Pro ty samé firmy, které si spočítají TCO a nechají si službu raději dodat, než ji sami budovat.

Před čím služba chrání

  • Před nečinností v případě výskytu podezřelé nebo neobvyklé události.
  • Před neodhalením případných vektorů útoku.
  • Před prováděním neautorizovaných činností v infrastruktuře.
  • Před neautorizovanou změnou posbíraných logů.

Jak služba probíhá

  • Provedeme tzv. HealthCheck vašeho prostředí.
  • Rozhodneme o připojení k naší SIEM infrastruktuře, nebo převezmeme dohled Vašeho SIEM prostředí.
  • Nastavíme naše základní pravidla a doplníme o další Vámi požadovaná pravidla a use-case, vytvoříme logiku číslování pravidel a popisu incidentů.
  • Náš Cyber Defense Center (CDC) tým si převezme dohled, monitoring a investigaci identifikovaných událostí.
  • Dohled probíhá v našem Security Operation Center v Praze.
  • Vaše data jsou uložena v datovém centru DataSpring.
  • Zjištěné podezřelé události jsou identifkovány, analyzovány a podle SLA hlášeny klientovi a navrhován další postup.
  • Po skončení monitorovacího období provádíme s klientem pravidelné sezení, kdy vyhodnocujeme průběh zvládání nejdůležitějších incidentů a navrhujeme další opatření pro zvýšení celkové bezpečnosti infrastruktury klienta, často i za účasti dalších specialistů ostatních divizí AEC.

Jak služba vypadá pro koncového uživatele

  • Klient získává podle nastaveného SLA zprávy o vzniku incidentu – např. do 30 min.
  • Tým CDC dále investiguje vzniklý incident, a v součinnosti s klientem navrhuje vhodná opatření a řešení.
  • Každý incident je na konci uzavírán jako false-positive, nebo true-positive.
  • Měsíční zpráva o provozu CDC a vzniklých incidentů je prezentována i managementu společnosti.

Doba nasazení služby

  • Od odsouhlasení implementace je služba kompletně zprovozněna do 2 měsíců – včetně provedení HealtCheck, nasazení pravidel a zahájení dohledu.
  • Doba může být výrazně zkrácena – záleží na požadavcích připojení zdrojů logů.

Co taková služba stojí

  • Vždy provádíme s klientem individuální výpočet ceny a porovnání TCO.
  • V případě dodávky SIEM jako služby zahrnuje cena i cenu hardware, licencí a služeb datového centra.
  • Ceny za měsíční monitoring - dohledové služby CDC - začínají pro klienty o velikosti cca 100 uživatelů na ceně srovnatelné s cenou 2 dnů IT specialisty.
  • Naše řešení si může dovolit i malá městská část, která potřebuje splnit ustanovení zákona o kybernetické bezpečnosti.

Naplnění ustanovení zákona o Kyberentické bezpečnosti

  • Služba určena i zákazníkům podléhajícím nařízením zákona č. 181/2014 o Kybernetické bezpečnosti a o změně souvisejících zákonů, (konkrétně opatření § 5, odstavce 3h) o povinnosti zajistit Technické opatření – nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí.
  • V souladu s Vyhláškou č. 82/2018 Sb. o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) pomáhá dohled CDC naplňovat ustanovení § 24 Sběr a vyhodnocování kybernetických bezpečnostních událostí, a to tak, že používá nástroj pro sběr a nepřetržité vyhodnocení kybernetických bezpečnostních událostí, který umožní:
    • Sběr a vyhodnocování událostí zaznamenaných podle § 22 a 23,
    • vyhledávání a seskupování souvisejících záznamů,
    • poskytování informací pro určené bezpečnostní role o detekovaných kybernetických bezpečnostních událostech,
    • vyhodnocování kybernetických bezpečnostních událostí s cílem identifikace kybernetických bezpečnostních incidentů, včetně včasného varování určených bezpečnostních rolí,
    • omezení případů nesprávného vyhodnocení událostí pravidelnou aktualizací nastavení pravidel pro:
      • vyhodnocování kybernetických bezpečnostních událostí a včasné varování, 
      • zaznamenává bezpečnostní a potřebné provozní události důležitých aktiv informačního a komunikačního systému.

Kdy je vhodné nás kontaktovat

  • Řešení SIEM je vhodné nasadit, a s monitoringem začít v době, kdy nejste vystaveni žádné podezřelé aktivitě.
  • Kontaktovat nás můžete prostřednictvím kontaktního tlačítka, nebo telefonicky na čísle 608 557 914 – číslo dohledového centra CDC.

Jak si lze službu vyzkoušet

  • Doporučujeme využít naší počtem klientů omezenou akci: „CDC Start".
  • Služba „CDC Start" je určena pro prvních 20 klientů a dále pro klienty státní nebo veřejné  správy.
  • V průběhu služby „CDC Start" budete pod dohledem Cyber Defense Centra a případné podezřelé aktivity budou naši specialisté konzultovat s předem určenou osobou.
  • Po třech měsících je služba vyhodnocena a předáno doporučení na další rozvoj a další aktivity.