Dohľad SIEM – na čo slúži a pre koho je určený
1. 1. 2020
Dohľad SIEM – na čo slúži a pre koho je určený

Chcete, aby sa o Váš SIEM niekto správne postaral, prípadne chcete, aby sme Vám dodali službu Security Operation Centra (SOC) úplne na kľuč?

Hlavné prínosy služby

  • Dohľadové centrum CDC dohliada na všetky podozrivé aktivity a udalosti v infraštruktúre zákazníka – na firewalloch, Active Directory, na koncových zariadeniach alebo aj v Cloude.
  • Investigáciou podozrivých udalostí sa zaoberá náš špecializovaný a preškolený tím.
  • Klient sa môže venovať rozvojovým aktivitám vlastného businessu namiesto dohľadu činností, pretože celkový dohlaď nad bezpečnostnými udalosťami preberá Cyber Defense Center (CDC).

Pre koho je služba určená

  • Pre spoločnosti, ktoré nemajú vybudovaný tím kybernetickej bezpečnosti a bezpečnostného dohľadu.
  • Pre užívateľov, ktorí chcú odovzdať dohlaď a kontrolu nad kybernetickou bezpečnosťou do rúk profesionálov.
  • Pre firmy, ktoré prevádzkujú vlastný SIEM, ale z nejakého dôvodu im správa, tvorba pravidiel a vyhodnocovanie zaostáva – alebo na to jednoducho nemajú čas.
  • Pre firmy, ktoré SIEM síce nemajú, ale radi by si dohlaď nad bezpečnostnými udalosťami nechali zapracovať od špecialistov v odbore. Typicky sa tak môže jednať o menšiu mestskú časť alebo okresné mesto, ale rovnako tak aj o bankovú inštitúciu.
  • Pre rovnaké firmy, ktoré si spočítajú TCO a nechajú si službu radšej dodať, než by ju mali sami budovať.

Pred čím služba chráni

  • Pred nečinnosťou v prípade výskytu podozrivej alebo neobvyklej udalosti.
  • Pred neodhalením prípadných vektorov útoku.
  • Pred vykonávaním neautorizovaných činností v infraštruktúre.
  • Pred neautorizovanou zmenou pozbieraných logov.

Ako služba prebieha

  • Vykonáme tzv. HealthCheck Vášho prostredia.
  • Rozhodneme o pripojení k našej SIEM infraštruktúre, alebo prevezmeme dohlaď Vášho SIEM prostredia.
  • Nastavíme naše základné pravidla a doplníme ich o ďalšie Vami požadované pravidlá a use-case, vytvoríme logiku číslovania pravidiel a popisu incidentov.
  • Náš Cyber Defense Center (CDC) tím prevezme dohlaď, monitoring a investigáciu identifikovaných udalostí.
  • Dohlaď prebieha v našom Security Operation Center v Prahe.
  • Vaše dáta sú uložené v dátovom centre DataSpring.
  • Zistené podozrivé udalosti sú identifikované, analyzované a podľa SLA hlásené klientovi spolu s navrhnutým ďalším postupom.
  • Po skončení monitorovacieho obdobia vykonávame s klientom pravidelné sedenia, kedy vyhodnocujeme priebeh zvládania najdôležitejších incidentov a navrhujeme ďalšie opatrenia na zvýšenie celkovej bezpečnosti infraštruktúry klienta, často aj za účasti ďalších špecialistov ostatných divízií AEC.

Ako služba vyzerá z pohľadu koncového užívateľa

  • Klient získava podľa nastaveného SLA správy o vzniku incidentu – napr. do 30 min.
  • Tím CDC ďalej investiguje vzniknutý incident a v súčinnosti s klientom navrhuje vhodné opatrenia a riešenia.
  • Každý incident je na konci uzavretý ako false-positive alebo true-positive.
  • Mesačná správa o prevádzke CDC a vzniknutých incidentoch je prezentovaná aj managementu spoločnosti.

Doba nasadenia služby

  • Od odsúhlasenia implementácie je služba kompletne sprevádzkovaná do 2 mesiacov – vrátane vykonania HealtCheck, nasadenia pravidiel a zahájenia dohľadu.
  • Doba môže byť výrazne skrátená – záleží na požiadavkách pripojenia zdrojov logov.

Čo takáto služba stojí

  • Vždy vykonávame s klientom individuálny výpočet ceny a preverovanie TCO.
  • V prípade dodávky SIEM ako služby, zahŕňa cena aj cenu hardwaru, licencií a služieb dátového centra.
  • Ceny za mesačný monitoring dohľadovej služby CDC, začínajú pre klientov s veľkosťou cca 100 užívateľov, na cene porovnateľnej s cenou 2 MD IT špecialistu.
  • Naše riešenie si môže dovoliť aj malá mestská časť, ktorá potrebuje splniť ustanovenia zákona o kybernetickej bezpečnosti.

Naplnenie ustanovení zákona o Kybernetickej bezpečnosti

  • Služba je určená aj zákazníkom podliehajúcim nariadeniam zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov, (konkrétne opatření § 5, odstavce 3h) o povinnosti zaistiť Technické opatrenie – nástroj na zber a vyhodnotenie kybernetických bezpečnostných udalostí.
  • V súlade s českou Vyhláškou č. 362/2018 Z. z. o bezpečnostných opatreniach, kybernetických bezpečnostných incidentoch, reaktívnych opatreniach, náležitostiach podania v oblasti kybernetickej bezpečnosti a likvidácii dát (vyhláška o kybernetickej bezpečnosti) pomáha dohlaď CDC splniť ustanovenie § 24  Zber a vyhodnocovanie kybernetických bezpečnostných udalostía to tak, že používa nástroj na zber a nepretržité vyhodnocovanie kybernetických bezpečnostných udalostí, ktorý umožní:
    • zber a vyhodnocovanie udalostí zaznamenaných podľa § 22 a 23,
    • vyhľadávanie a zoskupovanie súvisiacich záznamov,
    • poskytovanie informácií pre určené bezpečnostné roly o detegovaných kybernetických bezpečnostných udalostiach,
    • vyhodnocovanie kybernetických bezpečnostných udalostí s cieľom identifikácie kybernetických bezpečnostných incidentov, vrátane včasného varovania určených bezpečnostných rolí,
    • obmedzenie prípadu nesprávneho vyhodnotenia udalostí pravidelnou aktualizáciou nastavení pravidiel na:
      • vyhodnocovanie kybernetických bezpečnostných udalostí a včasné varovanie, 
      • zaznamenáva bezpečnostné a potrebné prevádzkové udalosti dôležitých aktív informačného a komunikačného systé

Kedy je vhodné nás kontaktovať

  • Riešenie SIEM je vhodné nasadiť a s monitoringom začať v dobe, kedy nie ste vystavený žiadnej podozrivej aktivite.
  • Kontaktovať nás môžete prostredníctvom kontaktného tlačidla alebo telefonicky na čísle +420 608 557 914 – číslo dohľadového centra CDC.

Ako si môžete službu vyskúšať

  • Odporúčame využiť našu počtom klientov obmedzenú akciu: „CDC Start".
  • Služba „CDC Start" je určená pre prvých 20 klientov a ďalej pre klientov štátnej alebo verejnej správy. (Promo akcia bola ukončená.​)
  • V priebehu služby „CDC Start" budete pod dohľadom Cyber Defense Centra a prípadné podozrivé aktivity budú naši špecialisti konzultovať s vopred určenou osobou.
  • Po troch mesiacoch je služba vyhodnotená a predané sú taktiež aj odporúčania na ďalší rozvoj a ďalšie aktivity.