icon
Skalkuluj ofertę
icon
Obserwuj nas na LinkedIn
icon
Dołącz do społeczności Meet IT
icon
Zagraj w 3S Liga

Security Operations Center - Monitorowanie, Analiza i Raportowanie

SOC - Monitorowanie, Analiza i Raportowanie

 

Security Operations Center (ang. SOC) to nazwa zespołu odpowiedzialnego za bieżące monitorowanie i analizę stanu bezpieczeństwa organizacji. 

Celem zespołu SOC jest wykrywanie, analizowanie i reagowanie na incydenty związane z cyberbezpieczeństwem za pomocą kombinacji rozwiązań technologicznych i zestawu procesów. Agregowanie dostępnych informacji w jednym miejscu i ich korelacja pozwala odnaleźć szereg problemów związanych z bezpieczeństwem, które do tej pory były niezauważalne. W Centrum Operacyjnym Bezpieczeństwa zatrudnieni są analitycy bezpieczeństwa i inżynierowie nadzorujący kluczowe procesy związane z bezpieczeństwem. Pracownicy SOC pomagają zapewnić organizacjom szybkie wykrycie oraz reakcje na incydent bezpieczeństwa bez konieczności zatrudniania specjalistów i ponoszenie kosztów utrzymania dodatkowych systemów typu SIEM (System Information and Event Management).

Centrum SOC monitoruje i analizuje aktywność w sieciach, serwerach, punktach końcowych, bazach danych, aplikacjach, witrynach internetowych i innych systemach, wyszukując anomalii, które mogłyby wskazywać na incydenty lub próby naruszenia bezpieczeństwa. SOC jest odpowiedzialny za zapewnienie, że potencjalne incydenty związane z bezpieczeństwem są poprawnie zidentyfikowane, analizowane i w efekcie zaraportowane Klientom do dalszych działań.



CENTRUM OPERACJI BEZPIECZEŃSTWA

Zespół SOC odpowiedzialny będzie za operacyjną opiekę i analizę stopnia bezpieczeństwa informacji w Państwa organizacji w ustalonym zakresie.

 

Tabela zadań:

tabela zadań SOC


JAK DZIAŁA USŁUGA?

 

 

I. Opracowywanie strategii wykrywania, analizowania, reagowania, zgłaszania i zapobiegania incydentom cyberbezpieczeństwa.  

  • Narzędzia oraz usługi wykorzystywane w SOC:
  • Informacje o bezpieczeństwie i zarządzanie zdarzeniami (SIEM)
  • Skaner podatności
  • Testy penetracyjne
  • Systemy wykrywania włamań (IDS), Systemy zapobiegania włamaniom (IPS),
  • Firewall oraz NGFW,
  • Kanały oraz bazy danych dotyczące zagrożeń cybernetycznych
  • Narzędzia do analizy ruchu sieciowego () i monitorowania wydajności aplikacji (EPS)

 

więcej >>

II. Rodzaje usługi SOC:

  • Wersja podstawowa:
Tryb wsparcia "8/5" – opieka nad wskazaną infrastrukturą w godzinach 8-16 w dni robocze,

  • Wersja rozszerzona:
Tryb wsparcia "24/7" – opieka nad wskazaną infrastrukturą w trybie 24/7/365.


III. Monitoring

Monitorowanie jest kluczową funkcją w SOC. Usługa odpowiada za monitorowanie systemów informatycznych i kont użytkowników w całym przedsiębiorstwie, a także monitorowanie samych narzędzi bezpieczeństwa. Głównym narzędziem koordynującym monitorowanie jest SIEM. Organizacje używają wielu dedykowanych narzędzi monitorowania, takich jak monitorowanie sieci i monitorowanie wydajności aplikacji (EPS). Jednak ze względów bezpieczeństwa tylko SIEM, ze swoim międzyorganizacyjnym widokiem danych IT i danych bezpieczeństwa, może zapewnić kompletne rozwiązanie do monitorowania.

IV. Raportowanie

Jedną z podstawowych funkcji SIEM jest tworzenie raportów i analizowanie wyników dotyczących zdarzeń oraz incydentów. Wszystko ma miejsce w czasie rzeczywistym, jak i po incydencie lub naruszeniu bezpieczeństwa określonego w procedurach. Realizowanie samych raportów oraz ich podsumowanie odbywa się zgodnie z wymaganiami Klienta. Raporty są w pełni dostosowane oraz zoptymalizowane dla potrzeb Klienta.


 

WDROŻENIE USŁUGI

 Implementacja niezbędnych narzędzi do monitoringu infrastruktury i korelacji zdarzeń w usłudze SOC:

Tabela odpowiedzialności klient SOC

 

Korzyści usługi
  •  Zapewnienie niezbędnych kompetencji oraz narzędzi operacyjnych Security Operation Center,
  •  Audyt procesów działania przedsiębiorstwa,
  •  Skanowanie systemów pod kątem podatności,
  •  Bezpieczeństwo danych:
    • ochrona urządzeń końcowych,
    • ochrona urządzeń sieciowych,
    • ochrona serwerów i maszyn wirtualnych,
    • analiza ruchu.
  • Ciągła analiza zdarzeń występujących w strukturach przedsiębiorstwa,
  • Pełny nadzór oraz transparentność zdarzeń i logów systemów,
  • Kompletne rozwiązanie stanowiące całość usługi bezpieczeństwa dla przedsiębiorstwa.

Wycena


Parametry wpływające na koszty związane z usługą oraz jej działaniem: 

  • EPS (Events per second)
    termin używany do definiowania liczby zdarzeń lub procesów, które mają miejsce w danym czasie na dowolnym urządzeniu IT, związanych i podpiętych do oprogramowania SIEM.
  • Event Flow
    reprezentują aktywność sieci poprzez normalizację adresów IP, portów, liczbę bajtów i pakietów oraz innych danych w rekordy przepływu (Flows), które faktycznie są rekordami sesji między dwoma hostami.
  • Długość retencji danych
    w rozumieniu okresu czasu w którym dane będą archiwizowane oraz przetrzymywane na potrzeby analizy zdarzeń.
  • Dyspozycyjność
    wybór poziomu świadczenia usługi może być określony na 2 poziomach zgodnie z pkt. I b.
więcej >>

 

Opis funkcjonalny - IBM QRadar

IBM QRADAR to scentralizowany system zarządzania bezpieczeństwem. System realizuje funkcje o Informacjach Bezpieczeństwa i Zarządzania Incydentami (SIEM) , Wykrywanie Anomali Zachowania w Sieci (NBAD) oraz utrzymuje centralne repozytorium logów, które jest zabezpieczone kryptograficznie.

 

IBM Qradar pozwala na zbieranie danych z wielu źródeł m.in:

  • Urządzenia sieciowe i brzegowe,
  • Serwery i systemy wirtualizacyjne,
  • Bazy danych,
  • Aplikacje,
  • Skanery podatności,
  • Bazy tożsamości i informacji o użytkownikach,
  • Urządzenia końcowe.

IBM QRADAR obsługuje incydenty bezpieczeństwa na podstawie korelacji wielu źródeł informacji, m.in.:

  • zdarzenia i logi z systemów zabezpieczeń (Firewall, Intrusion Prevention System VPN, Anti-Virus, itd.), systemów operacyjnych (Linux, Solaris, Windows, itd.) oraz aplikacji i baz danych,
  • informacje na temat stanu chronionych systemów (rodzaju systemu operacyjnego, dostępnych aplikacji) oraz ich słabości bezpieczeństwa odczytywane za pomocą IBM IDP Profiler oraz skanerów zabezpieczeń jak QRadar Vulnerability Manager, NMAP, Nessus, nCircle, Qualys, Foundstone, itd.
  • statystyki i opis ruchu sieciowego odbierane z urządzeń za pomocą NetFlow, J-Flow, S-Flow i Packeteer oraz odczytywane bezpośrednio z sieci (switch span port lub QRadar VFlow dla środowisk wirtualnych)

QRADAR – KLUCZOWE KOMPONENTY

 

  •  LogManager
    • odpowiada za zarządzanie logami i raportowaniem, w łatwy sposób można rozbudować go o funkcjonalność SIEM
  • SIEM
    •  koreluje informacje z rożnych źródeł (Logi, flowy, podatności oraz tożsamość), posiada możliwość rozbudowanego profilowania monitorowanych elementów, zarządza wykrytymi incydentami oraz ich przebiegiem (workflow)
  • Qflow/VFlow
    •  monitorowanie warstwy aplikacyjnej, przechwytywanie danych sieciowych do dogłębnej analizy i informatyki śledczej, monitorowanie fizycznych oraz wirtualnych środowisk, pełna integracja z modułem SIEM.