Security Operations Center

3S SOC – Monitorowanie, Analiza i Raportowanie

Security Operations Center (ang. SOC) to nazwa zespołu odpowiedzialnego za bieżące monitorowanie i analizę stanu bezpieczeństwa organizacji.
Celem zespołu SOC jest wykrywanie, analizowanie i reagowanie na incydenty związane z cyberbezpieczeństwem za pomocą kombinacji rozwiązań technologicznych i zestawu procesów. Agregowanie dostępnych informacji w jednym miejscu i ich korelacja pozwala odnaleźć szereg problemów związanych z bezpieczeństwem, które do tej pory były niezauważalne. W Centrum Operacyjnym Bezpieczeństwa zatrudnieni są analitycy bezpieczeństwa i inżynierowie nadzorujący kluczowe procesy związane z bezpieczeństwem. Pracownicy SOC pomagają zapewnić organizacjom szybkie wykrycie oraz reakcje na incydent bezpieczeństwa bez konieczności zatrudniania specjalistów i ponoszenie kosztów utrzymania dodatkowych systemów typu SIEM (System Information and Event Management).

Centrum SOC monitoruje i analizuje aktywność w sieciach, serwerach, punktach końcowych, bazach danych, aplikacjach, witrynach internetowych i innych systemach, wyszukując anomalii, które mogłyby wskazywać na incydenty lub próby naruszenia bezpieczeństwa. SOC jest odpowiedzialny za zapewnienie, że potencjalne incydenty związane z bezpieczeństwem są poprawnie zidentyfikowane, analizowane i w efekcie zaraportowane Klientom do dalszych działań.

3S SOC – CENTRUM OPERACJI BEZPIECZEŃSTWA

Zespół SOC odpowiedzialny jest za operacyjną opiekę i analizę stopnia bezpieczeństwa informacji w danej organizacji w ustalonym zakresie.

I LINIA - NOC TRYB 24/7

Operatorzy I linii – zespół Network Operations Center (NOC) monitorują dane z podłączonych systemów oraz informują o anomaliach i incydentach bezpieczeństwa wykrytych w infrastrukturze klienta.

  • Przyjmowanie i rejestracja zgłoszeń,
  • Weryfikacja działania systemów (EPS),
  • Reakcja na incydent.

II LINIA - SOC TRYB 8/5 i 24/7

Operatorzy II linii – zespół Security Operations Center (SOC) obserwują logi, procesy i systemy klienta oraz wykorzystując zaawansowane technologie, sprzęt i oprogramowanie, analizują, korelują i interpretują dane z wielu źródeł w celu wykrycia nietypowych aktywności w infrastrukturze.

  • Monitoring i analiza ruchu sieciowego oraz logów systemowych,
  • Analiza incydentów,
  • Mapowanie sieci,
  • Koordynacja działań i reakcji na incydent,
  • Zarządzanie podatnościami,
  • Archiwizacja zdarzeń systemowych i połączeń.

JAK DZIAŁA USŁUGA?

Usługa 3S Security Operations Center pozwala na wspieranie zasobów klienta zarówno zespołem inżynierów jak również systemem monitorowania infrastruktury. Zbieranie danych następuje z wielu źródeł:

  • Urządzenia sieciowe i brzegowe,
  • Serwery i systemy wirtualizacyjne,
  • Bazy danych,
  • Aplikacje,
  • Skanery podatności,
  • Bazy tożsamości i informacji o użytkownikach,
  • Urządzenia końcowe.

 

3S SOC obsługuje incydenty bezpieczeństwa na podstawie korelacji wielu źródeł informacji, m.in.:

zdarzenia i logi z systemów zabezpieczeń (Firewall, Intrusion Prevention System VPN, Anti-Virus, itd.), systemów operacyjnych (Linux, Solaris, Windows, itd.) oraz aplikacji i baz danych,
informacje na temat stanu chronionych systemów (rodzaju systemu operacyjnego, dostępnych aplikacji) oraz ich słabości bezpieczeństwa odczytywane za pomocą IBM IDP Profiler oraz skanerów zabezpieczeń jak QRadar Vulnerability Manager, NMAP, Nessus, nCircle, Qualys, Foundstone, itd.
statystyki i opis ruchu sieciowego odbierane z urządzeń za pomocą NetFlow, J-Flow, S-Flow i Packeteer oraz odczytywane bezpośrednio z sieci (switch span port lub QRadar VFlow dla środowisk wirtualnych)

I. Opracowywanie strategii wykrywania, analizowania, reagowania, zgłaszania i zapobiegania incydentom cyberbezpieczeństwa. 

Narzędzia oraz usługi wykorzystywane w 3S SOC:

  • Informacje o bezpieczeństwie i zarządzanie zdarzeniami (SIEM)
  • Skaner podatności
  • Testy penetracyjne
  • Systemy wykrywania włamań (IDS), Systemy zapobiegania włamaniom (IPS),
  • Firewall oraz NGFW,
  • Kanały oraz bazy danych dotyczące zagrożeń cybernetycznych
  • Narzędzia do analizy ruchu sieciowego i monitorowania wydajności aplikacji (EPS)

II. Rodzaje usługi SOC:

  • Wersja podstawowa: Tryb wsparcia „8/5” – opieka nad wskazaną infrastrukturą w godzinach 8-16 w dni robocze,
  • Wersja rozszerzona: Tryb wsparcia „24/7” – opieka nad wskazaną infrastrukturą w trybie 24/7/365

III. Monitoring
Monitorowanie jest kluczową funkcją w SOC. Usługa odpowiada za monitorowanie systemów informatycznych i kont użytkowników w całym przedsiębiorstwie, a także monitorowanie samych narzędzi bezpieczeństwa. Głównym narzędziem koordynującym monitorowanie jest SIEM. Organizacje używają wielu dedykowanych narzędzi monitorowania, takich jak monitorowanie sieci i monitorowanie wydajności aplikacji (EPS). Jednak ze względów bezpieczeństwa tylko SIEM, ze swoim międzyorganizacyjnym widokiem danych IT i danych bezpieczeństwa, może zapewnić kompletne rozwiązanie do monitorowania.

IV. Raportowanie
Jedną z podstawowych funkcji SIEM jest tworzenie raportów i analizowanie wyników dotyczących zdarzeń oraz incydentów. Wszystko ma miejsce w czasie rzeczywistym, jak i po incydencie lub naruszeniu bezpieczeństwa określonego w procedurach. Realizowanie samych raportów oraz ich podsumowanie odbywa się zgodnie z wymaganiami Klienta. Raporty są w pełni dostosowane oraz zoptymalizowane dla potrzeb Klienta.

 

KORZYŚCI USŁUGI

  • Zapewnienie niezbędnych kompetencji oraz narzędzi operacyjnych Security Operation Center,
  • Audyt procesów działania przedsiębiorstwa,
  • Skanowanie systemów pod kątem podatności,
  • Bezpieczeństwo danych:
    – ochrona urządzeń końcowych,
    – ochrona urządzeń sieciowych,
    – ochrona serwerów i maszyn wirtualnych,
    – analiza ruchu.
  • Ciągła analiza zdarzeń występujących w strukturach przedsiębiorstwa,
  • Pełny nadzór oraz transparentność zdarzeń i logów systemów,
  • Kompletne rozwiązanie stanowiące całość usługi bezpieczeństwa dla przedsiębiorstwa.

WYCENA

Parametry wpływające na koszty związane z usługą oraz jej działaniem:

  • EPS (Events per second)
    termin używany do definiowania liczby zdarzeń lub procesów, które mają miejsce w danym czasie na dowolnym urządzeniu IT, związanych i podpiętych do oprogramowania SIEM.
  • Event Flows
    reprezentują aktywność sieci poprzez normalizację adresów IP, portów, liczbę bajtów i pakietów oraz innych danych w rekordy przepływu (Flows), które faktycznie są rekordami sesji między dwoma hostami.
  • Długość retencji danych
    w rozumieniu okresu czasu w którym dane będą archiwizowane oraz przetrzymywane na potrzeby analizy zdarzeń.
  • Dyspozycyjność
    wybór poziomu świadczenia usługi określony na 2 poziomach: 8/5 w dni robocze lub 24/7.

Ta strona wykorzystuje pliki cookies w celu ulepszenia działania seriwsu