3S SOC – Monitorowanie, Analiza i Raportowanie

Security Operations Center (ang. SOC) to nazwa zespołu odpowiedzialnego za bieżące monitorowanie i analizę stanu bezpieczeństwa organizacji.
Celem zespołu SOC jest wykrywanie, analizowanie i reagowanie na incydenty związane z cyberbezpieczeństwem za pomocą kombinacji rozwiązań technologicznych i zestawu procesów. Agregowanie dostępnych informacji w jednym miejscu i ich korelacja pozwala odnaleźć szereg problemów związanych z bezpieczeństwem, które do tej pory były niezauważalne. W Centrum Operacyjnym Bezpieczeństwa zatrudnieni są analitycy bezpieczeństwa i inżynierowie nadzorujący kluczowe procesy związane z bezpieczeństwem. Pracownicy SOC pomagają zapewnić organizacjom szybkie wykrycie oraz reakcje na incydent bezpieczeństwa bez konieczności zatrudniania specjalistów i ponoszenie kosztów utrzymania dodatkowych systemów typu SIEM (System Information and Event Management).

Centrum SOC monitoruje i analizuje aktywność w sieciach, serwerach, punktach końcowych, bazach danych, aplikacjach, witrynach internetowych i innych systemach, wyszukując anomalii, które mogłyby wskazywać na incydenty lub próby naruszenia bezpieczeństwa. SOC jest odpowiedzialny za zapewnienie, że potencjalne incydenty związane z bezpieczeństwem są poprawnie zidentyfikowane, analizowane i w efekcie zaraportowane Klientom do dalszych działań.
3S SOC – CENTRUM OPERACJI BEZPIECZEŃSTWA
Zespół SOC odpowiedzialny jest za operacyjną opiekę i analizę stopnia bezpieczeństwa informacji w danej organizacji w ustalonym zakresie.

I LINIA – NOC TRYB 24/7
Operatorzy I linii – zespół Network Operations Center (NOC) monitorują dane z podłączonych systemów oraz informują o anomaliach i incydentach bezpieczeństwa wykrytych w infrastrukturze klienta.
- Przyjmowanie i rejestracja zgłoszeń,
- Weryfikacja działania systemów (EPS),
- Reakcja na incydent

II LINIA – SOC TRYB 8/5 I 24/7
Operatorzy II linii – zespół Security Operations Center (SOC) obserwują logi, procesy i systemy klienta oraz wykorzystując zaawansowane technologie, sprzęt i oprogramowanie, analizują, korelują i interpretują dane z wielu źródeł w celu wykrycia nietypowych aktywności w infrastrukturze.
- Monitoring i analiza ruchu sieciowego oraz logów systemowych,
- Analiza incydentów,
- Mapowanie sieci,
- Koordynacja działań i reakcji na incydent,
- Zarządzanie podatnościami,
- Archiwizacja zdarzeń systemowych i połączeń.
JAK DZIAŁA USŁUGA?
Usługa 3S Security Operations Center pozwala na wspieranie zasobów klienta zarówno zespołem inżynierów jak również systemem monitorowania infrastruktury. Zbieranie danych następuje z wielu źródeł:
- Urządzenia sieciowe i brzegowe,
- Serwery i systemy wirtualizacyjne,
- Bazy danych,
- Aplikacje,
- Skanery podatności,
- Bazy tożsamości i informacji o użytkownikach,
- Urządzenia końcowe.
3S SOC obsługuje incydenty bezpieczeństwa na podstawie korelacji wielu źródeł informacji, m.in.:
zdarzenia i logi z systemów zabezpieczeń (Firewall, Intrusion Prevention System VPN, Anti-Virus, itd.), systemów operacyjnych (Linux, Solaris, Windows, itd.) oraz aplikacji i baz danych, informacje na temat stanu chronionych systemów (rodzaju systemu operacyjnego, dostępnych aplikacji) oraz ich słabości bezpieczeństwa odczytywane za pomocą IBM IDP Profiler oraz skanerów zabezpieczeń jak QRadar Vulnerability Manager, NMAP, Nessus, nCircle, Qualys, Foundstone, itd. statystyki i opis ruchu sieciowego odbierane z urządzeń za pomocą NetFlow, J-Flow, S-Flow i Packeteer oraz odczytywane bezpośrednio z sieci (switch span port lub QRadar VFlow dla środowisk wirtualnych).

I. Opracowywanie strategii wykrywania, analizowania, reagowania, zgłaszania i zapobiegania incydentom cyberbezpieczeństwa.
Narzędzia oraz usługi wykorzystywane w 3S SOC:
- Informacje o bezpieczeństwie i zarządzanie zdarzeniami (SIEM)
- Skaner podatności
- Testy penetracyjne
- Systemy wykrywania włamań (IDS), Systemy zapobiegania włamaniom (IPS),
- Firewall oraz NGFW,
- Kanały oraz bazy danych dotyczące zagrożeń cybernetycznych
- Narzędzia do analizy ruchu sieciowego i monitorowania wydajności aplikacji (EPS)

II. Rodzaje usługi SOC:
- SOC Standard – dostępny jest w dwóch opcjach pakietowych:
- Pakiet I – 50 EPS, 5 źródeł danych
- Pakiet II – 100 EPS, 10 źródeł danych
Każdy z pakietów zakresem obejmuje:
- konfigurację systemu i integrację z maksymalnie 5 lub 10 źródłami danych,
- obsługę 5 scenariuszy bezpieczeństwa,
- dobowy raport incydentów,
- comiesięczny raport incydentów,
- niezbędną licencję SIEM – IBM QRadar,
- powiadomienia email,
Usługa nie obejmuje całodobowego informowania klienta o zaistniałych incydentach, obsługi incydentu tzw. Incident Response oraz zmian w konfiguracji systemów, za które odpowiada Klient.
- SOC Premium – dostępny jest jako usługa projektowa gdzie wszystkie parametry ilościowe i jakościowe środowiska uzgadniane są indywidualnie z Klientem. Usługa może być wyskalowana niemal na dowolną ilość EPS i źródeł danych.

III. Monitoring
Monitorowanie jest kluczową funkcją w SOC. Usługa odpowiada za monitorowanie systemów informatycznych i kont użytkowników w całym przedsiębiorstwie, a także monitorowanie samych narzędzi bezpieczeństwa. Głównym narzędziem koordynującym monitorowanie jest SIEM. Organizacje używają wielu dedykowanych narzędzi monitorowania, takich jak monitorowanie sieci i monitorowanie wydajności aplikacji (EPS). Jednak ze względów bezpieczeństwa tylko SIEM, ze swoim międzyorganizacyjnym widokiem danych IT i danych bezpieczeństwa, może zapewnić kompletne rozwiązanie do monitorowania.

IV. Raportowanie
Jedną z podstawowych funkcji SIEM jest tworzenie raportów i analizowanie wyników dotyczących zdarzeń oraz incydentów. Wszystko ma miejsce w czasie rzeczywistym, jak i po incydencie lub naruszeniu bezpieczeństwa określonego w procedurach. Realizowanie samych raportów oraz ich podsumowanie odbywa się zgodnie z wymaganiami Klienta. Raporty są w pełni dostosowane oraz zoptymalizowane dla potrzeb Klienta.
Narzędzia oraz usługi wykorzystywane w 3S SOC:
- Informacje o bezpieczeństwie i zarządzanie zdarzeniami (SIEM)
- Skaner podatności
- Testy penetracyjne
- Systemy wykrywania włamań (IDS), Systemy zapobiegania włamaniom (IPS),
- Firewall oraz NGFW,
- Kanały oraz bazy danych dotyczące zagrożeń cybernetycznych
- Narzędzia do analizy ruchu sieciowego i monitorowania wydajności aplikacji (EPS)
KORZYŚCI USŁUGI
- Zapewnienie niezbędnych kompetencji oraz narzędzi operacyjnych Security Operation Center,
- Audyt procesów działania przedsiębiorstwa,
- Skanowanie systemów pod kątem podatności,
- Bezpieczeństwo danych:
– ochrona urządzeń końcowych,
– ochrona urządzeń sieciowych,
– ochrona serwerów i maszyn wirtualnych,
– analiza ruchu. - Ciągła analiza zdarzeń występujących w strukturach przedsiębiorstwa,
- Pełny nadzór oraz transparentność zdarzeń i logów systemów,
- Kompletne rozwiązanie stanowiące całość usługi bezpieczeństwa dla przedsiębiorstwa.
WYCENA
Parametry wpływające na koszty związane z usługą oraz jej działaniem:
- EPS (Events per second)
termin używany do definiowania liczby zdarzeń lub procesów, które mają miejsce w danym czasie na dowolnym urządzeniu IT, związanych i podpiętych do oprogramowania SIEM. - Event Flows
reprezentują aktywność sieci poprzez normalizację adresów IP, portów, liczbę bajtów i pakietów oraz innych danych w rekordy przepływu (Flows), które faktycznie są rekordami sesji między dwoma hostami. - Długość retencji danych
w rozumieniu okresu czasu w którym dane będą archiwizowane oraz przetrzymywane na potrzeby analizy zdarzeń. - Dyspozycyjność
wybór poziomu świadczenia usługi określony na 2 poziomach: 8/5 w dni robocze lub 24/7.
Zapytaj o rozwiązania dla Twojej firmy:
zadzwoń lub napisz rozwiazania@3s.pl
Skontaktuj się z nami
Wypełnij formularz a nasz zespół jak najszybciej się z Tobą skontaktuje.
Zapytaj o rozwiązania dla Twojej firmy:
zadzwoń lub napisz rozwiazania@3s.pl
Skontaktuj się z nami
Wypełnij formularz a nasz zespół jak najszybciej się z Tobą skontaktuje.
Ta strona wykorzystuje pliki cookies w celu ulepszenia działania seriwsu