Security Operation Center

Monitoring bezpieczeństwa - usługa Pierwszej Linii SOC

Monitoring Bezpieczeństwa I linii Security Operation Center (SOC) to usługa, w ramach której operatorzy I Linii Centrum monitorują i alarmują o incydentach bezpieczeństwa wykrytych w infrastrukturze klienta. Obserwują logi, procesy i systemy klienta oraz stosują zaawansowane techniki do zbieranych i porównywania danych z różnych źródeł, w celu wykrycia nietypowej aktywności w infrastrukturze. Po wykryciu ewentualnego incydentu, I Linia Security Operation Center rejestruje i opisuje zdarzenie w systemie rejestracji zgłoszeń oraz powiadamia o tym fakcie służby zamawiającego lub II Linię SOC.

Security Operation Center jest usługą wspomagającą w wykrywaniu i zapobieganiu incydentów związanym z bezpieczeństwem informatycznym, nie jest natomiast odpowiedzialne za utrzymanie infrastruktury klienta.

Do podstawowych zadań I linii SOC w rozumieniu SOC24.PL należy:

MONITORING:

  1. Monitorowanie zdarzeń i incydentów pojawiających się w infrastrukturze klienta w oparciu o dane udostępnione przez Zamawiającego z konsoli systemu SIEM i zaimplementowanych tam reguły korelacji.
  2. Analiza zdarzeń zgodnie z ustalonymi z Zamawiającym procedurami i scenariuszami, w tym ustalenie typu i poziomu incydentu oraz eliminacja tzw. false-positive.
  3. Wystawienie zgłoszenia w systemie obsługi incydentów bezpieczeństwa oraz udokumentowanie w nim wszystkich zebranych informacji na temat danego incydentu.

OBSŁUGA INCYDENTÓW:

  1. Obsługa Incydentów w zakresie opracowanych wspólnie z Zamawiającym scenariuszy reakcji dla I Linii.
  2. W przypadku incydentów, dla których nie zostały opracowane scenariusze reakcji nastąpi przekazanie obsługi incydentu do II Linii SOC.
  3. W przypadku gdy II Linia SOC jest po stronie Zamawiającego przekazanie informacji o incydencie nastąpi zgodnie z SLA i zasadami komunikacji z klientem.

THREAT HUNTING:

Proaktywne i iteracyjne monitorowanie logów w systemie SIEM w celu wykrywania i izolowania zaawansowanych zagrożeń bezpieczeństwa, które nie zostały wykryte przez zdefiniowane reguły korelacyjne.

RAPORTOWANIE:

Realizacja okresowych raportów podsumowujących ilość incydentów i czasy obsługi.

SLA dla usługi

Czas reakcji pierwszej linii operatorów liczony jako czas od pojawienia się incydentu w systemie SIEM do podjęcia pierwszych działań przez operatorów – 15 min.

Opcje świadczenia usługi:

Typ usługi Opis

8 / 5

Monitorowanie w godzinach roboczych np. od godziny 09:00 do godziny 17:00 w dni powszednie

16 / 5 + 24 / 2

Monitorowanie poza godzinami pracy. Operatorzy I linii SOC24 przejmują monitorowanie bezpieczeństwa infrastruktury np. o godz. 17:00 od I linii SOC zamawiającego i przekazuje go z powrotem do I Linii SOC następnego dnia roboczego np. o godz. 09:00. W ramach monitorowania obsługiwane są wszystkie zdarzenia występujące poza godzinami pracy zamawiającego oraz w dni wolne od pracy i święta.

24 / 7/ 365

Monitorowanie dwadzieścia cztery godziny przez wszystkie dni roku

Monitoring bezpieczeństwa – Zaawansowane usługi Drugiej Linii SOC

Zaawansowane usługi II Linii SOC to rozwinięcie usługi Monitoringu Bezpieczeństwa. W zakres zaawansowanych usług II linii SOC wchodzą zarówno wszystkie zadania analityczne związane z obsługą incydentów jak i proaktywne działania mające na celu jak najlepsze zabezpieczenie infrastruktury zamawiającego, przed ewentualnymi zagrożeniami cybernetycznymi.

Działania II linii SOC realizowane są na bazie zdarzeń zarejestrowanych w systemie SIEM, oraz w innych systemach udostępnionych przez zamawiającego analitykom SOC, jak również na bazie danych z usług bezpieczeństwa udostępnionych zamawiającemu przez SOC24 w modelu Security as a Service.

Druga linia wsparcia działa w trybie 8/5 i poza godzinami pracy, w trybie gotowości „na żądanie”. W przypadku zidentyfikowania przez 1. linię istotnego problemu (krytycznego lub wysokiego), który wykracza poza jej kompetencje i wymaga natychmiastowego działania, dyżurny 2. linii podejmuje konieczne działania dotyczące zabezpieczenia infrastruktury zamawiającego.

Szczegółowe zadania Drugiej Linii SOC:

OBSŁUGA INCYDENTU:

  1. Zdalna analiza otrzymanego zgłoszenia, zebranie wszystkich niezbędnych informacji do poprawnego obsłużenia incydentu, weryfikacja poprawności i kompletności dostarczonych danych źródłowych;
  1. Dla incydentów o wysokim priorytecie:
      • opracowanie scenariusza mitygacji zagrożenia wynikającego z incydentu oraz wsparcie pracowników zamawiającego przy realizacji przygotowanego scenariusza;
      • Przygotowanie scenariusza działań naprawczych mających na celu usunięcie skutków incydentu;
      • Opracowanie wniosków z incydentu, mających na celu ograniczenie możliwości powtórzenia się danego typu incydentu w przyszłości;
  1. Możliwość wsparcia pracowników Zespołu Bezpieczeństwa Klienta przy obsłudze incydentu lokalnie, w jego siedzibie.

ANALIZA:

  1. Analiza logów pod kątem zabezpieczenia klienta przed pojawiającymi się nowymi zagrożeniami, nie objętych dotychczasowymi regułami zaimplementowanymi w systemie SIEM jak i procedurami reakcji dla I Linii SOC;
  2. Analiza logów pod kątem optymalizacji informacji o zagrożeniach w SIEM;
  3. Proponowanie nowych scenariuszy (reguł korelacyjnych) bezpieczeństwa do wdrożenia w systemie SIEM i propozycje optymalizacji aktualnie działających scenariuszy bezpieczeństwa;
  4. Proponowanie rozszerzenia zakresu monitorowania o kolejne systemy teleinformatyczne zamawiającego.

KONSULTACJA I RAPORTOWANIE:

  1. Propozycja zabezpieczenia systemu przed przyszłymi podobnymi incydentami, identyfikacja przyczyn problemu oraz jego ew. autorów, wreszcie ewentualnego powiadomienia odpowiednich służb, o ile jest to wskazane lub wymagane;
  2. Organizacja cokwartalnych spotkań (możliwe spotkania z wykorzystaniem narzędzi wideokonferencyjnych), mających na celu podsumowanie wydarzeń z ostatniego kwartału oraz określeniu możliwości optymalizacji.

SLA dla usługi

  1. W godzinach roboczych (9:00 – 17:00) czas reakcji liczony jako czas od przekazania incydentu do II linii SOC do podjęcia pierwszych działań przez analityka II linii to 15 min.
  2. W pozostałych godzinach czas reakcji – 1 godzina.

Ograniczenia

  1. Usługa jest wyceniona na 40 godzin miesięcznie o dowolnej porze. Przekroczenie powyższej granicy związane będzie z naliczeniem opłaty zgodnie z cennikiem godzinowym.

Opcje świadczenia usługi:

Typ usługi Opis

8 / 5 oraz “On Call” poza godzinami pracy

Wsparcie II Linii SOC w godzinach roboczych i poza godzinami pracy w trybie gotowości „na żądanie”. Oznacza to, że jeśli 1. linia zidentyfikuje istotny problem (Krytyczny lub Wysoki), który wykracza poza jej kompetencje i wymaga natychmiastowego działania, wtedy dyżurny II. linii jest angażowany i podejmuje konieczne działania dotyczące obrony i zabezpieczenia infrastruktury zamawiającego.

Zarządzanie Usługami Bezpieczeństwa

Zarządzanie usługami bezpieczeństwa to usługa mająca na celu wzmocnienie ochrony infrastruktury IT klienta. Realizowana jest przy wykorzystaniu zaawansowanych systemów bezpieczeństwa, których dedykowana konfiguracja i administracja zapewniają efektywny monitoring, identyfikację oraz analizę zagrożeń. Usługi realizowane są przez wykwalifikowany zespół inżynierów bezpieczeństwa SOC24 w godzinach roboczych lub trybie 24/7.

Modele Managed Security Service Provider (MSSP)

MODEL LOKALNY

System bezpieczeństwa jest zainstalowany  na serwerach w siedzibie klienta lub w innym wskazanym przez niego miejscu. W takim przypadku monitorowanie i zarządzanie systemem odbywa się zdalnie przez specjalistów SOC24, przy wykorzystaniu bezpiecznego łącza.

MODEL CENTRALNY

System bezpieczeństwa jest zainstalowany na serwerach SOC24 i w zależności od rodzaju tego systemu, monitorowany ruch lub logi przekierowane są bezpiecznym połączeniem. W zależności od systemu bezpieczeństwa i możliwości jego konfiguracji, usługi realizowane są na jednej instancji w modelu „Multitenant”, w ramach której dane klientów są separowane od siebie, a monitoring realizowany jest z jednej wspólnej konsoli. W innej konfiguracji modelu świadczenia usługi, dla każdego klienta uruchamiana jest oddzielna instancja systemu, na oddzielnej maszynie wirtualnej lub fizycznej. W tym przypadku wszystkie dane klientów są przechowywane na wydzielonych dla nich instancjach, a sama tylko informacja o alarmach jest wysyłana do jednej wspólnej konsoli, z której operatorzy i analitycy monitorują wszystkie systemy klienckie.

MODEL CHMUROWY

System bezpieczeństwa jest udostępniony w chmurze świadczonej przez producentów danego oprogramowania. W takim przypadku ruch klienta lub logi są przekierowane do serwerów producenta danego systemu, a operatorzy i analitycy SOC24, monitorują i zarządzają danymi usługami z poziomu konsoli producenta oprogramowania.

Produkty oferowane w usłudze MSSP: