Security Operations Center
Wykrywanie i zapobieganie zdarzeniom związanych z bezpieczeństwem IT, 24 godziny na dobę, 7 dni w tygodniu przez pierwszą linię Monitoringu Bezpieczeństwa.
Pierwsza linia SOC to usługa polegająca na ciągłej obserwacji infrastruktury klienta przez pierwszą linię operatorów SOC, co pozwala wykrywać i informować o zdarzeniach, w momencie ich wykrycia. Operatorzy monitorują dzienniki klienta, procesy oraz systemy używając zaawansowanych technik zbierania i porównywania danych z różnych źródeł. Dzięki temu są w stanie szybko wykryć nietypowe lub niebezpieczne aktywności w infrastrukturze. W momencie wykrycia potencjalnie niebezpiecznej aktywności, operatorzy SOC zapisują i opisują wydarzenie w odpowiednim systemie, powiadamiając klienta poprzez system lub drugą linię operatorów SOC.
SLA dla usługi
Czas odpowiedzi: 15 minut
Czas reakcji pierwszej linii operatorów liczony jako czas od pojawienia się incydentu
w systemie SIEM do podjęcia pierwszych działań przez operatorów – 15 min.
Opcje świadczenia usługi SOC24:
Typ usługi |
Opis usługi |
---|---|
8/5 | Monitorowanie w godzinach roboczych np. od godziny 09:00 do godziny 17:00 w dni powszednie |
16/5 + 24/2 | Monitorowanie poza godzinami pracy. Operatorzy I linii SOC24 przejmują monitorowanie bezpieczeństwa infrastruktury np. o godz. 17:00 od I linii SOC zamawiającego i przekazuje go z powrotem do I Linii SOC następnego dnia roboczego np. o godz. 09:00. W ramach monitorowania obsługiwane są wszystkie zdarzenia występujące poza godzinami pracy zamawiającego oraz w dni wolne od pracy i święta. |
24x7x365 | Monitorowanie dwadzieścia cztery godziny przez wszystkie dni roku |
Monitoring bezpieczeństwa
Usługa Pierwszej Linii SOC
Monitoring Bezpieczeństwa I linii Security Operation Center (SOC) to usługa, w ramach której operatorzy I Linii Centrum monitorują i alarmują o incydentach bezpieczeństwa wykrytych w infrastrukturze klienta. Obserwują logi, procesy i systemy klienta oraz stosują zaawansowane techniki do zbieranych i porównywania danych z różnych źródeł, w celu wykrycia nietypowej aktywności w infrastrukturze. Po wykryciu ewentualnego incydentu, I Linia Security Operation Center rejestruje i opisuje zdarzenie w systemie rejestracji zgłoszeń oraz powiadamia o tym fakcie służby zamawiającego lub II Linię SOC.
- Monitorowanie zdarzeń i incydentów pojawiających się w infrastrukturze klienta w oparciu o dane udostępnione przez Zamawiającego z konsoli systemu SIEM i zaimplementowanych tam reguły korelacji.
- Analiza zdarzeń zgodnie z ustalonymi z Zamawiającym procedurami i scenariuszami, w tym ustalenie typu i poziomu incydentu oraz eliminacja tzw. false-positive.
- Wystawienie zgłoszenia w systemie obsługi incydentów bezpieczeństwa oraz udokumentowanie w nim wszystkich zebranych informacji na temat danego incydentu.
Obsługa incydentów
Usługa Pierwszej Linii SOC
- Monitorowanie zdarzeń i incydentów pojawiających się w infrastrukturze klienta w oparciu o dane udostępnione przez Zamawiającego z konsoli systemu SIEM i zaimplementowanych tam reguły korelacji.
- Analiza zdarzeń zgodnie z ustalonymi z Zamawiającym procedurami i scenariuszami, w tym ustalenie typu i poziomu incydentu oraz eliminacja tzw. false-positive.
- Wystawienie zgłoszenia w systemie obsługi incydentów bezpieczeństwa oraz udokumentowanie w nim wszystkich zebranych informacji na temat danego incydentu.
Threat hunting
Usługa Pierwszej Linii SOC
Proaktywne i iteracyjne monitorowanie logów w systemie SIEM w celu wykrywania i izolowania zaawansowanych zagrożeń bezpieczeństwa, które nie zostały wykryte przez zdefiniowane reguły korelacyjne.
Monitoring bezpieczeństwa
Zaawansowane usługi Drugiej Linii SOC
Zaawansowane usługi II Linii SOC to rozwinięcie usługi Monitoringu Bezpieczeństwa. W zakres zaawansowanych usług II linii SOC wchodzą zarówno wszystkie zadania analityczne związane z obsługą incydentów jak i proaktywne działania mające na celu jak najlepsze zabezpieczenie infrastruktury zamawiającego, przed ewentualnymi zagrożeniami cybernetycznymi.
Działania II linii SOC realizowane są na bazie zdarzeń zarejestrowanych w systemie SIEM, oraz w innych systemach udostępnionych przez zamawiającego analitykom SOC, jak również na bazie danych z usług bezpieczeństwa udostępnionych zamawiającemu przez SOC24 w modelu Security as a Service.
Druga linia wsparcia działa w trybie 8/5 i poza godzinami pracy, w trybie gotowości „na żądanie”. W przypadku zidentyfikowania przez 1. linię istotnego problemu (krytycznego lub wysokiego), który wykracza poza jej kompetencje i wymaga natychmiastowego działania, dyżurny 2. linii podejmuje konieczne działania dotyczące zabezpieczenia infrastruktury zamawiającego.
Zadania Drugiej Linii SOC
Obsługa incydentu:
- Zdalna analiza otrzymanego zgłoszenia, zebranie wszystkich niezbędnych informacji do poprawnego obsłużenia incydentu, weryfikacja poprawności i kompletności dostarczonych danych źródłowych;
- Dla incydentów o wysokim priorytecie:opracowanie scenariusza mitygacji zagrożenia wynikającego z incydentu oraz wsparcie pracowników zamawiającego przy realizacji przygotowanego scenariusza;
- Przygotowanie scenariusza działań naprawczych mających na celu usunięcie skutków incydentu;
- Opracowanie wniosków z incydentu, mających na celu ograniczenie możliwości powtórzenia się danego typu incydentu w przyszłości;
- Możliwość wsparcia pracowników Zespołu Bezpieczeństwa Klienta przy obsłudze incydentu lokalnie, w jego siedzibie.
Analiza:
- Analiza logów pod kątem zabezpieczenia klienta przed pojawiającymi się nowymi zagrożeniami, nie objętych dotychczasowymi regułami zaimplementowanymi w systemie SIEM jak i procedurami reakcji dla I Linii SOC;
- Analiza logów pod kątem optymalizacji informacji o zagrożeniach w SIEM;
- Proponowanie nowych scenariuszy (reguł korelacyjnych) bezpieczeństwa do wdrożenia w systemie SIEM i propozycje optymalizacji aktualnie działających scenariuszy bezpieczeństwa;
- Proponowanie rozszerzenia zakresu monitorowania o kolejne systemy teleinformatyczne zamawiającego.
Konsultacja i raportowanie:
- Propozycja zabezpieczenia systemu przed przyszłymi podobnymi incydentami, identyfikacja przyczyn problemu oraz jego ew. autorów, wreszcie ewentualnego powiadomienia odpowiednich służb, o ile jest to wskazane lub wymagane;
- Organizacja cokwartalnych spotkań (możliwe spotkania z wykorzystaniem narzędzi wideokonferencyjnych), mających na celu podsumowanie wydarzeń z ostatniego kwartału oraz określeniu możliwości optymalizacji.
SLA dla usługi
- W godzinach roboczych (9:00 – 17:00) czas reakcji liczony jako czas od przekazania incydentu do II linii SOC do podjęcia pierwszych działań przez analityka II linii to 15 min.
- W pozostałych godzinach czas reakcji – 1 godzina.
Ograniczenia:
Usługa jest wyceniona na 40 godzin miesięcznie o dowolnej porze. Przekroczenie powyższej granicy związane będzie z naliczeniem opłaty zgodnie z cennikiem godzinowym.
Opcje świadczenia usługi drugiej linii monitoringu
Typ usługi | Opis |
---|---|
8/5 oraz „On Call” poza godzinami pracy | Wsparcie II Linii SOC w godzinach roboczych i poza godzinami pracy w trybie gotowości „na żądanie”. Oznacza to, że jeśli 1. linia zidentyfikuje istotny problem (Krytyczny lub Wysoki), który wykracza poza jej kompetencje i wymaga natychmiastowego działania, wtedy dyżurny II. linii jest angażowany i podejmuje konieczne działania dotyczące obrony i zabezpieczenia infrastruktury zamawiającego. |