Security Operations Center

Wykrywanie i zapobieganie zdarzeniom związanych z bezpieczeństwem IT, 24 godziny na dobę, 7 dni w tygodniu przez pierwszą linię Monitoringu Bezpieczeństwa.

Pierwsza linia SOC to usługa polegająca na ciągłej obserwacji infrastruktury klienta przez pierwszą linię operatorów SOC, co pozwala wykrywać i informować o zdarzeniach, w momencie ich wykrycia. Operatorzy monitorują dzienniki klienta, procesy oraz systemy używając zaawansowanych technik zbierania i porównywania danych z różnych źródeł. Dzięki temu są w stanie szybko wykryć nietypowe lub niebezpieczne aktywności w infrastrukturze. W momencie wykrycia potencjalnie niebezpiecznej aktywności, operatorzy SOC zapisują i opisują wydarzenie w odpowiednim systemie, powiadamiając klienta poprzez system lub drugą linię operatorów SOC.

SOC24 kluczowe korzyści

SOC24 zapewnia monitoring 24 godziny na dobę 7 dni w tygodniu, zaawansowane usługi drugiej linii oraz zarządzanie usługami bezpieczeństwa. Security Operations Center jest usługą, która pomaga wykrywać i zapobiegać incydentom związanym z bezpieczeństwem IT. Dodatkowo, SOC24 zajmuje się incydentami, wyszukuje zagrożenia, monitoruje dzienniki logów w twoim systemie SIEM i zapewnia okresowe raporty

Monitorowanie, analiza, szczegółowe i proaktywne raportowanie zdarzeń

Odpowiedź pierwszej linii operatorów do 15 minut.

Obsługa incydentów w kontekście scenariuszy reagowania opracowanych wspólnie z klientem

Proaktywne i iteracyjne monitorowanie dzienników w systemie SIEM w celu wykrycia i izolacji, zaawansowanych zagrożeń bezpieczeństwa

Regularne raporty zawierające opisy wykrytych zagrożeń i czas reakcji

Główne zadania Security Operation Center

24x7 Monitoring

Monitorowanie wydarzeń i incydentów występujących w infrastrukturze klienta, na podstawie informacji otrzymanych z konsoli systemu SIEM udostępnionej przez klienta

Threat Hunting

Proaktywne i iteracyjne monitorowanie dzienników w systemie SIEM przez certyfikowanych ekspertów w celu wykrycia i izolacji zaawansowanych zagrożeń bezpieczeństwa, które nie zostały wykryte przez wcześniej ustalone reguły.

Raportowanie

Regularne raporty zawierające opisy, ilość wykrytych zagrożeń oraz czas reakcji

Obsługa zdarzeń

W tym monitorowanie wydarzeń i incydentów, które wystąpiły w infrastrukturze klienta, analizowanie ich i opisywanie ze wszystkimi szczegółami w systemie raportowania.

SLA dla usługi

Czas odpowiedzi: 15 minut

Czas reakcji pierwszej linii operatorów liczony jako czas od pojawienia się incydentu
w systemie SIEM do podjęcia pierwszych działań przez operatorów – 15 min.

Opcje świadczenia usługi SOC24:

Typ usługi
Opis usługi
8/5 Monitorowanie w godzinach roboczych np. od godziny 09:00 do godziny 17:00 w dni powszednie
16/5 + 24/2 Monitorowanie poza godzinami pracy. Operatorzy I linii SOC24 przejmują monitorowanie bezpieczeństwa infrastruktury np. o godz. 17:00 od I linii SOC zamawiającego i przekazuje go z powrotem do I Linii SOC następnego dnia roboczego np. o godz. 09:00. W ramach monitorowania obsługiwane są wszystkie zdarzenia występujące poza godzinami pracy zamawiającego oraz w dni wolne od pracy i święta.
24x7x365 Monitorowanie dwadzieścia cztery godziny przez wszystkie dni roku

Monitoring bezpieczeństwa

Usługa Pierwszej Linii SOC

Monitoring Bezpieczeństwa I linii Security Operation Center (SOC) to usługa, w ramach której operatorzy I Linii Centrum monitorują i alarmują o incydentach bezpieczeństwa wykrytych w infrastrukturze klienta. Obserwują logi, procesy i systemy klienta oraz stosują zaawansowane techniki do zbieranych i porównywania danych z różnych źródeł, w celu wykrycia nietypowej aktywności w infrastrukturze. Po wykryciu ewentualnego incydentu, I Linia Security Operation Center rejestruje i opisuje zdarzenie w systemie rejestracji zgłoszeń oraz powiadamia o tym fakcie służby zamawiającego lub II Linię SOC.

  • Monitorowanie zdarzeń i incydentów pojawiających się w infrastrukturze klienta w oparciu o dane udostępnione przez Zamawiającego z konsoli systemu SIEM i zaimplementowanych tam reguły korelacji.
  • Analiza zdarzeń zgodnie z ustalonymi z Zamawiającym procedurami i scenariuszami, w tym ustalenie typu i poziomu incydentu oraz eliminacja tzw. false-positive.
  • Wystawienie zgłoszenia w systemie obsługi incydentów bezpieczeństwa oraz udokumentowanie w nim wszystkich zebranych informacji na temat danego incydentu.

Obsługa incydentów

Usługa Pierwszej Linii SOC

  • Monitorowanie zdarzeń i incydentów pojawiających się w infrastrukturze klienta w oparciu o dane udostępnione przez Zamawiającego z konsoli systemu SIEM i zaimplementowanych tam reguły korelacji.
  • Analiza zdarzeń zgodnie z ustalonymi z Zamawiającym procedurami i scenariuszami, w tym ustalenie typu i poziomu incydentu oraz eliminacja tzw. false-positive.
  • Wystawienie zgłoszenia w systemie obsługi incydentów bezpieczeństwa oraz udokumentowanie w nim wszystkich zebranych informacji na temat danego incydentu.

Threat hunting

Usługa Pierwszej Linii SOC

Proaktywne i iteracyjne monitorowanie logów w systemie SIEM w celu wykrywania i izolowania zaawansowanych zagrożeń bezpieczeństwa, które nie zostały wykryte przez zdefiniowane reguły korelacyjne.

Monitoring bezpieczeństwa

Zaawansowane usługi Drugiej Linii SOC

Zaawansowane usługi II Linii SOC to rozwinięcie usługi Monitoringu Bezpieczeństwa. W zakres zaawansowanych usług II linii SOC wchodzą zarówno wszystkie zadania analityczne związane z obsługą incydentów jak i proaktywne działania mające na celu jak najlepsze zabezpieczenie infrastruktury zamawiającego, przed ewentualnymi zagrożeniami cybernetycznymi.

Działania II linii SOC realizowane są na bazie zdarzeń zarejestrowanych w systemie SIEM, oraz w innych systemach udostępnionych przez zamawiającego analitykom SOC, jak również na bazie danych z usług bezpieczeństwa udostępnionych zamawiającemu przez SOC24 w modelu Security as a Service.

Druga linia wsparcia działa w trybie 8/5 i poza godzinami pracy, w trybie gotowości „na żądanie”. W przypadku zidentyfikowania przez 1. linię istotnego problemu (krytycznego lub wysokiego), który wykracza poza jej kompetencje i wymaga natychmiastowego działania, dyżurny 2. linii podejmuje konieczne działania dotyczące zabezpieczenia infrastruktury zamawiającego.

 

Zadania Drugiej Linii SOC

Obsługa incydentu:

  1. Zdalna analiza otrzymanego zgłoszenia, zebranie wszystkich niezbędnych informacji do poprawnego obsłużenia incydentu, weryfikacja poprawności i kompletności dostarczonych danych źródłowych;
  2. Dla incydentów o wysokim priorytecie:opracowanie scenariusza mitygacji zagrożenia wynikającego z incydentu oraz wsparcie pracowników zamawiającego przy realizacji przygotowanego scenariusza;
  • Przygotowanie scenariusza działań naprawczych mających na celu usunięcie skutków incydentu;
  • Opracowanie wniosków z incydentu, mających na celu ograniczenie możliwości powtórzenia się danego typu incydentu w przyszłości;
  • Możliwość wsparcia pracowników Zespołu Bezpieczeństwa Klienta przy obsłudze incydentu lokalnie, w jego siedzibie.

Analiza:

  • Analiza logów pod kątem zabezpieczenia klienta przed pojawiającymi się nowymi zagrożeniami, nie objętych dotychczasowymi regułami zaimplementowanymi w systemie SIEM jak i procedurami reakcji dla I Linii SOC;
  • Analiza logów pod kątem optymalizacji informacji o zagrożeniach w SIEM;
  • Proponowanie nowych scenariuszy (reguł korelacyjnych) bezpieczeństwa do wdrożenia w systemie SIEM i propozycje optymalizacji aktualnie działających scenariuszy bezpieczeństwa;
  • Proponowanie rozszerzenia zakresu monitorowania o kolejne systemy teleinformatyczne zamawiającego.

Konsultacja i raportowanie:

  • Propozycja zabezpieczenia systemu przed przyszłymi podobnymi incydentami, identyfikacja przyczyn problemu oraz jego ew. autorów, wreszcie ewentualnego powiadomienia odpowiednich służb, o ile jest to wskazane lub wymagane;
  • Organizacja cokwartalnych spotkań (możliwe spotkania z wykorzystaniem narzędzi wideokonferencyjnych), mających na celu podsumowanie wydarzeń z ostatniego kwartału oraz określeniu możliwości optymalizacji.

SLA dla usługi

  • W godzinach roboczych (9:00 – 17:00) czas reakcji liczony jako czas od przekazania incydentu do II linii SOC do podjęcia pierwszych działań przez analityka II linii to 15 min.
  • W pozostałych godzinach czas reakcji – 1 godzina.

Ograniczenia:

Usługa jest wyceniona na 40 godzin miesięcznie o dowolnej porze. Przekroczenie powyższej granicy związane będzie z naliczeniem opłaty zgodnie z cennikiem godzinowym.

 

Opcje świadczenia usługi drugiej linii monitoringu

Typ usługi Opis
8/5 oraz „On Call” poza godzinami pracy Wsparcie II Linii SOC w godzinach roboczych i poza godzinami pracy w trybie gotowości „na żądanie”. Oznacza to, że jeśli 1. linia zidentyfikuje istotny problem (Krytyczny lub Wysoki), który wykracza poza jej kompetencje i wymaga natychmiastowego działania, wtedy dyżurny II. linii jest angażowany i podejmuje konieczne działania dotyczące obrony i zabezpieczenia infrastruktury zamawiającego.

Chcesz dowiedzieć się więcej?

Skontaktuj się z nami już dzisiaj.

Zadzwoń lub zostaw wiadomość. Nasz zespół jest gotowy, żeby pomóc Twojej organizacji.

Zostaw wiadomość Zadzwoń teraz Poproś o wycenę

Ta witryna korzysta z plików cookie. Kontynuując przeglądanie tej witryny, wyrażasz zgodę na stosowanie przez nas plików cookie. Kliknij tutaj, aby dowiedzieć się więcej.