Wenn Sie Security Monitoring effizient betreiben möchten, benötigen Sie eine gute technische Plattform. terreActive nutzt die Plattform tacSIEM für die Erbringung von Security Monitoring Services wenn

• aus Gründen des Datenschutzes ein Betrieb vor Ort beim Kunden erforderlich ist,
• ein hohes Mass an Anpassungsfähigkeit benötigt wird,
• Log-Volumen-basierte Lizenzkosten reduziert werden sollen,
• Splunk bereits für Log-Management/Betriebsmonitoring verwendet wird.

tacSIEM nutzt das Splunk SIEM Frameworks «Enterprise Security». Darauf betreibt terreActive geprüfte und gepflegte Detektion (Use Cases), die eine breite und zuverlässige Erkennung von Sicherheitsvorfällen gewährleistet.

Kosten senken durch Hybridarchitektur mit tacLOM

Die benötigten Log-Quellen können entweder direkt in Splunk integriert werden oder durch tacLOM vorverarbeitet werden. In diesem Fall sprechen wir von einem «tacSIEM Hybrid». Die reine Splunk-Architektur profitiert von einer breiten Herstellerunterstützung und greift auf das geballte Know-how einer grossen Splunk-Community zurück.
Die Hybrid-Architektur bietet den grossen Vorteil, dass das Log-Volumen deutlich reduziert wird. Durch Vorfilterung, Normalisierung und Langzeitspeicherung der Logs in tacLOM kann das in Splunk zu verarbeitende Log-Volumen um bis zu Faktor 20 gesenkt werden. Des Weiteren können verschiedene Funktionen von tacLOM genutzt werden.

Integration der Cyber-Defense-Plattform

Wir können für Sie Ihre bestehende Sicherheitskomponenten in das tacSIEM integriert, so dass Sie tacSIEM als Single Point of Management für alle sicherheitsrelevanten Meldungen Ihrer Cyber-Defense-Plattform nutzen können

CMDB und AD Integration

Zur besseren Einordnung und Priorisierung von Alarmen kann eine Asset-Datenbank angebunden werden. Asset- und Benutzerdaten aus Ihrer AD werden ebenfalls in das tacSIEM integrieren.

Eigene Qualitätssicherungs- und Managementlösung

Die Use Cases zur Angriffserkennung werden von terreActive in enger Zusammenarbeit mit unseren Pentestern erarbeitet, geprüft und weiterentwickelt. Unsere Use Case Management WebApp ermöglicht Ihnen den direkten Zugriff auf alle benötigten Informationen sowie detaillierte Dokumentationen zu allen Use Cases. Viele Use Cases können mit unserem Use Case Testing Service täglich automatisch getestet werden. Die erforderlichen Abläufe sind dokumentiert, sodass Sie als Kunde diese selber nachvollziehen können.

Darüber hinaus stehen weitere Tools zur Verfügung, um die Funktion des SIEMs zu testen und kundenspezifisch anzupassen. Möglich sind beispielsweise Breach-&-Attack-Simulationen,die auf der Lösung von Safebreach basieren.

Für wen eignet sich ein Security Monitoring mit tacSIEM?   

terreActive empfiehlt den Einsatz von tacSIEM für Unternehmen, die ihre Log-Daten aus Gründen des Datenschutzes vor Ort behalten möchten und/oder ein kosteneffizientes System (Hybridlösung) mit extrem hoher Anpassungsfähigkeit benötigen, um auch spezifische Monitoring-Anforderungen integrieren zu können.

Phasen und Umfang eines Standardprojektes

Wenn Sie mit terreActive ein Security-Monitoring-Projekt basierend auf tacSIEM realisieren möchten, sehen Sie hier, in welchen Phasen wir die Umsetzung für Sie vorbereiten würden:

1.    Konzeption

2.    Installation und Basiskonfiguration

3.    Anbindung von Log-Quellen sicherheitsrelevanter Systeme

• Festlegen des Umfangs der Detektionsregeln
• Einrichten der Detektionsregeln
• Testen der Detektionsregeln
• Ausbringen der Detektionsregeln
• Anreicherung und Feintuning der Regeln

4.    Einrichtung der Alarmierung

• Festlegung des Bereichs und Umfangs der Alarme
• Einrichtung, Test und Feinabstimmung der Alarme

5.    Schulung der Mitarbeitenden

6.    GO-Live des SIEMs im täglichen Betrieb