Incident Response Center (IRC)
Incident Response Center (IRC)
Incidents (Vorfälle) passieren. Gut vorgesorgt hat, wem dann ein professionelles Team zur Seite steht, das ihm hilft den Vorfall zu bearbeiten und zu beseitigen. Dies ist die Hauptaufgabe des Incident Response Centers (IRC). Es reagiert 7x24 auf jeden Alarm und informiert nach Bedarf.
Im IRC arbeiten Security Experten mit unterschiedlichem Fachwissen. Der Kunde profitiert vom Wissen des entsprechenden Experten ohne diesen 100% anstellen oder buchen zu müssen.
Übrigens: Unser IRC-Team wurde von Splunk mit dem "Boss of the SOC" Awardausgezeichnet.
Welche Services braucht Ihr SOC?
Der modulare Servicekatalog bietet dem Kunden die Flexibilität die einzelnen Services gemäss seinen Bedürfnissen zusammenzustellen. Pro Quartal können weitere Module dazu gebucht oder auch wieder abbestellt werden. Die SOC-Services können auch auf bereits bestehenden Lösungen aufbauen. Der Kunde muss also ein schon installiertes SIEM nicht ersetzen.
Wer macht was?
Was bleibt beim Kunden und wo übernimmt terreActive? Wenn aufgrund fehlender Ressourcen z. B. eine regelmässige Threat Detection nicht möglich ist, kann die Verantwortung für diesen Service an terreActive übertragen werden. terreActive passt sich den Bedürfnissen der Kunden an und offeriert verschiedene Varianten der Zusammenarbeit.
Rollen und Aufgaben im IRC
Der Kunde bestimmt welche Services (Rollen und Aufgaben) er benötigt und fügt diese zu seinem SOC-Gesamtbild zusammen. Dabei können einige Services vom Kunden selbst erbracht werden und andere von terreActive.
Der Kunde benötigt im nächsten Quartal 30 % Threat Detection, aber nur 20 % Security Monitoring Tuning und 20 % Incident Management? Kein Problem.
Servicekatalog: Sie bezahlen nur, was Sie brauchen
Aus dem vordefinierten Servicekatalog wählt der Kunde Dienstleistungen aus. Das hilft Kosten zu sparen, da man die Services pro Jobrolle, Aufgabe und Häufigkeit individuell zusammenstellt. Der Kunde bezahlt nur, was er braucht.
Wie das SOC der terreActive arbeitet
Das SOC arbeitet nach anerkannten Prozessen und setzt auf die standardisierte Methodik des Security Monitoring Cycles. Mit dieser Methode erzielt man schnell erste Resultate und kann sein Unternehmen effizient vor Angriffen schützen.
Mehr zum Cycle für die kontinuierliche Optimierung: www.terreactive.ch/security-monitoring/cycle
Servicekatalog
Wählen Sie aus, was auf Ihre Organisation passt:
Security Monitoring Enhancement
Der Security Engineer entwickelt neue Use Cases gemäss Kundenbedürfnissen. Er integriert neue Datenquellen und setzt Fusion Analytics zur Qualitätsverbesserung ein.
Security Monitoring Tuning
Hier steht die Verbesserung der SIEM-Qualität im Vordergrund. Erkenntnisse aus dem täglichen SOC-Betrieb fliessen ein und sorgen für kontinuierliches Tuning. Zusätzlich werden die Daten über Event Packs oder andere SIEM Konfigurationen verdichtet, was die Qualität der SIEM Lösung verbessert und zu weniger Fehlalarmen führt.
Threat Detection
Hier muss schnell zwischen False-Positives und effektiven Vorfällen unterschieden werden. Ein Analyst macht die Erstbeurteilung, bevor weitere Massnahmen ausgelöst werden. Dies reduziert den Aufwand und führt zu einer Entlastung der Kundenorganisation. Zu den Arbeiten in diesem Bereich gehört auch die periodische Überprüfungen des SIEMs auf korrekte Funktion.
Threat Intelligence
Unsere Erfahrung und Analysen aus allen Projekten fliessen in unseren eigenen Threat Intelligence Feed ein. Dieser kann automatisiert werden und bei Kunden zur Aufdeckung von und zum Schutz vor Bedrohungen dienen.
Incident Management
Zu den Arbeiten, die hier von terreActive übernommen werden, gehört die Bekämpfung von Angriffen inklusive einer standardmässigen forensischen Analyse.
Threat Hunting
terreActive sucht nach APTs und Anomalien, welche nicht automatisch erkannt werden. Wir besprechen die Erkenntnisse mit dem Kunden und pflegen sie in die Security Monitoring Plattform ein.
Vulnerability Management
terreActive deckt Schwachstellen auf, priorisiert die Vorfälle anhand möglicher Auswirkungen und löst bei Bedarf Alarm aus. Zusätzlich können Klassifizierungen und Zusammenfassungen für das Management erstellt werden.
Security Monitoring Reporting
Der Site Manager priorisiert Vorfälle und ihre möglichen Auswirkungen. Er bespricht diese mit dem Kunden und liefert Input für die Verbesserung der IT-Sicherheit.
Compliance Reporting
terreActive liefert Reports für verschiedene Compliance Anforderungen, welche sich an NIST, ISO, FINMA etc. orientieren.
SOC Support
Der Support kümmert sich um das Management aller SOC-Services. Er priorisiert Aufgaben und Ressourcen.