Центр безопасности (SOC) как сервис

Подписка на постоянную защиту всей компании

Обеспечение безопасности бизнеса – это комплекс мероприятий со множеством динамичных элементов. H-X объединяет все эти элементы за вас. Security Operations Center (SOC) как услуга – это выгодная альтернатива инвестициям во внедрение и содержание вашего собственного SOC.

H-X предоставляет сервис SOC (SOC as a Service, SOCaaS) с использованием платформ Splunk и FortiSIEM. Это управляемое решение, которое собирает, объединяет и нормализует данные журналов из сотен источников для анализа с использованием искусственного интеллекта, аналитической платформы, аналитики угроз, SIEM и круглосуточного центра управления безопасностью. Это решение выявляет угрозы, такие как, например, некорректные события входа в систему, скоординированные атаки, многофакторный обход и мошеннические агенты.

“Три столпа” нашего SOC

• Технологии: управление журналами событий, управление событиями безопасности, управление инцидентами, автоматизация управления безопасностью и реагирование, аналитика поведения пользователей и машинное обучение, поиск угроз, оркестрация и т.д.
• Процессы: технологические, бизнес-процессы, аналитические, операционные, коммуникационные и др.
• Люди: ИТ-специалисты и инженеры безопасности, аналитики безопасности, группа реагирования на инциденты и т. д.

Технологические возможности

• Платформы управления журналами событий
• Поведение пользователей и анализ сущностей
• Машинное обучение
• Координация и реагирование
• Цифровая криминалистика
• Распределенная облачная платформа с архитектурой высокой доступности и т. д.

В наши возможности входит мониторинг наиболее популярных серверных платформ, сетевых технологий, приложений, баз данных, платформ виртуализации, хранилищ, резервного копирования, облачных платформ и т.д.

Уровни SOC

1. Уровень 1 – аналитики оповещений непрерывно отслеживают очереди оповещений; сортируют оповещения безопасности; следят за исправностью датчиков безопасности и конечных точек; собирают данные и контекст, необходимые для начала работы Уровня 2.
2. Уровень 2 – специалисты по реагированию на инциденты проводят глубокий анализ инцидентов, сопоставляя данные из различных источников; определяют, была ли затронута критическая система или набор данных; консультируют по устранению проблем; обеспечивают поддержку новых аналитических методов обнаружения угроз.
3. Уровень 3 – эксперты в предметных областях и охотники за угрозами обладают глубокими знаниями в области сетей, конечных точек, анализа угроз, криминалистической экспертизы и декомпиляции вредоносных программ, а также проверяют функционирование конкретных приложений или базовой ИТ-инфраструктуры; действуют как «охотники за инцидентами», не дожидаясь их появления; активно участвуют в разработке, настройке и внедрении аналитики обнаружения угроз.

Мы разработаем для вас наиболее подходящий защитный механизм, соответствующий вашему конкретному профилю рисков.

Как выбрать поставщика услуг SOC-as-service?

Выбирая поставщика услуг SOCaaS, проверьте, предоставляют ли они:

• Соответствие стандартам и нормативным требованиям, которым должна соответствовать ваша организация (PCI DSS и т. д.).
• Хранение необработанных журналов в течение необходимого периода времени.
• Гибкость в расположении сотрудников SOC и SIEM в соответствии с вашими предпочтениями и ограничениями.
• Услуги по усилению безопасности (hardening).
• Платформу SIEM согласно вашим предпочтениям.
• Мульти-тенантные консоли управления.
• Страхование кибер-рисков.

Обращайте внимание на SLA, например:

• Уровень 1 – обнаружение инцидента и первоначальное уведомление должны быть в течение 1 часа. Возможность получать начальные уведомления уровня 1.
• Уровень 2 – проверка и уведомление об инцидентах в течение 2 часов. В случае SOC без полномочий (только мониторинг), максимальный процент ложных срабатываний. В случае полномасштабного SOC, полное восстановление после инцидента в течение 72 часов.
• Уровень 3 – количество общих индикаторов компрометации, открытых источников, собственных источников аналитики угроз, источников Deep Web и Dark Web.

Базовый сервис SOC

• Мониторинг, обнаружение и анализ потенциальных вторжений в режиме реального времени и на основе исторических тенденций источников данных по безопасности.
• Реагирование на подтвержденные инциденты посредством уведомлений об инцидентах безопасности (эскалации) с информацией об атаках, угрозах, уязвимостях, затронутых системах и рекомендациями о том, как уменьшить ущерб от инцидентов и уязвимостей.
• Участие в координации ресурсов и принятии своевременных и соответствующих контрмер для реагирования на инциденты.
• Уровень 1 (аналитики реагирования на угрозы), уровень 2 (инженеры реагирования на инциденты) и уровень 3 (эксперты в предметной области и охотники за угрозами).
• Технологии: FortiSIEM, Kubernetes, Graylog, Elasticsearch, Logstash, Kibana, syslog-ng, Ansible, Splunk и др.

Резюме сервиса

Ознакомьтесь с дополнительными сервисами и бизнес-кейсами. Отправьте форму ниже для заказа SOC как сервиса. Получите бесплатную консультацию.