Технические решения SOC заказчиков

Интеграция IRP/SOAR (Incident Response Platform/Security Orchestration, Automation and Response) способствует автоматизации и оптимизации процессов обработки инцидентов в сфере информационной безопасности. Применение IRP/SOAR позволяет снизить рабочую нагрузку на аналитиков и уменьшить время отклика на угрозы, что повышает общую производительность системы мониторинга кибербезопасности.

Подходит для тех, кто заинтересован в:

• Использовании IRP/SOAR, но имеет недостаток внутренней экспертизы и опыта для самостоятельного развертывания системы;
• Расширении возможностей мониторинга сложным функционалом реагирования и оркестрации;
• Создании плейбуков (Playbooks) и автоматизации процессов реагирования;
• Агрегации данных об инцидентах, активах и уязвимостях из различных источников;
• Улучшении процессов расследования для сокращения медианного времени обнаружения инцидентов (MTTD), медианного времени реагирования (MTTR) и улучшения внутреннего SLA команды мониторинга;
• Получении новых инструментов для сбора и анализа отчетности по ИБ;
• Доработке и адаптации контента вендора под специфические потребности бизнеса.

Какие задачи решает?

• Сбор требований и выбор решения
  Эксперты IZ:SOC проанализируют требования и выберут IRP/SOAR платформу, которая соответствует поставленным целям и задачам.

• Разработка архитектуры
  Мы проведем глубокий анализ текущей инфраструктуры для проработки архитектуры и сайзинга IRP/SOAR-системы для обеспечения максимальной эффективности.

• Разработка документации
  Мы подготовим необходимую документацию, которая гарантирует успешное внедрение и эксплуатацию системы.

• Настройка, разработка контента и автоматизация
  Мы проведем необходимые работы по настройке, сбору инцидентов из имеющихся источников и их представление в удобном для аналитиков виде. Также составим сценарий реагирования и оркестрации через внешние системы и СЗИ. Еще настроим автоматизацию заведения активов, уязвимостей, настройку отчетности, графиков и дашбордов.

• Базовое обучение
  Организуем обучение команды для эффективного использования функционал IRP/SOAR с первых дней после интеграции.

Организация процесса

• Команда внедрения
  Для реализации проекта сформируют команду внедрения. В нее войдут опытные специалисты под руководством архитектора и руководителя проекта.

• Пилотный проект
  При необходимости мы проведем пилотный проект. Он покажет возможности предлагаемого SIEM-решения и позволит оценить преимущества.

• Сопровождение и мониторинг
  Возможны разные варианты последующего обслуживания внедрённой системы, в том числе передача её на мониторинг в IZ:SOC по смешанной схеме. Это гарантирует максимальную защиту.

Конечный результат

• Готовая к работе IRP/SOAR система
  Вы получите настроенную систему управления инцидентами. Она будет соответствовать специфике инфраструктуры и бизнес-процессам.

• Ускорение реакции на инциденты
• Автоматизация процессов сократит время реакции на инциденты и снизит время обработки ложных срабатываний.

• Полный контроль и отчетность
  Настроенные дашборды и отчеты предоставят помогут без перерыва отслеживать состояние безопасности, выявлять потенциальные уязвимости и оценивать эффективность мер защиты.

• Интеграция с существующими системами
  Систему внедрят с Вашими СЗИ. Благодаря этому у Вас будет единый центр управления инцидентами, который поднимет уровень защиты и устойчивость бизнеса к киберугрозам.

Комплексное внедрение SIEM (Security Information and Event Management) — решение для организаций, предоставляющее полный контроль над событиями ИБ, мониторинг и автоматическое выявление подозрительных действий и инцидентов.

Эксперты IZ:SOC настроят SIEM «под ключ», которая будет точно выявлять как базовые, так и продвинутые кибератаки и нелегитимные действия. Также система сведет к минимуму ложные срабатывания.

Подходит для тех, кто:

• Обладает базовым набором средств защиты информации, но хочет внедрить автоматизированный анализ событий для повышения эффективности защиты;
• Ищет решение для централизованного сбора, обработки и долгосрочного хранения журналов событий ИБ;
• Хочет иметь единую консоль для мониторинга, анализа и расследования инцидентов ИБ;
• Стремится к сокращению времени реакции на инциденты, повышая общую киберустойчивость;
• Ищет возможность ретроспективного анализа событий, чтобы выявлять злоумышленников в системе;
• Должен соблюдать требования регуляторов и нормативных актов, таких как 152-ФЗ, 187-ФЗ, приказы ФСТЭК России №№17, 21, 31, 239 и другие стандарты;
• Имеет технологические сегменты с АСУ ТП, которые относятся к критически важной инфраструктуре (КИИ) с необходимостью передачи инцидентов в ГосСОПКА;
• Обладает командой ИБ специалистов, готовых работать с SIEM ежедневно;
• Планирует переход с иностранного SIEM на отечественный для сохранения контроля и суверенитета данных;
• Готов к построению собственного in-house SOC для получения полной независимости и уверенности в защите.

Какие задачи решает?

• Детальный анализ требований и выбор SIEM-решения
  Эксперты IZ:SOC подберут оптимальное SIEM-решение с учетом российских и зарубежных систем мониторинга. Мы предоставим комплексное внедрение, конфигурирование и обеспечим дальнейшей поддержкой.

• Разработка архитектуры
  Специалисты IZ:SOC проведут глубокий анализ инфраструктуры для проработки архитектуры и сайзинга SIEM-системы. Это даст гарантию на бесперебойную работу и масштабируемость.

• Разработка проектной и эксплуатационной документации
  Мы подготовим всю проектную, эксплуатационную и рабочую документацию, которая будет полностью соответствовать требованиям безопасности и регуляторов.

• Поставка SIEM-решения и пусконаладочные работы
  Мы поставим и настроим систему, включая все необходимые пусконаладочные работы для быстрого запуска и начала эксплуатации.

• Настройка и подключение источников данных
  Наша компания предлагает все виды работ по настройке и подключению любых источников, разработке и адаптации контента обнаружения любой сложности, а также созданию интеграций и элементов визуализации (дашборды и отчеты).

• Базовое обучение работе с SIEM
  Мы проведем обучение всей команды для эффективного использования SIEM с первых дней после внедрения.

Организация процесса

• Команда внедрения
  Для реализации проекта сформируют команду внедрения. В нее войдут опытные специалисты под руководством архитектора и руководителя проекта.

• Пилотный проект
  При необходимости мы проведем пилотный проект. Он покажет возможности предлагаемого SIEM-решения и позволит оценить преимущества.

• Сопровождение и мониторинг
  Возможны разные варианты последующего обслуживания внедрённой системы, в том числе передача её на мониторинг в IZ:SOC по смешанной схеме. Это гарантирует максимальную защиту.

Конечный результат

• Полностью настроенная SIEM-система
  Она обеспечит непрерывный мониторинг угроз ИБ в рамках подключенных источников и заложенной экспертизы.

• Инструмент для аналитиков ИБ
  Встроенная система позволит эффективно выявлять и реагировать на инциденты

Комплексный проект внедрения EDR (Endpoint Detection and Response) актуален для защиты конечных точек и активов организации. Интеграция включает в себя проверку инфраструктуры, поставку EDR и его настройку. В то же время происходит размещение агентов и создание пользовательских материалов для обнаружения.

EDR «под ключ» будет эффективно выявлять и отражать различные атаки, включая сложные угрозы. Также система обнаруживает аномалии в поведении пользователей и предотвращает несанкционированные действия с высокой точностью.

Подходит для тех, кому:

• Нужно защитить свои активы и конечные точки с помощью автоматического обнаружения угроз;
• Необходимо обнаруживать скрытые угрозы, которые не выявляются стандартными средствами аудита ОС, а также контролировать нестандартные и подозрительные действия пользователей, чтобы предотвращать инциденты информационной безопасности в нужный момент;
• Требуется автоматическое обнаружение и устранение угроз, а также функция изоляции заражённых ресурсов и удаления вредоносных файлов для локализации проблем;
• Необходимо заменить иностранное EDR-решение на российский аналог, принимая во внимание все особенности и запросы компании.

Какие задачи решает?

• Сбор информации и выбор решения
  Эксперты IZ:SOC подберут подходящую платформу EDR, которая будет отвечать нуждам вашей компании.

• Планирование архитектуры и сайзинг
  Обследование инфраструктуры, разработка плана архитектуры и определение сайзинга EDR-решения для достижения максимальной производительности и возможности масштабирования.

• Поставка и настройка
  Поставка EDR-решения, выполнение пусконаладочных работ, установка агентов на разные операционные системы, настройка и адаптация материалов для обнаружения угроз (корреляция, индикаторы атак, Yara-правила).

• Интеграции и визуализация
  Создание интеграции с уже существующими системами безопасности и настройка инструментов визуализации (дашборды и отчеты) для удобного и результативного мониторинга.

• Разработка документации
  Подготовка полного пакета проектной, эксплуатационной и рабочей документации, необходимой для успешного внедрения и дальнейшего использования системы.

• Базовое обучение
  Мы научим вашу команду пользоваться функционалом EDR, чтобы она смогла сразу же после внедрения применять все возможности этого решения.

Организация процесса

• Команда внедрения
  Для реализации проекта сформируют команду внедрения. В нее войдут опытные специалисты под руководством архитектора и руководителя проекта.

• Пилотный проект
  При необходимости мы проведем пилотный проект. Он покажет возможности предлагаемого EDR-решения и позволит оценить преимущества.

• Дальнейшее сопровождение и мониторинг
  Возможны разные подходы к дальнейшему обслуживанию установленной системы EDR, например, передача под контроль IZ:SOC по смешанной модели для обеспечения максимальной безопасности.

Конечный результат

• Готовый к работе EDR
  После установки Вы получите рабочую и настроенную систему EDR, которая будет непрерывно отслеживать низкоуровневые угрозы и обеспечивать адекватное реагирование на риски информационной безопасности ваших ресурсов.

• Инструмент для аналитиков ИБ
  EDR превратится в эффективный инструмент для ваших специалистов по ИБ, будет служить источником предупреждений для SIEM и механизмом автоматического реагирования для IRP/SOAR-систем, гарантируя комплексную защиту и контроль.

Внедрение платформы для симуляции кибератак (BAS, Breach and Attack Simulation) — это комплексная услуга по установке и настройке специального программного обеспечения для проверки безопасности инфраструктуры с использованием разных видов кибератак. Решения этого класса помогают выявлять слабые места в системе защиты и оценивать готовность компании противостоять реальным угрозам.

Использование BAS рекомендуется для тех, кто хочет активно участвовать в обеспечении кибербезопасности и самостоятельно оценивать эффективность и надежность защитных мер.

Какие задачи решает?

• Оценка текущего уровня защиты
  BAS-платформа помогает моделировать разные виды атак и способы их осуществления, а также анализировать, насколько хорошо текущие защитные меры справляются с этими угрозами.

• Обнаружение и устранение слабых мест
  BAS-платформа позволяет проводить неограниченное количество симуляций атак и выявлять слабые места защитного контента, которые могут быть не обнаружены при стандартных проверках безопасности и пентестах.

• Обучение и подготовка сотрудников:
  Регулярное проведение симуляций атак способствует повышению готовности команды безопасности к противодействию настоящим угрозам.

• Интеграция с существующими системами безопасности
  Результаты симуляций можно использовать для настройки и улучшения существующих систем безопасности, например, SIEM и EDR.

Конечный результат

• Реалистичное понимание рисков
  Система защиты информации компании пройдет тестирование с использованием актуальных методов и процедур, которые позволяют злоумышленникам применять множество разных способов для каждой атаки. Это даёт возможность оценить эффективность системы ИБ.

• Улучшение процессов и систем безопасности
  Благодаря моделированию атак можно будет внести требуемые коррективы в инфраструктуру и процессы, а также разработать RoadMap по развитию контента обнаружения.

• Повышение готовности к инцидентам ИБ
  Регулярные проверки позволят удостовериться в том, что сотрудники и системы готовы к реальным кибератакам.

Проект внедрения TIP (Threat Intelligence Platform) «под ключ» включает в себя планирование и реализацию всех этапов: от выбора и внедрения TI-платформы до её настройки, подключения фидов и интеграции с SIEM-системой. 

Услуга актуальна для компаний, которые используют SIEM-систему и стремятся автоматизировать процесс получения и использования информации о новых угрозах, атаках (IoA) и индикаторах компрометации (IoC). Также подходит для тех, у кого:

• Возникла необходимость обогащать события и инциденты в SIEM TI-информацией;
• Необходимо устранить дублирование данных от нескольких TI-провайдеров и оптимизировать использование информации об угрозах;
• аналитики и команда мониторинга нуждаются в удобном интерфейсе для работы с большим объёмом TI-информации;
• Фиды подключены через самописные скрипты, которые не справляются с большими объемами данных и требуют замены.

Какие задачи решает?

• Сбор требований и выбор TIP-решения
  Эксперты IZ:SOC соберут требования и подберут необходимую TI-платформу, которая подойдет

• Планирование архитектуры и сайзинга
  Мы тщательно проработаем архитектуру и сайзинг TIP-решения и гарантируем его эффективное функционирование в вашей инфраструктуре

• Разработка документации
  Мы подготовим необходимую документацию, которая требуется для успешной интеграции и последующей эксплуатации TI-платформы.

• Поставка и пусконаладочные работы
  Поставим TI-решения и организуем все необходимые работы для его использования сразу после установки.

• Настройка и интеграция
  Мы настроим системы и подключим любые фиды (STIX/TAXII, кастомные интеграции). Также наладим обмен данными с SIEM и потоковое обогащение событий и/или инцидентов ИБ с приоритизацией угроз.

• Базовое обучение
  Организуем обучение вашей команды по работе с функционалом TIP

Организация процесса

• Команда внедрения
  Для реализации проекта сформируют команду внедрения. В нее войдут опытные специалисты под руководством архитектора и руководителя проекта.

• Пилотный проект
  При необходимости мы проведем пилотный проект. Он покажет возможности предлагаемого TIP-решения и позволит оценить преимущества.

• Сопровождение и экспертиза: 
  Существует несколько вариантов последующего обслуживания внедрённой системы и наполнения её экспертизой лидирующих TI-провайдеров

Конечный результат

• Готовая к работе TI-платформа
  Вы получите полностью настроенную TI-платформу, которая обеспечит непрерывное получение, сбор и дедупликацию индикаторов компрометации (IoC) различных типов (вредоносные IP-адреса, домены, URL, хэш-суммы), а также индикаторов атак (IoA)

• Удобный интерфейс и API
  На платформе будет удобный UI-интерфейс для аналитиков и технический API для потокового обогащения событий в SIEM. Это значительно повысит эффективность работы команды ИБ.

• Рост уровня защиты
  Автоматизация и интеграция TIP с существующими системами обеспечат эффективное управление угрозами и повышают уровень защиты от кибератак.

Модернизация SOC (Security Operations Center) – услуга, которая направлена на обновление и улучшение существующего Центра мониторинга информационной безопасности для повышения его эффективности. Также она помогает адаптироваться к новым угрозам и сделать более эффективными процессы управления инцидентами ИБ.

Услуга нужна организациям, у которых есть SOC, но они сталкиваются с новыми вызовами, требующими повышения уровня ИБ.

Какие задачи решает?

• Оценка текущего состояния и эффективности работы SOC, выявление его слабых сторон и определение перспектив развития.
• Внедрение новых инструментов и технологий, включая обновление SIEM-системы и интеграцию с новыми платформами и решениями, такими как SOAR и EDR.
• Пересмотр и оптимизация процессов управления инцидентами информационной безопасности, анализа угроз и реагирования на них для повышения общей эффективности работы SOC.
• Обучение персонала новым методам работы и использованию обновлённых инструментов для успешной борьбы с новыми угрозами.
• Разработка стратегии развития SOC, включающей долгосрочный план адаптации системы к будущим вызовам и технологиям, а также автоматизацию внутренних процессов.

Конечный результат

• Оптимизация работы SOC, благодаря которой вырастает эффективность обнаружения и устранения угроз;
• Обновленная инфраструктура и улучшенные методы позволяют успешно противостоять различным типам атак и угроз;
• Сокращение издержек на управление инцидентами ИБ;
• Долгосрочная стратегия развития SOC обеспечит его адаптацию к изменениям в области кибербезопасности и технологическим инновациям.