SIEM – IBM Security QRadar

SIEM – IBM Security QRadar

20. 12. 2021
Základním krokem konfigurace mimo napojení zdrojů byla kategorizace bezpečnostních událostí a vypracování databáze desítek scénářů nasazení a opatření.

Naši klienti si stále častěji pořizují technologie typu SIEM, které pomáhají dohlížet na bezpečnost jejich informačních systémů – jak IT infrastruktury, tak síťových prvků či prvků ochrany perimetru. Zároveň zajišťují bezpečnostní analýzy logů pořizovaných těmito a dalšími provozními technologiemi. Hlavním cílem implementace SIEMu je ulehčit práci IT týmu a bezpečnostnímu oddělení a doplnit běžnou administrativní činnost o komplexní analýzy bezpečnostních dat.

Jednou z našich největších referencí v je klient z oblasti městské správy, který implementoval SIEM technologii využitou ke správě rozsáhlé a distribuované infrastruktury.

Poté, co dodavatel technologie (konkrétně IBM Security QRadarTM) provedl instalaci a základní konfiguraci a předal systém našemu klientovi, rozvinuli jsme tuto konfiguraci napojením relevantních vstupních zdrojů do SIEMu. Tím je zajištěno, že se zpracovávají smysluplná data. Tento krok je klíčový, protože generická implementace obvykle neodráží složitý ekosystém všech důležitých klientských systémů, a tím není SIEM efektivně využíván. Navíc pouhá základní implementace nezajistí správnou a včasnou detekci a prevenci vzniku bezpečnostních incidentů a napadení systémů.

Základním krokem konfigurace mimo napojení zdrojů byla kategorizace bezpečnostních událostí a vypracování databáze desítek scénářů nasazení a opatření – tzv. use cases, které se v rámci řešení prioritně sledují. Nyní se zabýváme jen tím, co je důležité.

Po prvotním rozšíření konfigurace jsme nastavili pravidelné aktualizace a tvorbu nových use cases, časté revize napojených zdrojů a jejich rozšiřování tak, jak klient staví či mění svou infrastrukturu.

S klientem pravidelně procházíme výsledky fungování SIEMu, a navíc má kdykoliv k dispozici náhled v reálném čase na fungování a efektivitu řešení, které může využít v případě auditu pro prokázání smysluplnosti investice. Nyní má klient v ruce přesvědčivá data.

Dalším logickým krokem bylo napojení SIEM výstupů do dalších systémů a služeb, které pomáhají udržovat přehled a interpretovat průběžné výsledky sledování. Jedná se zejména o nadstavbu IBM Security SOAR Platform (dříve Resilient) a 24/7 službu bezpečnostního dohledu NGSS SOC a reakčního teamu CSIRT.

Významnými dalšími kroky jsou revize stávajících a návrhy nových opatření v systému řízení bezpečnosti informací (tedy bezpečnosti procesů a postupů v organizaci), a to v oblasti zejména analýzy rizik a zvládání bezpečnostních incidentů.

Celé řešení pravidelně testujeme pomocí útoků simulovaných naší službou bezpečnostního testování. V tomto testování pokračujeme každého čtvrt roku, výsledky testů bezpečnosti skvěle doplňují informace o výskytu zranitelností na sledovaných i jiných systémech klienta. Nyní je informace o stavu bezpečnosti sledovaných systémů úplná.

Podobným způsobem uvádíme v život SIEM systémy i u jiných našich klientů. Společným jmenovatelem a cílem je zvýšení bezpečnostního přehledu nad technologiemi a minimalizace vzniku bezpečnostních incidentů a prevence kybernetických útoků.

Nechte nám na sebe kontakt a společně najdeme ideální řešení pro vaši bezpečnost

Jaromír Žák
Jaromír Žák
Ředitel
Jaromír se podílí na rozvoji a strategii našeho businessu a zodpovídá za kvalitu veškerých služeb.
Rychlý kontakt
Náš konzultant se vám ozve do 24 hodin od poptávky.
Individuální přístup
Poradíme vám s vaším problémem a najdeme pro vás ideální řešení na míru.
Náskok před konkurencí
Kromě toho, co vás zajímá, si vždy odnesete i něco navíc, abyste byli neustále krok před konkurencí.
NEXT GENERATION SECURITY SOLUTIONS s.r.o.
U Uranie 18, 170 00 Praha 7

IČ: 06291031
DIČ: CZ06291031

NGSS má zaveden systém řízení bezpečnosti informací dle normy ČSN ISO/IEC 27001:2014. Politika systému řízení bezpečnosti informací (ISMS) NGSS zde.
Etický kodex
Nevíte si rady?
Ozvěte se nám.