• Zusammenführung der Ergebnisse der Detection und der Security Anlaufstelle in einer zentralen Instanz
  • Automatisierte Bereitstellung von Zusatzinformationen, um eine schnelle Bearbeitung zu ermöglichen
  • Threat Detection auf historischen Daten (historical correlation)
  • Identifizierung von Artefakten zur weiteren Analyse durch Malware- & Forensik-Analysten
  • Online Recherche und Untersuchung des Netzwerkverkehrs
  • Identifizierung von False-Positives und Tuning
  • Proaktive Event Analysen (Threat Hunting)
  • Entwickeln der Prozesse und Parametrierung der Schnittstellen für eine automatisierte Verarbeitung der Informationen
  • Planung und Implementierung der Lösung und herstellen der Interoperabilität
  • Betriebsunterstützung
  • Früherkennung von Bedrohungen und Einleitung von take-down Initiativen
  • Schadensbegrenzung bei Sicherheitsvorfällen durch empfohlene Handlungsanweisungen
  • Implementierung des SOC Frameworks
  • Integration des SOC in die Organisationsstruktur
  • Einbindung des SOC in die Eskalations- und Meldewege innerhalb der Behörde
  • Schnittstellen und Workflows unter Berücksichtigung des 8×5-Betriebes
  • Abstimmung der Prozesse zur Autorisierung der Monitoring-Szenarien (Use Cases)
  • Entwicklung der Standard Operating Procedure
  • Anbindung der Logquellen und Sensoren
  • Erstellung und Abstimmung weiterer Konzepte (Sicherheitskonzept, Datenschutzkonzept, etc.)
  • Betriebsunterstützung im First, Second und Third Level
  • Planung und technischer Aufbau einer hochverfügbaren SIEM LösungNetzwerkzonierungskonzepten

Was tun wir genau und wie läuft Cyber Security ab?

Die Implementierungsleistungen des Auftragnehmers sind in den folgenden Abschnitten dargestellt. Die Gesamtleistung ist in Arbeitspaketen gegliedert. Der nachfolgend beschriebene Leistungsumfang bestimmt die Beschaffenheit des geschuldeten Vertragsgegenstandes abschließend.
Da es zu den hier angebotenen Produkten/Leistungen auch Beschreibungen im Internet gibt, weisen wir darauf hin, dass öffentliche Äußerungen, Anpreisungen oder Werbeaussagen keine zusätzliche Beschaffenheitsangabe der zu liefernden Produkte/Leistungen darstellen.

Annahmen und Voraussetzungen, die nicht zutreffen und eine Auswirkung auf den Projektplan und/oder Aufwand/Kosten haben, unterliegen einer gemeinsamen Abstimmung.

1. Kick-Off Meeting

  • Festlegung aller involvierter Ansprechpartner
  • Festlegung Projektablauf, Termine, Verantwortlichkeiten, techn. Details
  • Detailliertes Erfassen der bereits vorhandenen Systemlandschaft
  • Abstimmung d. organisatorischen Voraussetzungen für die SOAR Integration
  • Abstimmung technischer Voraussetzungen mit dem Auftraggeber
  • Definition der im Projekt zu integrierenden Log Quellen
  • Definition von Form und Umfang des Betriebshandbuches und anderer Dokumentation

2. Durchführung eines Security Assessments

  • Sichten und bewerten der bereits vorhandenen Systemlandschaft
  • Sichten und bewerten der eingesetzten Verfahren und Funktionen
  • Sichten und bewerten der bereits vorhandenen Use Cases
  • Sichten und bewerten der Vorfalls Abarbeitung
  • Erstellen der Security Coverage nach MITRE

3. Aufbau und Implementierung des SOC

  • Erstellung des Einführungskonzeptes und Dokumentation der Unterstützungswerkzeuge
  • Implementation der Use Case Library und der Incident Response Plan Library
  • Kontinuierliche Erweiterung der Security Coverage (optional)
  • Erstellung und Ausgestaltung der SOC Prozesse
  • Beratung zu den einzelnen SOC Services und Unterstützung beim Aufbau
  • Konzeptionierung und Aufbau des Incident Managements

4. Bereitstellung der SOAR Infrastruktur (optional)

  • Installation, Grundkonfiguration und Baselining der Lösung
  • Integration des SOC Management Tools mit dem SIEM
  • Integration möglicher automatisierbarer SOC – Werkzeuge (SOC Toolstack)
  • Erstellung der Incident Templates
  • Aktivierung und Konfiguration vorhandener „Out of the Box“ Run Books und Workflows
  • Evaluierung erster Automatisierungsschritte in den Workflows
  • Konfiguration der automatischen Reaktion
  • Erstellung des Betriebshandbuches

5. First und Second Level Unterstützung

  • 8/5 First und Second Level Bereitschaft für den Übergangszeitraum
  • Erstellen und weiterverfolgen von Incidents
  • Erstellung von Reports
  • Durchführung der Triage und Priorisierung
  • Umsetzen der notwendigen Analysen für die Pre-Incident Response
  • Erkennen und Bearbeiten von Sicherheitsvorfällen
  • Analysieren von Anomalien

6. Third Level Unterstützung

  • Technische Unterstützung bei Jour-Fix
  • Ad-hoc Response bei Angriffen sowie Unterstützung bei Zero Day Mitigation
  • Durchführung der an den Third Level weitergegebenen Analysen
  • Support Anfragen und Case Eröffnung im Namen des Kunden bei den Herstellern
  • Anstoßen und Überwachen der Incident Respons Tasks
  • Prüfen der Threat Intel Ressourcen
  • Erstellen von Sicherheitsberichten
  • Erstellung, Pflege und Aktualisieren des Incident Managements
  • Aufnahme von Anforderungen in Bezug auf das Analysten Team
  • Incident Koordination der Third Level Tickets

7. Content Engineering

  • Technische Unterstützung bei Jour-Fixe
  • Erarbeitung von Empfehlungen für die Response und das Recovery
  • Beratung zur Erweiterung der Cyber Security im SOC
  • Durchführung von präventiven IT-Sicherheitsmaßnahmen
  • Erweiterung der Out of the Box Run Books und Workflows und Evaluierung
  • Lageabhängige Erstellung und Implementation von Runbooks
  • Weiterentwicklung der Automatisierungsschritte in den Workflows

8. Application Operation

  • Applikations-Management der Security Komponenten (Wartung und Administration)
  • Update und Patch Management
  • Optimierung und Weiterentwicklung der Security Infrastruktur
  • Unterstützung beim Reporting
  • Anbindung neuer Log Quellen, Sensoren und der Threat Intelligence Ressourcen
  • Kontinuierliche Verbesserung der Systemdokumentation
  • Erstellung und kontinuierliche Weiterentwicklung des Wartungskonzeptes

9. Schulung

  • Trainertätigkeit vor Ort (je nach Lage ggf. Remote)
  • Schulung der Analysten für den Umgang mit den Security Tools
  • Schulung der Analysten für den Umgang mit den Security Framework
  • Schulung der Analysten auf die implementierten Runbooks
  • Schulung der Analysten für das Incident Management

Was können wir für Sie tun? Kontaktieren Sie uns gerne für ein unverbindliches Erstgespräch.

Nutzen Sie gern das Rückrufformular und wir melden uns umgehend bei Ihnen!

    Ich stimme zu, dass meine Angaben aus dem Kontaktformular zur Beantwortung meiner Anfrage erhoben und verarbeitet werden. Die Daten werden nach abgeschlossener Bearbeitung Ihrer Anfrage gelöscht. Sie können Ihre Einwilligung jederzeit für die Zukunft per E-Mail an info@eyedsec.de widerrufen. Detaillierte Informationen zum Umgang mit Nutzerdaten finden Sie in unserer Datenschutzerklärung.