V rámci dodávky SIEM řešení si uvědomujeme, že dodat a zapojit technologii nestačí. Její úprava na míru a dle potřeb zákazníka je tou největší přidanou hodnotou, která ze SIEM řešení učiní efektivní a mocný nástroj v rukou bezpečnostního monitoringu. V dodávce proto přikládáme zvýšenou pozornost analýze infrastruktury a návrhu detekčních a korelačních pravidel.

Varianty nasazení

Analýza nasazení
  • Spočívá v identifikace veškerých aktiv, která budou monitorována SIEM řešením, včetně stanovení jejich hodnoty, vazeb na další aktiva a stanovení priority jejich připojení. Zejména jsou řešena aktiva, která jsou kritická z pohledu Businessu. Součástí analýzy je rovněž identifikace monitorovacích disponibilit infrastruktury s cílem identifikace limitů bezpečnostního, ale i provozního monitoringu, včetně návrhu na zlepšení monitorovacích disponibilit (strategie rozvoje bezpečnosti). Dále je zpracován plán připojení jednotlivých aktiv (zdrojů logů), a to dle stanovené či doporučené priority. Součástí analýzy je i definování uživatelů a jejich rolí, zde navrhujeme, kteří zaměstnanci a v jakých rolích by do SIEM řešení měli přistupovat, jaké jeho části uvidí a k jakým datům budou mít přístup.
Instalace řešení
  • Provádíme nasazení a instalaci veškerých v Cílovém konceptu navržených součástí řešení. Celá instalace je prováděna v souladu s obecnými zásadami bezpečnosti, a to tak, aby byly naplněny cílové požadavky a byla minimalizována operační a bezpečnostní rizika. Veškeré instalační kroky se v jednotlivých částech řídí dle našich best-practice pro řešení typu SIEM.
Konfigurace řešení
  • Spočívá v integraci aktiv (zdrojů logů) dle architektury logování a v návrhu, implementaci a otestování detekčních a korelačních pravidel.
    • Integrace je realizována zejména na straně SIEM řešení, ale zároveň poskytujeme pomoc i při samotné konfiguraci aktiv (zdrojů logů), a to například v podobě detailních návodů na konfiguraci či asistencí u nastavování.
    • Návrh, implementace a otestování detekčních a korelačních pravidel probíhá ve vazbě na Analýzu rizik v kombinaci s modelováním hrozeb. Pravidla jsou v co možná největší míře přizpůsobena specifickým podmínkám organizace. Samotnou implementací však práce na pravidlech nekončí a je nezbytné je v čase rozvíjet, a to tak, aby reflektovala reálné hrozby a aktuální situaci v infrastruktuře.
Pilotní provoz a dokumentace
  • Celé námi nasazené řešení je otestováno, jsou provedeny akceptační testy, případně testy vysoké dostupnosti a optimalizace korelačních pravidel. Jako poslední je zpracována dokumentace, která popisuje architekturu řešení včetně adresace, integraci na infrastrukturu, připojení zdroje logů včetně metod připojení, vytvořené detekční a korelační pravidla a další relevantní.