Incident Response Center (IRC)

Incident Response Center (IRC)

Incidents (Vorfälle) passieren. Gut vorgesorgt hat, wem dann ein professionelles Team zur Seite steht, das ihm hilft den Vorfall zu bearbeiten und zu beseitigen. Dies ist die Hauptaufgabe des Incident Response Centers (IRC). Es reagiert 7x24 auf jeden Alarm und informiert nach Bedarf.

Im IRC arbeiten Security Experten mit unterschiedlichem Fachwissen. Der Kunde profitiert vom Wissen des entsprechenden Experten ohne diesen 100% anstellen oder buchen zu müssen.

Übrigens: Unser IRC-Team wurde von Splunk mit dem "Boss of the SOC" Awardausgezeichnet.

Welche Services braucht Ihr SOC?

Der modulare Servicekatalog bietet dem Kunden die Flexibilität die einzelnen Services gemäss seinen Bedürfnissen zusammenzustellen. Pro Quartal können weitere Module dazu gebucht oder auch wieder abbestellt werden. Die SOC-Services können auch auf bereits bestehenden Lösungen aufbauen. Der Kunde muss also ein schon installiertes SIEM nicht ersetzen.

 

IRC Service Cataloque

Wer macht was?

Was bleibt beim Kunden und wo übernimmt terreActive? Wenn aufgrund fehlender Ressourcen z. B. eine regelmässige Threat Detection nicht möglich ist, kann die Verantwortung für diesen Service an terreActive übertragen werden. terreActive passt sich den Bedürfnissen der Kunden an und offeriert verschiedene Varianten der Zusammenarbeit.

Rollen und Aufgaben im IRC

Der Kunde bestimmt welche Services (Rollen und Aufgaben) er benötigt und fügt diese zu seinem SOC-Gesamtbild zusammen. Dabei können einige Services vom Kunden selbst erbracht werden und andere von terreActive.
Der Kunde benötigt im nächsten Quartal 30 % Threat Detection, aber nur 20 % Security Monitoring Tuning und 20 % Incident Management? Kein Problem.

Servicekatalog: Sie bezahlen nur, was Sie brauchen

Aus dem vordefinierten Servicekatalog wählt der Kunde Dienstleistungen aus. Das hilft Kosten zu sparen, da man die Services pro Jobrolle, Aufgabe und Häufigkeit individuell zusammenstellt. Der Kunde bezahlt nur, was er braucht.

Wie das SOC der terreActive arbeitet

Das SOC arbeitet nach anerkannten Prozessen und setzt auf die standardisierte Methodik des Security Monitoring Cycles. Mit dieser Methode erzielt man schnell erste Resultate und kann sein Unternehmen effizient vor Angriffen schützen.

Mehr zum Cycle für die kontinuierliche Optimierung: www.terreactive.ch/security-monitoring/cycle

Servicekatalog

Wählen Sie aus, was auf Ihre Organisation passt:

Security Monitoring Enhancement

Der Security Engineer entwickelt neue Use Cases gemäss Kundenbedürfnissen. Er integriert neue Datenquellen und setzt Fusion Analytics zur Qualitätsverbesserung ein.

Security Monitoring Tuning

Hier steht die Verbesserung der SIEM-Qualität im Vordergrund. Erkenntnisse aus dem täglichen SOC-Betrieb fliessen ein und sorgen für kontinuierliches Tuning. Zusätzlich werden die Daten über Event Packs oder andere SIEM Konfigurationen verdichtet, was die Qualität der SIEM Lösung verbessert und zu weniger Fehlalarmen führt.


Threat Detection

Hier muss schnell zwischen False-Positives und effektiven Vorfällen unterschieden werden. Ein Analyst macht die Erstbeurteilung, bevor weitere Massnahmen ausgelöst werden. Dies reduziert den Aufwand und führt zu einer Entlastung der Kundenorganisation. Zu den Arbeiten in diesem Bereich gehört auch die periodische Überprüfungen des SIEMs auf korrekte Funktion.

Threat Intelligence

Unsere Erfahrung und Analysen aus allen Projekten fliessen in unseren eigenen Threat Intelligence Feed ein. Dieser kann automatisiert werden und bei Kunden zur Aufdeckung von und zum Schutz vor Bedrohungen dienen.


Incident Management

Zu den Arbeiten, die hier von terreActive übernommen werden, gehört die Bekämpfung von Angriffen inklusive einer standardmässigen forensischen Analyse.

Threat Hunting

terreActive sucht nach APTs und Anomalien, welche nicht automatisch erkannt werden. Wir besprechen die Erkenntnisse mit dem Kunden und pflegen sie in die Security Monitoring Plattform ein.

Vulnerability Management

terreActive deckt Schwachstellen auf, priorisiert die Vorfälle anhand möglicher Auswirkungen und löst bei Bedarf Alarm aus. Zusätzlich können Klassifizierungen und Zusammenfassungen für das Management erstellt werden.


Security Monitoring Reporting

Der Site Manager priorisiert Vorfälle und ihre möglichen Auswirkungen. Er bespricht diese mit dem Kunden und liefert Input für die Verbesserung der IT-Sicherheit.

Compliance Reporting

terreActive liefert Reports für verschiedene Compliance Anforderungen, welche sich an NIST, ISO, FINMA etc. orientieren.

SOC Support

Der Support kümmert sich um das Management aller SOC-Services. Er priorisiert Aufgaben und Ressourcen.

 

Was Sie auch noch interessieren könnte
Managed Cyber Deception
Proaktive Verteidigung und Täuschung der Angreifer
Operation Control Center
Das IRC ist nur ein Teil vom SOC. Der andere Teil ist das OCC, das sich um den Betrieb und den Unterhalt von Sicherheitskomponenten kümmert.
Security Monitoring
Security Monitoring ist ein Schwerpunkt im SOC. Lesen Sie hier nach welcher Methode wir dabei vorgehen.
Cyber Defense Workshop
Sie möchten ein SOC- oder SIEM-Projekt starten, wissen aber nicht recht wo beginnen? Dann hilft Ihnen dieser Workshop.