Что такое SOC as a service (SOCaaS)
SOC as a Service (SOCaaS, SOC как услуга) — это облачная услуга, предоставляющая компании возможности для мониторинга, анализа и защиты ее IT-инфраструктуры от киберугроз.
В отличие от традиционного Security Operations Center (SOC), SOCaaS не требует развертывания и поддержки собственной инфраструктуры, а вместо этого использует внешних поставщиков услуг для постоянного отслеживания и реагирования на инциденты безопасности. Это решение обеспечивает проактивную защиту с помощью специалистов и современных инструментов для обнаружения угроз и управления ими.
SOC as a service UserGate
UserGate предлагает услугу по круглосуточному непрерывному мониторингу событий информационной безопасности в инфраструктуре заказчика — SOC.
Современные тенденции показывают, что атаки на информационные ресурсы происходят 24/7, а значит и защита современной компании должна происходить круглосуточно. Сложность атак постоянно растёт, поэтому для защиты требуется команда экспертов, способных оперативно их распознавать и реагировать на них.
UserGate предлагает доверить управление инцидентами информационной безопасности нашей команде. Вы получите возможность выявлять инциденты на ранних стадиях, отражать атаки в любое время, а также рекомендации по их недопущению в дальнейшем.
Преимущества SOC as a service (SOCaaS)
Преимущества SOCaaS включают:
- сервис, предоставляемый 24/7;
- команду экспертов, нацеленных на защиту вашего бизнеса;
- выявление инцидентов любого уровня сложности;
- возможность сэкономить до 90% по сравнению с выстраиванием своей команды;
- оповещение о критичных инцидентах в срок не более 20 минут;
- помощь в пост-инцидентном ревью для предотвращения повторения инцидента;
- перевод расходов из CAPEX в OPEX;
- быстрое подключение услуги;
- всегда гибкий подход к потребностям вашего бизнеса.
Что входит в SOC as a service
-
Мониторинг событий
Услуга круглосуточного мониторинга событий информационной безопасности включает в себя процесс по регулярному контролю и добавлению источников (в случае необходимости), построению правил корреляции для систем заказчика, а также оповещение об инцидентах в рамках SLA.
-
Подключение и настройка источников событий
На данном этапе происходит подключение к сервису SOC и настройка сбор данных с различных источников событий безопасности в инфраструктуре.
- Разработка и настройка правил выявления инцидентов
Создание и настройка правил корреляции событий информационной безопасности в системах используемых заказчиком с учетом процессов компании, направленное на выявление инцидентов
- Обеспечение непрерывного мониторинга
SOC as a Service работает ежедневно в режиме 24/7 для выявления инцидентов и оповещения о них.
- Регистрация инцидентов и оповещение о них
Происходящие инциденты фиксируются и направляются клиенту на электронную почту. По заранее согласованному плану оповещения в зависимости от критичности инцидента может происходить дополнительное оповещение различными способами, например, по телефону или через мессенджеры. Оповещение о критичных инцидентах происходит не более чем за 20 минут.
- Анализ инцидентов
Включает сбор информации и проведение аналитики по инциденту информационной безопасности, реагирование на инцидент путём предоставления списка рекомендаций необходимых для локализации инцидентов, а также необходимая поддержка по реагированию на инцидент. Клиент получает регулярную отчетность по алертам и инцидентам, происходившим в системах компании.
- Оповещение клиента об инциденте
Оповещение клиента о потенциально опасном событии и предоставление рекомендаций по нейтрализации развития инцидента.
- Выработка мер реагирования
Описание шагов, которые необходимо выполнить в системах клиента для локализации развития инцидента.
- Координация при реагировании
Консультирование по возникающим вопросам и оптимизации действий для локализации инцидента.
- Формирование оперативной отчетности
Используется три вида отчетов:
- Ежемесячный отчет включает информацию о количестве обработанной телеметрии и алертов, перечень и количество зафиксированных инцидентов, статистика по SLA.
- Еженедельный отчет включает перечень обработанных алертов и перечень зафиксированных инцидентов.
- Карточка инцидента, используемая непосредственно для ведения инцидента.
- Аналитика
Предоставление аналитики по произошедшему инциденту, включающей описание действий во время инцидента и проведение ретроспективного анализа по нему для предотвращения подобных инцидентов в дальнейшем.
- Подготовка аналитических отчетов
Законченная карточка инцидента с предоставление данных в формате отчета с подробностями инцидента, включающая таймлайн, описание необходимых мер по реагированию и недопущению повторения инцидента.
