Wie startet man ein SOC- oder SIEM-Projekt?

SOC (Organisation) & SIEM (Tool)

Damit ein SOC Incidents erkennen und darauf reagieren kann, ist ein SIEM notwendig. Das Security Incident & Event Management konsolidiert Logmeldungen aller relevanten Systeme und detektiert Incidents, die anschliessend durch das SOC-Team bearbeitet werden.

Zusammenhang SIEM & Use Cases

Bevor eine SIEM-Lösung implementiert werden kann, muss man wissen, mit welchen Attacken man rechnen muss und welche Use Cases für die Firma relevant sind. Ein Use Case (Anwendungsfall) definiert einen Angriff. Mehrere Cases werden durch eine Security-Monitoring-Lösung in Zusammenhang gebracht, um einen tatsächlichen Angriff auf die Infrastruktur zu erkennen. Für optimalen Schutz benötigt man zu jeder Phase der Cyber Kill Chain die passenden Use Cases. Konzentriert man sich nur auf einen Teil, erhöht sich das Risiko, dass ein Angriff unentdeckt bleibt und Schaden anrichtet.

Was passiert im Workshop?

• Festlegung der schützenswerten Assets

• Definition der Use Cases, abgestimmt auf Firmengegebenheiten, Compliance-Vorgaben und Ressourcen

• Bedarfsermittlung von Logs, Tools und Ressourcen; Priorisierung

• Output: Erstellen einer erste Projektskizze

Keine Zeit verlieren – Ressourcen clever einsetzen

CISOs sollten keine Zeit verlieren, indem sie selbst Use Cases definieren. Stattdessen können sie auf einen Datenstamm mit mehr als 200 Cases der terreActive zurückgreifen, entstanden aus der Erfahrung bereits realisierter Projekte. Nutzen Sie diese!

terreActive AG

5001 Aarau
062 834 00 55
www.security.ch/workshop