Wie startet man ein SOC- oder SIEM-Projekt?
UhrSOC-Projekte sind komplex, Personalressourcen knapp und meist drängt die Zeit. Wo also beginnen? Am besten mit einem Workshop, in dem Angriffsszenarien definiert werden, mit denen das Unternehmen rechnen muss.
SOC (Organisation) & SIEM (Tool)
Damit ein SOC Incidents erkennen und darauf reagieren kann, ist ein SIEM notwendig. Das Security Incident & Event Management konsolidiert Logmeldungen aller relevanten Systeme und detektiert Incidents, die anschliessend durch das SOC-Team bearbeitet werden.
Zusammenhang SIEM & Use Cases
Bevor eine SIEM-Lösung implementiert werden kann, muss man wissen, mit welchen Attacken man rechnen muss und welche Use Cases für die Firma relevant sind. Ein Use Case (Anwendungsfall) definiert einen Angriff. Mehrere Cases werden durch eine Security-Monitoring-Lösung in Zusammenhang gebracht, um einen tatsächlichen Angriff auf die Infrastruktur zu erkennen. Für optimalen Schutz benötigt man zu jeder Phase der Cyber Kill Chain die passenden Use Cases. Konzentriert man sich nur auf einen Teil, erhöht sich das Risiko, dass ein Angriff unentdeckt bleibt und Schaden anrichtet.
Was passiert im Workshop?
Festlegung der schützenswerten Assets
Definition der Use Cases, abgestimmt auf Firmengegebenheiten, Compliance-Vorgaben und Ressourcen
Bedarfsermittlung von Logs, Tools und Ressourcen; Priorisierung
Output: Erstellen einer erste Projektskizze
Keine Zeit verlieren – Ressourcen clever einsetzen
CISOs sollten keine Zeit verlieren, indem sie selbst Use Cases definieren. Stattdessen können sie auf einen Datenstamm mit mehr als 200 Cases der terreActive zurückgreifen, entstanden aus der Erfahrung bereits realisierter Projekte. Nutzen Sie diese!
terreActive AG
5001 Aarau
062 834 00 55
www.security.ch/workshop
Kommentare
« Mehr