Open Systems hat einen skalierbaren Managed Detection and Response (MDR) Service entwickelt, der einen ganzheitlichen Überblick über die Bedrohungslandschaft unserer Kunden, fortschrittliche automatisierte Bedrohungserkennung und menschliche Intelligenz kombiniert.

MDR in drei überschaubaren Schritten:

  • Sammeln
  • Erkennung und Untersuchung
  • Reaktion

 

Lassen Sie uns einen Blick darauf werfen, wie dies für einen Kunden von Open Systems aussieht.

Sammeln

In der Phase des Sammelns werden Logdaten aus verschiedenen Systemen aggregiert, die für die Zuverlässigkeit des SOC-Betriebs unerlässlich sind.

Zu den Systemen gehören:

  • Endgeräte
  • SASE-Systeme: Firewalls, Secure Web Gateways, Router, Fernzugriffssysteme und verschiedene Cloud-Plattformen (z. B. AWS, O365, SAP, Salesforce)
  • Kontext-Logdaten wie Logs zur Benutzerauthentifizierung (Active Directory), DHCP- oder DNS-Server usw.
  • Kundenbezogene Logdaten.

Alle Daten, die von einem der eingesetzten Open-Systems-Geräte in über 180 Ländern stammen, werden indirekt in die Open Systems Data Platform (OSDP*) übertragen. Auf diese Weise können wir die Verfügbarkeit von Logdaten-Strömen kontinuierlich überwachen und eine durchgängige Verschlüsselung gewährleisten, um die Integrität und Vertraulichkeit Ihrer Daten zu schützen. Vom OSDP* werden Daten in die Microsoft-Sentinel-Instanz des Kunden gezogen. Daten, die von einem Drittanbieter oder Cloud-System stammen, werden direkt in Sentinel mit einem der vielen verfügbaren Konnektoren, einem Syslog oder einer API übertragen.

Sobald sich die Daten in Microsoft Sentinel befinden, gehen wir zur Phase der Erkennung und Untersuchung über.

*Hinweis: in der Lightboard-Lektion als DPP erwähnt

Erkennung und Untersuchung

Wenn sich die Logdaten in Microsoft Sentinel befinden, können Sie direkt mit diesen Daten interagieren, die jederzeit in Ihrem Besitz verbleiben. Für die Erkennung und Untersuchung bietet Open Systems ein geschütztes Automatisierungs-Framework, das kontinuierliche Korrelationen, Erkennungen und Warnungen basierend auf Ihrer Sentinel-Instanz durchführt.

Bedrohungsinformationen gehören zu den Modulen, die das Automatisierungs-Framework nutzt. Als Teil eines zweistufigen Operations Centers betreiben und optimieren die Sicherheitsanalysten von Open Systems regelmässig Bedrohungsinformationen. Die Sicherheitsanalysten führen auch eine manuelle Bedrohungssuche direkt anhand Ihrer Daten in Microsoft Sentinel durch. Sie sind Ihre Hauptansprechpartner für alle Belange rund um den MDR-Service von Open Systems. Sie arbeiten mit Ansprechpartnern Ihrer Wahl zusammen und sind mit Ihrer Infrastruktur, Topologie und Ihren Prozessen bestens vertraut. Die Sicherheitsanalysten treffen sich regelmässig mit Ihnen, um die Entwicklung Ihres MDR-Service zu besprechen und arbeiten direkt mit Ihnen zusammen, wenn es darum geht, von Fall zu Fall auf einen Vorfall zu reagieren.

Reaktion

Sobald ein Vorfall auftritt, erstellt das MDR-Framework automatisch ein Ticket im Kundenportal. Dieses Ticket ist Ihre wichtigste Art der Kommunikation für den Vorfall. Es enthält Kontext und wertvolle Informationen, um bei der Reaktion auf die Warnung zu helfen. Die Sicherheitsingenieure der Ebene 1 des SOC reagieren 24x7 auf diese Tickets. Sie stehen in ständigem und engem Kontakt mit den Sicherheitsanalysten, um eine reibungslose Eskalation kritischer Vorfälle zu gewährleisten.

Die Reaktion erfolgt in verschiedenen Formen. Sie reichen von der automatisierten Filterung von falsch-positiven Warnungen über direkte Mission-Control-Massnahmen in Ihrer Umgebung bis hin zur Zusammenarbeit mit Ihrem Team, wenn erweiterte Bedrohungsszenarien in Aktion sind. Als Kunde können Sie den Grad der Interaktion mit dem MDR-Service so wählen, wie es Ihren Bedürfnissen entspricht.

Open Systems MDR schützt Ihre Organisation, indem das Rauschen herausgefiltert wird, um kleine bis grosse Bedrohungen zu identifizieren, die Ihr Geschäft potenziell gefährden könnten.

Sehen Sie sich das Lightboard-Lernvideo an und erfahren Sie, wie Managed Detection and Response Ihnen helfen kann, Cyberangriffe abzuwehren.