Monitoreo de Eventos

Anuncio
Pasión por lo que hacemos
EDSI Trend Argentina
Security Operation Center
Gestión de seguridad centralizada para empresas
A medida que las empresas continúan implementando nuevas soluciones
d e s e g u r i d a d e n d e s k t o p s y s e r v i d o r e s d i s t r i b u i d o s g e o g r á fi c a m e n t e ,
los departamentos de IT comienzan a requerir herramientas sofisticadas de
administración para obtener las métricas mínimas necesarias para lograr un
correcto monitoreo de su estado de seguridad.
Amplíe su equipo de trabajo con
especialistas en seguridad de
contenidos y respalde sus
procesos de negocio.
La perspectiva de las corporaciones
Hoy en día, muchas de las infraestructuras de seguridad implementadas son el resultado
de un proceso evolutivo de largo tiempo. Como consecuencia, una serie de distintas
soluciones residentes en estaciones de trabajo y servidores no se encuentran realmente
integradas, creando desviaciones entre lo deseado y lo implementado. Dichas desviaciones requieren de una gran dedicación de personas y recursos para ser resueltas, muchas
veces demorando así el desarrollo de nuevos proyectos o implementaciones. Es por esto
que muchos de nuestros clientes reconocen este problema como uno de los más importantes a la hora de gestionar y mejorar su infraestructura de seguridad.
La perspectiva de Trend Argentina
Desde Trend Argentina, en conjunto con Trend Micro, buscamos proveer soluciones a
nuestros clientes que puedan ser desplegadas de manera rápida y eficiente, protegiéndolos permanentemente de la constante evolución de las amenazas. Comprendemos que la
mejor forma de maximizar estas soluciones es a través de procesos claros, apoyados en
tecnologías innovadoras y con personas altamente especializadas en la problemática. El
Security Operation Center es el resultado de nuestro esfuerzo en la búsqueda constante por disminuir la exposición de las empresas y sus operaciones, respaldándolos en todo
momento. Buscamos de esta manera ampliar su equipo.
Security Operation Center como Servicio
BENEFICIOS
•
Mejora la gestión de seguridad y
reduce los tiempo de respuesta
•
Administración simplificada con
inversión mínima de tiempo
•
Reducción de riesgos de seguridad y
emisión de alertas por criticidad
•
Análisis periódico de eventos por
especialistas
•
Menores costos en gestión de la
seguridad
Nuestro objetivo principal es colaborar con el equipo de seguridad de nuestros clientes,
disminuyendo la dedicación de tiempo que requiere la administración y monitoreo de las
distintas soluciones de seguridad, recolectando, analizando y gestionando aquellos
eventos que requieran especial atención para garantizar la continuidad digital de sus
negocios.
CARACTERÍSTICAS DEL SERVICIO
Mediante la recepción de los distintos eventos generados por los productos implementados dentro de la red de nuestros clientes, el equipo de respuesta a incidentes de nuestro
Security Operation Center podrá notificar y tomar acción sobre aquellas alertas que
requieran un seguimiento dedicado.
Nuestro servicio es ofrecido en dos niveles, Básico y Avanzado, adecuándose cada uno
a las necesidades de nuestros clientes.
Security Operation Center
Básico
Monitoreo continuo
Notificación de alertas
Apertura proactiva de incidentes y seguimiento
Alertas detalladas de producto
Estado de actualización de productos
Revisiones remotas de Infraestructura
Reportes semanales de gestión
SOC I DATASHEET



Avanzado







EDSI Trend Argentina Av. Corrientes 1386 - Piso 8 - CP C1043ABN Buenos Aires, Argentina
Pagina1 de 4
TREND ARGENTINA I SECURITY OPERATION CENTER
Monitoreo continuo y alertas
Nuestro equipo de operadores recibe permanentemente los eventos de seguridad generados por las soluciones implementadas. Dichos eventos son consolidados y analizados,
para luego generar notificaciones o alertas según la criticidad del incidente detectado.
SECURITY OPERATION CENTER
Apertura proactiva de caso
Si fuera necesario, debido a la naturaleza del evento recibido, nuestro equipo de especialistas se comunicará con el o los contactos designados por el cliente para generar por
parte de Trend Argentina un nuevo incidente de soporte, y de este modo garantizar el
adecuado seguimiento del mismo por parte de nuestro departamento especialistas.
Soporta todas las soluciones de Trend Micro
en sus últimas versiones, incluyendo
Threat Discovery Services.
Alertas detalladas de producto
Algunos productos nos permiten recibir notificaciones ante eventos determinados, tales
como falta de espacio en disco o cantidad de correos encolados. Esta información es
analizada de forma estadística por nuestro personal y en caso de detectar anomalías se
notificará a fin de tomar las acciones resolutivas necesarias para evitar una situación
crítica.
Estado de actualización de los productos
Nuestros especialistas monitorearán el estado de actualización de los productos implementados e inclusive del parque de estaciones de trabajo protegidas con Trend Micro
OfficeScan, determinando el grado de exposición de la solución basado en sus componentes. De ser necesario, nuestro equipo iniciará un caso de soporte para regularizar el
estado de actualización de las soluciones.
Los informes de gestión semanales
junto a las revisiones de infraestructura,
ofrecen un estado real de la situación y
proporcionan permanentes recomendaciones de mejora.
Reportes semanales de gestión
Con una frecuencia semanal, nuestros clientes recibirán un reporte con un detalle del
trabajo conjunto realizado en el período, en donde se indicarán elementos tales como:
incidentes, análisis de riesgo y recomendaciones.
Topologías y Requerimientos mínimos
Debido a la naturaleza de la recolección de eventos del Security Operation Center, el
mismo puede ser implementado utilizando cualquiera de las siguientes topologías, de
acuerdo a las soluciones implementadas en el cliente.
Topología 1
• Trend Micro Control Manager 5.0 o superior
Topología 2
• Trend Micro OfficeScan 8.0 o superior
• Trend Micro InterScan Messaging Security Suite 7.0 o superior
• Trend Micro Web Security Suite 3.1 o superior
• Trend Micro Threat Discovery Service 2.0 o superior
• Trend Micro ScanMail for Exchange 8.0 o superior
• Trend Micro ScanMail for Lotus Domino 5.0 o superior
TM IMSS
TM OSCE
TM IWSS
TM SMEX/SMD
TM SMEX/SMD
Operador
TM IMSS
TM OSCE
TM IWSS
Operador
TMCM
Operador
SOC I DATASHEET
EDSI Trend Argentina Av. Corrientes 1386 - Piso 8 - CP C1043ABN Buenos Aires, Argentina
Pagina 2 of 4
TREND ARGENTINA I SECURITY OPERATION CENTER
Alcances generales del servicio
Factores comunes
•
Todos los niveles de servicio y sus acciones serán brindados de lunes a viernes de 9hs
a 18hs, exceptuando feriados nacionales, según el huso horario de Buenos Aires,
Argentina.
•
El cliente deberá establecer los puntos de contacto entre su personal y el personal de
Trend Argentina, indicando en cada contacto proporcionado los siguientes datos:
Nombre
Dirección de correo electrónico
Teléfono.
¿Recibe alertas de seguridad?
¿Recibe informes de gestión?
•
En caso que un contacto deba ser dado de alta, modificado o eliminado, se deberá
comunicar con el ejecutivo de cuentas asignado en Trend Argentina para realizar la
modificación correspondiente.
•
La normalidad en el funcionamiento del servicio descansa sobre la base de la buena
transmisión de los eventos desde las locaciones del cliente hasta las oficinas de Trend
Argentina, siendo para este punto imprescindible contar con conexión a Internet y
cumplir con los requerimientos mínimos establecidos.
Aquellos servicios que de una u otra manera excedan los alcances de estos factores
comunes, serán marcados de forma explícita en el detalle a continuación:
Monitoreo continuo y alertas
Los distintos productos de la solución Trend Micro tienen la posibilidad de comunicar,
mediante el uso de un protocolo propietario, las detecciones realizadas por cada uno de
ellos dentro de la red del cliente. De esta manera, cada uno de los eventos, sin importar
su resultado, será enviado al Security Operation Center de EDSI Trend Argentina. Una
vez recibidas estas detecciones serán analizadas por un equipo de especialistas técnicos
dentro del horario establecido anteriormente.
Dentro del análisis que realiza el personal de EDSI Trend Argentina, se discriminan aquellos eventos que son meramente informativos y aquellos que ameritan un seguimiento.
Los eventos informativos serán utilizados para fines estadísticos, los cuales serán volcados en los distintos informes y reportes. Aquellos eventos de nivel medio o alto, serán
analizados y seguidos mediante un caso de soporte técnico o alerta de seguridad de ser
necesario.
Apertura proactiva de caso
En todos aquellos eventos que se detecten anomalías, como las siguientes:
•
•
•
•
Segunda acción sobre detección fallida (por ej. Quarantine Fail, Delete Fail, etc)
Fallo en la comunicación entre los distintos agentes monitoreados
Condición anormal de los productos monitoreados
Falla en la actualización de los productos
El personal de Trend Argentina se pondrá en contacto con el personal indicado anteriormente por el cliente para iniciar la apertura del caso correspondiente. Una vez abierto el
incidente, el seguimiento será realizado por:
• Casos de Malware: Equipo de respuesta ante incidentes (SOC).
• Casos de producto: Equipo de soporte resolutivo
SOC I DATASHEET
EDSI Trend Argentina Av. Corrientes 1386 - Piso 8 - CP C1043ABN Buenos Aires, Argentina
Pagina 3 of 4
TREND ARGENTINA I SECURITY OPERATION CENTER
Alertas detalladas de producto
Aquellas alertas que puedan ser generadas desde los mismos productos y tengan relación
con alguna característica especial de estos, serán dirigidas directamente al equipo de
respuestas ante incidencias de Trend Argentina. De esta manera, alertas relacionadas
con, por ejemplo, espacio en disco de la solución, cantidad de correos encolados o detenciones de los servicios del producto, llegarán directamente a nuestro Security Operation
Center para su análisis.
Los eventos serán analizados por nuestro personal, quienes según su criticidad podrán
notificar al contacto del cliente a modo informativo o generar un nuevo caso de Soporte
Técnico. Una vez abierto el incidente, el seguimiento será realizado por:
• Casos de Malware: Equipo de respuesta ante incidentes (SOC).
• Casos de producto: Equipo de soporte resolutivo
Alertas detalladas incluidas hasta el momento:
Trend Micro OfficeScan Corporate Edition:
Epidemia de virus
Epidemia de Spyware
Exceso en las violaciones de políticas de firewall
Trend Micro InterScan Messaging Security Suite:
Exceso de correos en la cola de verificación
Espacio libre en disco por debajo de lo recomendado
El servicio se detuvo más del tiempo estipulado
Trend Micro InterScan Web Security Suite:
Espacio libre en disco por debajo de lo recomendado
Estado de actualización de los productos
Nuestros especialistas observarán el estado de actualización de las distintas soluciones
de Trend Micro implementadas dentro de la red del cliente.
Para la solución de protección de estaciones de trabajo y servidores, Trend Micro OfficeScan Corporate Edition, se analiza tanto el estado de actualización del servidor, como el de
los clientes que dependen de éste. Debido a las distintas características de la red y sus
métodos de despliegue, el equipo del Security Operation Center deberá analizar durante
una semana cuál es el comportamiento “normal” de actualización, realizando observaciones y acciones de corrección o análisis solo cuando estas condiciones normales no se
cumplan.
Para aquellas soluciones que tengan un único punto de actualización y, debido a que su
actualización no impacta directamente sobre enlaces, servicios críticos o características
similares de la red del cliente, se tomará como una solución “desactualizada” o “condición
anormal” toda aquella solución que se encuentre retrasada en cualquiera de sus módulos
en dos versiones de la misma.
Reportes semanales de gestión
De manera semanal, desde el Security Operation Center se emitirán reportes en donde se
podrán evaluar los siguientes indicadores:
Métricas
•
•
•
•
•
•
•
de seguridad
Top Ten de incidentes en la red
Top Ten de incidentes por solución
Detecciones vs infecciones
Distribución de cantidad de incidentes por producto
Análisis estadístico-cronológico de incidentes por capa de protección
Detalle de incidencias a políticas establecidas (mensajería y navegación)
Detalle de actualización de las soluciones
Métricas
•
•
•
de gestión
Detalle de los casos abiertos en el mes
Detalle de los casos cerrados en el mes
Estado de casos abiertos
SOC I DATASHEET
EDSI Trend Argentina Av. Corrientes 1386 - Piso 8 - CP C1043ABN Buenos Aires, Argentina
Pagina 4 of 4
Descargar