Pasión por lo que hacemos EDSI Trend Argentina Security Operation Center Gestión de seguridad centralizada para empresas A medida que las empresas continúan implementando nuevas soluciones d e s e g u r i d a d e n d e s k t o p s y s e r v i d o r e s d i s t r i b u i d o s g e o g r á fi c a m e n t e , los departamentos de IT comienzan a requerir herramientas sofisticadas de administración para obtener las métricas mínimas necesarias para lograr un correcto monitoreo de su estado de seguridad. Amplíe su equipo de trabajo con especialistas en seguridad de contenidos y respalde sus procesos de negocio. La perspectiva de las corporaciones Hoy en día, muchas de las infraestructuras de seguridad implementadas son el resultado de un proceso evolutivo de largo tiempo. Como consecuencia, una serie de distintas soluciones residentes en estaciones de trabajo y servidores no se encuentran realmente integradas, creando desviaciones entre lo deseado y lo implementado. Dichas desviaciones requieren de una gran dedicación de personas y recursos para ser resueltas, muchas veces demorando así el desarrollo de nuevos proyectos o implementaciones. Es por esto que muchos de nuestros clientes reconocen este problema como uno de los más importantes a la hora de gestionar y mejorar su infraestructura de seguridad. La perspectiva de Trend Argentina Desde Trend Argentina, en conjunto con Trend Micro, buscamos proveer soluciones a nuestros clientes que puedan ser desplegadas de manera rápida y eficiente, protegiéndolos permanentemente de la constante evolución de las amenazas. Comprendemos que la mejor forma de maximizar estas soluciones es a través de procesos claros, apoyados en tecnologías innovadoras y con personas altamente especializadas en la problemática. El Security Operation Center es el resultado de nuestro esfuerzo en la búsqueda constante por disminuir la exposición de las empresas y sus operaciones, respaldándolos en todo momento. Buscamos de esta manera ampliar su equipo. Security Operation Center como Servicio BENEFICIOS • Mejora la gestión de seguridad y reduce los tiempo de respuesta • Administración simplificada con inversión mínima de tiempo • Reducción de riesgos de seguridad y emisión de alertas por criticidad • Análisis periódico de eventos por especialistas • Menores costos en gestión de la seguridad Nuestro objetivo principal es colaborar con el equipo de seguridad de nuestros clientes, disminuyendo la dedicación de tiempo que requiere la administración y monitoreo de las distintas soluciones de seguridad, recolectando, analizando y gestionando aquellos eventos que requieran especial atención para garantizar la continuidad digital de sus negocios. CARACTERÍSTICAS DEL SERVICIO Mediante la recepción de los distintos eventos generados por los productos implementados dentro de la red de nuestros clientes, el equipo de respuesta a incidentes de nuestro Security Operation Center podrá notificar y tomar acción sobre aquellas alertas que requieran un seguimiento dedicado. Nuestro servicio es ofrecido en dos niveles, Básico y Avanzado, adecuándose cada uno a las necesidades de nuestros clientes. Security Operation Center Básico Monitoreo continuo Notificación de alertas Apertura proactiva de incidentes y seguimiento Alertas detalladas de producto Estado de actualización de productos Revisiones remotas de Infraestructura Reportes semanales de gestión SOC I DATASHEET Avanzado EDSI Trend Argentina Av. Corrientes 1386 - Piso 8 - CP C1043ABN Buenos Aires, Argentina Pagina1 de 4 TREND ARGENTINA I SECURITY OPERATION CENTER Monitoreo continuo y alertas Nuestro equipo de operadores recibe permanentemente los eventos de seguridad generados por las soluciones implementadas. Dichos eventos son consolidados y analizados, para luego generar notificaciones o alertas según la criticidad del incidente detectado. SECURITY OPERATION CENTER Apertura proactiva de caso Si fuera necesario, debido a la naturaleza del evento recibido, nuestro equipo de especialistas se comunicará con el o los contactos designados por el cliente para generar por parte de Trend Argentina un nuevo incidente de soporte, y de este modo garantizar el adecuado seguimiento del mismo por parte de nuestro departamento especialistas. Soporta todas las soluciones de Trend Micro en sus últimas versiones, incluyendo Threat Discovery Services. Alertas detalladas de producto Algunos productos nos permiten recibir notificaciones ante eventos determinados, tales como falta de espacio en disco o cantidad de correos encolados. Esta información es analizada de forma estadística por nuestro personal y en caso de detectar anomalías se notificará a fin de tomar las acciones resolutivas necesarias para evitar una situación crítica. Estado de actualización de los productos Nuestros especialistas monitorearán el estado de actualización de los productos implementados e inclusive del parque de estaciones de trabajo protegidas con Trend Micro OfficeScan, determinando el grado de exposición de la solución basado en sus componentes. De ser necesario, nuestro equipo iniciará un caso de soporte para regularizar el estado de actualización de las soluciones. Los informes de gestión semanales junto a las revisiones de infraestructura, ofrecen un estado real de la situación y proporcionan permanentes recomendaciones de mejora. Reportes semanales de gestión Con una frecuencia semanal, nuestros clientes recibirán un reporte con un detalle del trabajo conjunto realizado en el período, en donde se indicarán elementos tales como: incidentes, análisis de riesgo y recomendaciones. Topologías y Requerimientos mínimos Debido a la naturaleza de la recolección de eventos del Security Operation Center, el mismo puede ser implementado utilizando cualquiera de las siguientes topologías, de acuerdo a las soluciones implementadas en el cliente. Topología 1 • Trend Micro Control Manager 5.0 o superior Topología 2 • Trend Micro OfficeScan 8.0 o superior • Trend Micro InterScan Messaging Security Suite 7.0 o superior • Trend Micro Web Security Suite 3.1 o superior • Trend Micro Threat Discovery Service 2.0 o superior • Trend Micro ScanMail for Exchange 8.0 o superior • Trend Micro ScanMail for Lotus Domino 5.0 o superior TM IMSS TM OSCE TM IWSS TM SMEX/SMD TM SMEX/SMD Operador TM IMSS TM OSCE TM IWSS Operador TMCM Operador SOC I DATASHEET EDSI Trend Argentina Av. Corrientes 1386 - Piso 8 - CP C1043ABN Buenos Aires, Argentina Pagina 2 of 4 TREND ARGENTINA I SECURITY OPERATION CENTER Alcances generales del servicio Factores comunes • Todos los niveles de servicio y sus acciones serán brindados de lunes a viernes de 9hs a 18hs, exceptuando feriados nacionales, según el huso horario de Buenos Aires, Argentina. • El cliente deberá establecer los puntos de contacto entre su personal y el personal de Trend Argentina, indicando en cada contacto proporcionado los siguientes datos: Nombre Dirección de correo electrónico Teléfono. ¿Recibe alertas de seguridad? ¿Recibe informes de gestión? • En caso que un contacto deba ser dado de alta, modificado o eliminado, se deberá comunicar con el ejecutivo de cuentas asignado en Trend Argentina para realizar la modificación correspondiente. • La normalidad en el funcionamiento del servicio descansa sobre la base de la buena transmisión de los eventos desde las locaciones del cliente hasta las oficinas de Trend Argentina, siendo para este punto imprescindible contar con conexión a Internet y cumplir con los requerimientos mínimos establecidos. Aquellos servicios que de una u otra manera excedan los alcances de estos factores comunes, serán marcados de forma explícita en el detalle a continuación: Monitoreo continuo y alertas Los distintos productos de la solución Trend Micro tienen la posibilidad de comunicar, mediante el uso de un protocolo propietario, las detecciones realizadas por cada uno de ellos dentro de la red del cliente. De esta manera, cada uno de los eventos, sin importar su resultado, será enviado al Security Operation Center de EDSI Trend Argentina. Una vez recibidas estas detecciones serán analizadas por un equipo de especialistas técnicos dentro del horario establecido anteriormente. Dentro del análisis que realiza el personal de EDSI Trend Argentina, se discriminan aquellos eventos que son meramente informativos y aquellos que ameritan un seguimiento. Los eventos informativos serán utilizados para fines estadísticos, los cuales serán volcados en los distintos informes y reportes. Aquellos eventos de nivel medio o alto, serán analizados y seguidos mediante un caso de soporte técnico o alerta de seguridad de ser necesario. Apertura proactiva de caso En todos aquellos eventos que se detecten anomalías, como las siguientes: • • • • Segunda acción sobre detección fallida (por ej. Quarantine Fail, Delete Fail, etc) Fallo en la comunicación entre los distintos agentes monitoreados Condición anormal de los productos monitoreados Falla en la actualización de los productos El personal de Trend Argentina se pondrá en contacto con el personal indicado anteriormente por el cliente para iniciar la apertura del caso correspondiente. Una vez abierto el incidente, el seguimiento será realizado por: • Casos de Malware: Equipo de respuesta ante incidentes (SOC). • Casos de producto: Equipo de soporte resolutivo SOC I DATASHEET EDSI Trend Argentina Av. Corrientes 1386 - Piso 8 - CP C1043ABN Buenos Aires, Argentina Pagina 3 of 4 TREND ARGENTINA I SECURITY OPERATION CENTER Alertas detalladas de producto Aquellas alertas que puedan ser generadas desde los mismos productos y tengan relación con alguna característica especial de estos, serán dirigidas directamente al equipo de respuestas ante incidencias de Trend Argentina. De esta manera, alertas relacionadas con, por ejemplo, espacio en disco de la solución, cantidad de correos encolados o detenciones de los servicios del producto, llegarán directamente a nuestro Security Operation Center para su análisis. Los eventos serán analizados por nuestro personal, quienes según su criticidad podrán notificar al contacto del cliente a modo informativo o generar un nuevo caso de Soporte Técnico. Una vez abierto el incidente, el seguimiento será realizado por: • Casos de Malware: Equipo de respuesta ante incidentes (SOC). • Casos de producto: Equipo de soporte resolutivo Alertas detalladas incluidas hasta el momento: Trend Micro OfficeScan Corporate Edition: Epidemia de virus Epidemia de Spyware Exceso en las violaciones de políticas de firewall Trend Micro InterScan Messaging Security Suite: Exceso de correos en la cola de verificación Espacio libre en disco por debajo de lo recomendado El servicio se detuvo más del tiempo estipulado Trend Micro InterScan Web Security Suite: Espacio libre en disco por debajo de lo recomendado Estado de actualización de los productos Nuestros especialistas observarán el estado de actualización de las distintas soluciones de Trend Micro implementadas dentro de la red del cliente. Para la solución de protección de estaciones de trabajo y servidores, Trend Micro OfficeScan Corporate Edition, se analiza tanto el estado de actualización del servidor, como el de los clientes que dependen de éste. Debido a las distintas características de la red y sus métodos de despliegue, el equipo del Security Operation Center deberá analizar durante una semana cuál es el comportamiento “normal” de actualización, realizando observaciones y acciones de corrección o análisis solo cuando estas condiciones normales no se cumplan. Para aquellas soluciones que tengan un único punto de actualización y, debido a que su actualización no impacta directamente sobre enlaces, servicios críticos o características similares de la red del cliente, se tomará como una solución “desactualizada” o “condición anormal” toda aquella solución que se encuentre retrasada en cualquiera de sus módulos en dos versiones de la misma. Reportes semanales de gestión De manera semanal, desde el Security Operation Center se emitirán reportes en donde se podrán evaluar los siguientes indicadores: Métricas • • • • • • • de seguridad Top Ten de incidentes en la red Top Ten de incidentes por solución Detecciones vs infecciones Distribución de cantidad de incidentes por producto Análisis estadístico-cronológico de incidentes por capa de protección Detalle de incidencias a políticas establecidas (mensajería y navegación) Detalle de actualización de las soluciones Métricas • • • de gestión Detalle de los casos abiertos en el mes Detalle de los casos cerrados en el mes Estado de casos abiertos SOC I DATASHEET EDSI Trend Argentina Av. Corrientes 1386 - Piso 8 - CP C1043ABN Buenos Aires, Argentina Pagina 4 of 4