24/7 SOC as a Service
made in Germany

SIEM / Logmanagement

Ein SIEM-System (Sicherheitsinformations- und Ereignisverwaltungssystem) ist ein Tool, das Protokolldaten von Computern und Netzwerkgeräten sammelt, analysiert und in Berichten zusammenfasst, um Unternehmen dabei zu helfen, Sicherheitsvorfälle, Schwachstellen und Trends zu erkennen.

Protokolldaten können aus einer Vielzahl von Quellen stammen, darunter Firewalls, Intrusion Detection/Prevention-Systeme (IDS/IPS), Router, Switches, Server und Workstations. Ein SIEM-System sammelt und analysiert diese Daten, um Sicherheitsexperten dabei zu helfen, böswillige oder nicht autorisierte Aktivitäten zu erkennen, die Netzwerke und Systeme des Unternehmens zu schützen und Compliance-Anforderungen zu erfüllen.

Unter Logmanagement versteht man das Sammeln, Speichern, Analysieren und Erstellen von Berichten über Protokolldaten, um Unternehmen dabei zu helfen, ihre Systeme zu schützen und Compliance-Anforderungen zu erfüllen. Protokolldaten können aus einer Vielzahl von Quellen stammen, darunter Firewalls, Intrusion Detection/Prevention-Systeme (IDS/IPS), Router, Switches, Server und Workstations. Protokollverwaltungslösungen sammeln und analysieren diese Daten, um Sicherheitsexperten dabei zu helfen, böswillige oder unbefugte Aktivitäten zu erkennen, die Netzwerke und Systeme des Unternehmens zu schützen und Compliance-Anforderungen zu erfüllen.

Wir nutzen zur Auswertung der Logdateien ein DSGVO- konformes Produkt.

Wir arbeiten mit dem deutschen Entwicklerteam sehr eng zusammen, so dass individuelle Anpassungen möglich sind.

• - N-Augen Prinzip zur Freischaltung personengebundener Datensätze
• - Anonymisierte Darstellung im Logmanagement
• - Automatisierte Prozesse bei Alarmierung
• - Agent-basierte Log Anlieferung

Securityscan / Securitymonitoring

Ein Sicherheitsscan ist der Prozess des Scannens eines Computersystems oder Netzwerks auf Schwachstellen. Unter Sicherheitsüberwachung versteht man die ständige Überwachung von Systemen und Netzen auf Anzeichen von Eindringlingen oder anderen bösartigen Aktivitäten. Zusammen bilden Securityscanning und Securitymonitoring einen wichtigen Teil der Informationssicherheit.

Securityscanning dient dazu, potenzielle Schwachstellen in Systemen und Netzen zu ermitteln. Diese Schwachstellen können dann behoben werden, bevor sie von Angreifern ausgenutzt werden können. Die Sicherheitsüberwachung wird eingesetzt, um Eindringlinge oder andere böswillige Aktivitäten in Systemen oder Netzwerken zu erkennen. Auf diese Weise können Unternehmen schnell Maßnahmen ergreifen, um den Schaden zu minimieren, der durch solche Angriffe entstehen kann.

Die Informationssicherheit ist für den Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Daten unerlässlich.

Auch hier nutzen wir ein deutsches Produkt, welches die Anforderungen des BSI und der DSGVO erfüllt und bei dem wir einen engen Kontakt zum Herstellersupport haben.

• - Scan nach SVE
• - Brut Force Attacken
• - Überprüfen nach bekannten Schwachstellen
• - Scan nach offenen Ports und erreichbaren Diensten
• - Information Sammlung von “zu gesprächigen Produkten”
• - Überwachung der CPU, Speicher, Netzwerkkartenauslastung, Softwareprodukte und CVE
• - Updateprüfung und automatisierte Ausführung
• - Firewall Verwaltung
• - Erkennung von Anomalien

Security Orchestration Automation and Response (SOAR)

Das Ziel von Security Orchestration Automation and Response (SOAR) ist es, Unternehmen eine schnellere und effektivere Reaktion auf Bedrohungen zu ermöglichen, indem der Prozess der Erkennung und Reaktion darauf automatisiert wird. Dies kann die Automatisierung des Prozesses der Identifizierung von Vorfällen, der Sammlung und Analyse von Daten, der Erstellung und Ausführung von Reaktionsplänen und der Koordinierung mit anderen Teilen der Organisation umfassen.

Einer der Hauptvorteile von SOAR besteht darin, dass es Unternehmen helfen kann, ihre Sicherheitsabläufe zu standardisieren. Dadurch können Teams leichter Informationen austauschen und zusammenarbeiten, wodurch es einfacher wird, Bedrohungen zu erkennen und darauf zu reagieren

Auf Basis dieser Informationen kann eine automatisierte Reaktion auf aktuelle Sicherheitsbedrohungen erfolgen, ohne dass Mitarbeiter aktiv werden müssen.

Die grundsätzliche Arbeitsweise von SOAR lässt sich in folgende drei Funktionskomponenten einteilen:

• - die Datensammlung
• - die Verarbeitung
• - die automatisierte Reaktion

EDR / EIPS

Eine Endpoint Detection Response (EDR)-Lösung ist ein wichtiger Bestandteil der Sicherheitsstrategie eines jeden Unternehmens. Durch die schnelle Erkennung von und Reaktion auf Endpunkt-Bedrohungen können Sie die Wahrscheinlichkeit einer Datenverletzung oder anderer bösartiger Aktivitäten verringern.

Es gibt viele verschiedene EDR-Lösungen auf dem Markt, daher ist es wichtig, sich zu informieren, welche Lösung für Ihr Unternehmen am besten geeignet ist. Die wichtigsten Funktionen variieren je nach den Anforderungen Ihres Unternehmens, aber zu den häufigsten gehören:

• - Identifizierung von unbekannten Dateien und Anwendungen auf Geräten
• - Echtzeit-Überwachung der Geräteaktivität
• - Erkennung von Malware und Ransomware
• - Analyse der Netzwerkaktivität

Auch hier nutzen wir ein Produkt, welches die Anforderungen des BSI und der DSGVO erfüllt und wir einen engen Kontakt zum deutschen Support haben.

Forensik

IT-Forensik ist der Prozess der Sammlung von Beweisen im Zusammenhang mit einem Vorfall, der sich innerhalb der IT-Systeme Ihres Unternehmens ereignet hat. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert sie als „eine streng methodische Analyse“, die sowohl auf Datenträgern als auch im Netzverkehr stattfindet, mit dem Ziel, Klarheit über die Vorgänge während oder nach diesen Vorfällen zu schaffen, damit Sie Maßnahmen ergreifen können, um zukünftige Vorfälle zu verhindern!

Mit Hilfe der IT Forensik kann das Verhalten der Angreifer sowie deren Taktiken, Techniken und Prozesse in kürzester Zeit identifiziert und eine Ausbreitung verhindert werden.

• - Analyse der Verhaltensmuster aller Endpunkte in Echtzeit
• - Erkennung von Malware und ungewöhnlichen Aktivitäten
• - Erfassen gezielter forensischer Daten durch intelligente Filter
• - Sichere Untersuchung per Fernzugriff

Threat-Hunting

Threat hunting ist eine proaktive Methode zur Verbesserung der Cyber Security. Hier wird aktiv nach Bedrohungen im Netzwerk gesucht, bevor es konkrete Anzeichen für einen Angriff gibt.

Die Suche nach Cyber-Bedrohungen ist ein innovativer Ansatz für die Cybersicherheit. Dabei handelt es sich um den Prozess der proaktiven und iterativen Durchsuchung von Netzwerken, um fortschrittliche Bedrohungen zu finden, die sich bestehenden Lösungen entzogen haben. Diese werden dann zur sorgfältigen Analyse isoliert, damit sie gestoppt werden können, bevor sie gegen Ziele eingesetzt werden können!

• - Manuelles Durchforsten des Netzwerks und der IT-Systeme nach potenziellen Bedrohungen
• - Unterstützung durch automatisierte Techniken wie UEBA und Sicherheitstools
• - Optimierung der automatisierten Sicherheitssysteme mit Hilfe der Erkenntnisse des Thread Huntings

Threat Intelligence Management

Intelligentes Bedrohungsmanagement ist die proaktive Erkennung und Eindämmung von Cyber-Bedrohungen, bevor sie Schaden anrichten können. Plattformen für intelligentes Bedrohungsmanagement nutzen Big Data-Analysen und maschinelles Lernen, um Bedrohungen nahezu in Echtzeit zu erkennen und darauf zu reagieren. Intelligentes Bedrohungsmanagement ist ein entscheidender Bestandteil der Cybersicherheitsstrategie eines Unternehmens, da es zum Schutz vor fortgeschrittenen persistenten Bedrohungen (APTs), Ransomware und anderer Malware beiträgt.

Plattformen für intelligentes Bedrohungsmanagement werden in der Regel von großen Unternehmen mit komplexen IT-Netzwerken eingesetzt. Es gibt jedoch eine Reihe von Cloud-basierten Threat-Intelligence-Plattformen, die auch für kleinere Unternehmen verfügbar sind.

Intelligente Bedrohungsmanagement-Plattformen nutzen eine Vielzahl von Datenquellen, um Bedrohungen zu identifizieren, darunter:

• Sicherheitsinformations- und Ereignisverwaltungsdaten (SIEM)
• Daten zum Netzwerkverkehr
• Malware

Network Detection & Response

Durch die Analyse des kompletten Netzwerkverkehrs unter Verfügbarkeits-, Performance- und Qualitätsaspekten ist eine vollständige Ursachenanalyse von Störungen, Ausfällen oder Performanceeinbrüchen möglich. Zur kontinuierlichen Überwachung von geschäftskritische Anwendungen, IP-basierten Diensten und Automatisierungs- und Fernwartungssystemen.

• - Bandbreitenanalysen
• - Verteilung der Netzwerkprotokolle
• - Packet Analysen, TCP Analysen, Flow Analysen DPI und Protokollanalysen
• - Reaktions- und Responsezeiten von Servern
• - Auswertung von Error Codes, u.v.m.

Managed Security Service

Wir übernehmen die IT-Überwachung, um den laufenden Betrieb von IT-Systemen sicher zu stellen. Dabei bieten wir verschiedene Services an, wie zum Beispiel Anwendungen, Netzleistung, Speicherplatz, Security oder das Monitoring der IT-Infrastruktur.

• - Storage-Services
• - Anwendungen
• - Netzleistungen
• - Infrastructure-Services
• - Disaster-Recovery
• - Anwender-Support

Penetrationstest

Mit Hilfe des Penetrationstests (auch Pentest genannt), wird mit gezielt ausgeführten Angriffen versucht die Empfindlichkeit von Netzwerken oder IT-Systemen gegenüber Einbruchs- und Manipulationsversuchen festzustellen. Zum Einsatz kommen Methoden und Techniken, die auch von echten Angreifern oder Hackern verwendet werden. Die erkannten Schwachstellen werden in einem Bericht aufgeführt mit den passenden Lösungsansätzen zur Verbesserung der IT-Sicherheit.

• - Aufdecken von Schwachstellen

XDR

Wir vereinheitlichen unsere Cybersicherheit, in dem wir all Ihre und unsere Lösungen in einer einzigen Konsole zusammenführen. Mit der eingesetzten XDR Platform können wir EDR, EPP, MTD, SIEM, Honeypots, NTA und vieles mehr auf derselben Konsole benutzen.

All Ihre Cybersecurity-Tools sind mit der Plattform gleichzeitig orchestrierbar (auch Ihre bereits vorhandenen Lösungen, wie Zscaler und Proofpoint). In & Out APIs sorgen für eine einfache Integration und Bereitstellung in ihrer IT-Infrastruktur und unserem SOC.  Mit der Hyperautomatisierung durch unser SOAR und unseren anpassbaren Playbooks sichern Sie sich eine sofortige Reaktion auf Cyberangriffe.