Servicios SIEM

Por su naturaleza operativa, claramente se diferencian tres niveles de servicio en relación a la implementación y puesta en marcha, mantenimiento, y explotacion de Plataformas SIEM (Security information and event management).

Con el objeto de proveer un Roadmap de Servicios lo suficientemente flexible, hemos organizado los mismos en tres paquetes, que se incluyen recursivamente, lo que nos permite incorporarnos como Consultores de su Organización, independientemente de la etapa de implementación/producción en que su proyecto se encuentre.

No obstante, y como es habitual con los servicios de OYDIA, en caso de presentarse requerimientos puntuales, se pueden ajustar a efectos de satisfacer las necesidades puntuales de nuestros Clientes. En muchos casos además, se pueden combinar otros servicios, con el objetivo final de obtener el máximo rendimiento posible de la Plataforma SIEM.

Conceptos generales sobre los servicios

Reportes periódicos: niveles Gerencial y Tecnico

:: Cumplimiento Acuerdo 06/2011 (IMPORTANTE PARA BANCOS de Panama): La modalidad de configuración/ejecución que se utiliza, se encuentra completamente alineada con los puntos de cumplimiento del acuerdo 06-2011, emitido por la Super Intendencia de Bancos de Panama.

Valor Agregado: Durante todo el proceso se propone trabajar en forma conjunta para producir una Transferencia de Conocimiento, como elemento de valor agregado y sin que represente un costo adicional.

Falsos Positivos y Falsos Negativos: El principal problema de los falsos/positivos es el grado de incertidumbre que generan, ademas del esfuerzo adicional requerido para analizarlos y darles el seguimiento adecuado. Disminuir el numero de eventos enviados al SIEM, descartando aquellos que no deben ser contemplados, ayudara a disminuir el tiempo y procesamiento invertidos en incidentes que no representan un riesgo de seguridad.




Roadmap de Servicios SIEM

El siguiente diagrama, ilustra conceptualmente nuestro esquema de servicios SIEM:

SIEM Tuning
El paquete esta diseñado para proveer los servicios necesarios para proceder con la customización y optimización de configuracion inicial de la Plataforma SIEM, con entrega llave en mano.

SIEM Management(Incluye el servicio SIEM Tuning)
El paquete esta diseñado para proveer los servicios necesarios para administrar y mantener la plataforma SIEM operativa, bajo un regimen de rendimiento optimo.

SIEM Monitoring(Incluye el servicio SIEM Management)
Incluye los servicios necesarios para monitorear los eventos generados y correlacionados en la Plataforma SIEM. Se ofrece con opciones de Monitoreo PASIVO o ACTIVO (en tiempo real), y diversas opciones de rangos horarios.




SIEM Tuning

El paquete está diseñado para proveer al CLIENTE de los servicios necesarios para proceder con la customización y optimización de configuración inicial de la Plataforma SIEM, con entrega llave en mano. Como resultado del servicio, el CLIENTE contara con su plataforma completamente operativa, documentación de referencia disponible y asesoría sobre gestión de políticas de acción ante eventos.

Incluye:

Consultoría y Análisis para determinar el set más preciso posible de reglas a ser creadas y/o customizadas. Incluye, entre otras actividades: Análisis y revisión de reglas "Out of the Box", activación de reglas, desactivación de reglas innecesarias o no alineadas con la infraestructura tecnológica de la organización, depuración inicial de eventos y otras

Eliminación de falsos/positivos y falsos/negativos que pueda estar arrojando luego de la revisión de reglas.

Activación de reglas de correlación necesarias según la infraestructura tecnológica de la organización.

Activación de reglas alineadas con el acuerdo 06/2011 (ver punto "Reglas y reportes especifico").

Determinación y Categorización de eventos de criticidad ALTA.

Customización de reportes técnicos.

Creación de dashboards según se determine de común acuerdo con el CLIENTE.

Generación de manual procedimiento de detección temprana de eventos y análisis inicial y asesoría para la especificación de Políticas, Normas y Procedimientos ante eventos según su naturaleza.

Objetos específicos

Se procederá a la creación de reglas, informes, dashboards, etc. de acuerdo a lo determinado por el CLIENTE en caso que lo tenga ya definido, o como resultado de la Consultoría y Asesoramiento que acompañan este proyecto

Esto dará origen a un plan de trabajo con el detalle específico de elementos a ser creados en la Plataforma SIEM, organizados por servicio (antivirus, base de datos, servicios web, aplicación servers, firewalls, etc.), y en el formato que se muestra a continuación. También se contempla la creación de Dashboards generales que incluyan los elementos más relevantes de cada Servicio en forma consolidada, y según el nivel de acceso requerido (operadores, administradores, gerentes, etc.).




SIEM Management

El paquete esta diseñado para proveer al CLIENTE de los servicios necesarios para administrar y mantener la plataforma SIEM operativa, bajo un regimen de rendimiento optimo.
En caso de delegar el monitoreo en terceras partes o en el CLIENTE mismo, se trabajara en conjunto a fin de ajustar en forma permanente los elementos necesarios (filtros, reglas, alertas, dashboards, reportes, etc.).

Incluye:

El servicio SIEM Tuning.

Creacion y Mantenimiento/ajustes de alertas, reglas de correlacion y filtros de eventos segun demande la operacion regular.

Mantenimiento y creacion de reportes tecnicos, niveles intermedios y gerenciales.

Eliminacion de falsos/positivos y falsos/negativos y depuracion de eventos.

Asesoria en la optimizacion del rendimiento y capacidad de deteccion mediante correlaciones, depuracion, calibracion de filtros, etc..

Creacion, actualizacion y mantenimiento constante de dashboards (niveles tecnico, intermedio, gerencial y otros a determinar).

Elaboracion de estrategia y mantenimiento de BACKUPS.

Verificacion y chequeo regular con el fabricante sobre actualizaciones, parches y extensiones disponibles, y aplicacion de las mismas sobre la Plataforma.

Debug y trabajo en conjunto con EL CLIENTE y el proveedor en caso de presentarse alguna falla en la Plataforma.

Se busca aprovechar al maximo el dispositivo adquirido, donde se incluiran nuevas firmas/reglas codificadas a medida segun surja del analisis de la infraestructura de networking y servicios con que actualmente cuenta la organizacion.

Reportes Gerenciales

Con la finalidad de medir los avances y evolucion, se entregaran reportes gerenciales, cuya frecuencia se establecera de comun acuerdo con el CLIENTE. Estos reportes incluiran la siguiente informacion:

:: Status por componente (filtros, reglas, alertas, reportes, dashboards, etc.).

:: Status de backups y actualizaciones de Plataforma.

:: Status de Documentacion.

:: Recomendaciones de actualizacion de documentacion y acciones complementarias requeridas (cuando corresponda).

:: Revision y sumario de eventos principales y estadisticas.

:: Conclusiones y recomendaciones generales.

Desarrollo de tareas

Debido a que es una tarea a desarrollar en forma metodica y constante, se recomienda su implementacion en el formato REMOTO, con visitas periodicas se seguimiento on-site. Por otro lado, OYDIA puede proveer, en caso de ser requerido, los recursos humanos necesarios para brindar el servicio on-site en forma permanente.




SIEM Monitoring

Incluye los servicios necesarios para monitorear los eventos generados y correlacionados en la Plataforma SIEM. Se ofrece con opciones de Monitoreo PASIVO o ACTIVO (en tiempo real), y diversas opciones de rangos horarios.
Ante un evento, se tomara el curso de accion predeterminado segun politicas.Se trabaja en forma constante a efectos de mejorar o crear (en caso que no existan) todas las politicas y procedimientos necesarios, relacionados con la gestion de eventos de la Plataforma SIEM.

En caso de no existir una politica especifica para una determinada situacion, se tendra previsto un curso de accion que incluira la creacion de la politica correspondiente una vez mitigada la situacion.

Por otro lado, todos nuestros servicios se adaptan a la realidad de cada Empresa, en un formato flexible y dinámico.

De los objetivos mencionados anteriormente, claramente se desprende la necesidad de agrupar las actividades en cuatro aéreas globales de servicios:

Observacion y monitoreo de los reportes y alertas


La deteccion y correlacion de eventos debe ir acompañada de una correcta OBSERVACION E INTERPRETACION de los resultados obtenidos. En otras palabras, de nada sirve una solucion SIEM perfectamente configurada si no se realiza el monitoreo correspondiente.

La natural evolucion de las plataformas monitoreadas, exige que se definen y actualicen en forma permanente las politicas y procedimientos a seguir frente a los eventos segun su naturaleza, target, alcances, etc., definiendo cursos de accion, mecanismos de escalamiento de situaciones, responsables, etc.

Por otro lado, tambien debe realizarse un mantenimiento periodico sobre la plataforma, y por ello este servicio incluye el de SIEM Management, que asegura:

:: Actualizaciones constantes de las alertas y reglas de correlacion de la plataforma para detectar en forma temprana posibles ataques y/o anomalias en sistemas y networking.

:: Aseguramiento del correcto funcionamiento y aprovechamiento de la plataforma.

:: Actualizacion, creaciones y generacion de reportes tecnicos y gerenciales que permitiran conocer el estado actual de la organizacion no solo en aspectos de seguridad sino tambien en operatividad de sistemas

Mantenimiento Plataforma SIEM

El servicio de MONITOREO incluye el de SIEM Management, por tanto, estan incluidos/as:

:: Actualizaciones constantes de las alertas y reglas de correlacion de la plataforma para detectar en forma temprana posibles ataques y/o anomalias en sistemas y networking.

:: Aseguramiento del correcto funcionamiento y aprovechamiento de la plataforma.

:: Actualizacion, creaciones y generacion de reportes tecnicos y gerenciales que permitiran conocer el estado actual de la organizacion no solo en aspectos de seguridad sino tambien en operatividad de sistemas.

Conocé mas sobre nuestros servicios

mas información