Dohled, logy a bezpečnostní události
Pro firmy, které potřebují sledovat dostupnost služeb, sbírat logy a vyhodnocovat provozní i bezpečnostní události.
Provozujeme dohledové, logovací a bezpečnostní platformy pro sledování dostupnosti, výkonu, logů a bezpečnostních událostí. Nad těmito zdroji může navazovat provozní a bezpečnostní triage, tedy pravidelné odborné vyhodnocování upozornění, jejich třídění, korelace a eskalace.
Zahrnuje zejména
- provozní dohled Zabbix
- centrální logování OpenSearch
- bezpečnostní dohled Wazuh
- analýza síťového provozu ntopng
- provozní a bezpečnostní triage
Rozsah služby nastavujeme podle zapojených zdrojů dat, požadované retence, režimu upozornění a hloubky vyhodnocování událostí.
Provozní dohled Zabbix
Zabbix používáme pro provozní dohled nad dostupností, výkonem a kapacitou serverů, služeb a síťových prvků. Nastavujeme ho tak, aby upozornění nebyla jen seznamem alarmů, ale použitelným podkladem pro provozní rozhodování.
Co děláme
- návrh a provoz platformy Zabbix,
- dohled nad servery, službami, síťovými prvky a vybranými aplikacemi,
- nastavení šablon, upozornění a eskalací,
- kontrola dostupnosti, kapacity a výkonu,
- dashboardy pro provozní přehled a vyhodnocování stavu,
- vazba monitoringu na dokumentaci infrastruktury,
- průběžná úprava monitoringu podle změn prostředí.
Získáte pravidelný dohled nad dostupností služeb, výkonem a kapacitními riziky. Provozní monitoring zároveň pomáhá odhalovat opakující se problémy dřív, než se projeví jako opakovaný výpadek.
Centrální logování OpenSearch
OpenSearch používáme jako centrální platformu pro příjem, ukládání, vyhledávání a základní vyhodnocování logů. Záznamy ze serverů, síťových prvků a dalších zdrojů díky tomu nejsou rozptýlené po jednotlivých systémech.
Co děláme
- návrh a provoz platformy OpenSearch,
- příjem logů ze serverů, síťových prvků a bezpečnostních systémů,
- zpracování a sjednocení formátu vybraných logů,
- nastavení retence, indexů a kapacity,
- dashboardy a základní vizualizace,
- kontrola toku dat a dostupnosti platformy,
- příprava dat pro provozní a bezpečnostní vyhodnocování.
Logy nejsou rozptýlené po jednotlivých serverech a zařízeních. Při řešení incidentu, výpadku nebo podezřelé události máte jedno místo, kde lze dohledat, co se stalo, kdy se to stalo a kterých systémů se to týkalo.
Bezpečnostní dohled Wazuh
Wazuh používáme pro bezpečnostní dohled nad servery a koncovými zařízeními. Platforma sbírá bezpečnostní události, vyhodnocuje je podle pravidel a poskytuje podklady pro další provozní nebo bezpečnostní zpracování.
Co děláme
- návrh a provoz platformy Wazuh,
- správa všech částí platformy,
- příjem bezpečnostních událostí ze serverů,
- skupiny, politiky a pravidla pro systémy Windows a Linux v dohodnutém rozsahu,
- kontrola stavu agentů, služeb a kapacit,
- dashboardy a upozornění,
- napojení na centrální logování a další provozní nástroje.
Získáte bezpečnostní pohled na servery a koncová zařízení, který běžný provozní monitoring nepokrývá. Události z Wazuh mohou navazovat na centrální logování a na provozní a bezpečnostní triage.
Monitoring síťového provozu ntopng
ntopng používáme pro pasivní analýzu síťového provozu v celé síti nebo vybraném segmentu. Díky tomu zachytí i komunikaci, která neprochází firewallem, a ukáže, kdo s kým komunikuje, jaké objemy dat vznikají a kde se objevují neobvyklé toky. Podle potřeby umíme dodat i komponenty potřebné pro sběr a analýzu síťového provozu.
Co děláme
- provoz platformy ntopng,
- pasivní sběr síťového provozu z celé sítě nebo vybraného segmentu,
- vyhodnocování komunikace, která nemusí procházet firewallem,
- dashboardy pro přehled komunikace,
- identifikace významných nebo neobvyklých provozních toků,
- kapacitní a provozní vyhodnocování síťového provozu.
Získáte přehled o provozu uvnitř sítě, který běžný monitoring serverů ani firewallové logy nemusí ukázat. To pomáhá při řešení výkonu, neobvyklé komunikace i plánování sítě.
Provozní a bezpečnostní triage
Provozní a bezpečnostní triage je pravidelné odborné vyhodnocování dohodnutých upozornění a událostí nad dohledovými, logovacími a bezpečnostními systémy. Cílem je odlišit běžný šum od událostí vyžadujících reakci, určit prioritu a předat relevantní zjištění k řešení.
Co děláme
- pravidelná kontrola dohodnutých upozornění a událostí,
- prvotní posouzení významnosti a priority,
- odlišení běžného šumu od událostí vyžadujících reakci,
- korelace událostí mezi monitoringem, logy a bezpečnostními nástroji,
- eskalace relevantních zjištění na dohodnuté kontakty,
- doporučení dalšího postupu,
- měsíční souhrn podstatných událostí, doporučení a otevřených bodů.
Nemusíte mít vlastní kapacitu na pravidelné čtení všech upozornění a logů. Důležitá zjištění se neztratí mezi technickým šumem, události z různých systémů se posuzují společně a relevantní výstupy jsou předané k řešení na dohodnuté kontakty.
Chcete mít provozní a bezpečnostní události pod dohledem?
Projdeme současný stav a navrhneme rozumné pořadí kroků.