Služba

Dohled, logy a bezpečnostní události

Pro firmy, které potřebují sledovat dostupnost služeb, sbírat logy a vyhodnocovat provozní i bezpečnostní události.

← Zpět na služby

Provozujeme dohledové, logovací a bezpečnostní platformy pro sledování dostupnosti, výkonu, logů a bezpečnostních událostí. Nad těmito zdroji může navazovat provozní a bezpečnostní triage, tedy pravidelné odborné vyhodnocování upozornění, jejich třídění, korelace a eskalace.

Zahrnuje zejména

  • provozní dohled Zabbix
  • centrální logování OpenSearch
  • bezpečnostní dohled Wazuh
  • analýza síťového provozu ntopng
  • provozní a bezpečnostní triage

Rozsah služby nastavujeme podle zapojených zdrojů dat, požadované retence, režimu upozornění a hloubky vyhodnocování událostí.

Provozní dohled Zabbix

Zabbix používáme pro provozní dohled nad dostupností, výkonem a kapacitou serverů, služeb a síťových prvků. Nastavujeme ho tak, aby upozornění nebyla jen seznamem alarmů, ale použitelným podkladem pro provozní rozhodování.

Co děláme

  • návrh a provoz platformy Zabbix,
  • dohled nad servery, službami, síťovými prvky a vybranými aplikacemi,
  • nastavení šablon, upozornění a eskalací,
  • kontrola dostupnosti, kapacity a výkonu,
  • dashboardy pro provozní přehled a vyhodnocování stavu,
  • vazba monitoringu na dokumentaci infrastruktury,
  • průběžná úprava monitoringu podle změn prostředí.

Získáte pravidelný dohled nad dostupností služeb, výkonem a kapacitními riziky. Provozní monitoring zároveň pomáhá odhalovat opakující se problémy dřív, než se projeví jako opakovaný výpadek.

Centrální logování OpenSearch

OpenSearch používáme jako centrální platformu pro příjem, ukládání, vyhledávání a základní vyhodnocování logů. Záznamy ze serverů, síťových prvků a dalších zdrojů díky tomu nejsou rozptýlené po jednotlivých systémech.

Co děláme

  • návrh a provoz platformy OpenSearch,
  • příjem logů ze serverů, síťových prvků a bezpečnostních systémů,
  • zpracování a sjednocení formátu vybraných logů,
  • nastavení retence, indexů a kapacity,
  • dashboardy a základní vizualizace,
  • kontrola toku dat a dostupnosti platformy,
  • příprava dat pro provozní a bezpečnostní vyhodnocování.

Logy nejsou rozptýlené po jednotlivých serverech a zařízeních. Při řešení incidentu, výpadku nebo podezřelé události máte jedno místo, kde lze dohledat, co se stalo, kdy se to stalo a kterých systémů se to týkalo.

Bezpečnostní dohled Wazuh

Wazuh používáme pro bezpečnostní dohled nad servery a koncovými zařízeními. Platforma sbírá bezpečnostní události, vyhodnocuje je podle pravidel a poskytuje podklady pro další provozní nebo bezpečnostní zpracování.

Co děláme

  • návrh a provoz platformy Wazuh,
  • správa všech částí platformy,
  • příjem bezpečnostních událostí ze serverů,
  • skupiny, politiky a pravidla pro systémy Windows a Linux v dohodnutém rozsahu,
  • kontrola stavu agentů, služeb a kapacit,
  • dashboardy a upozornění,
  • napojení na centrální logování a další provozní nástroje.

Získáte bezpečnostní pohled na servery a koncová zařízení, který běžný provozní monitoring nepokrývá. Události z Wazuh mohou navazovat na centrální logování a na provozní a bezpečnostní triage.

Monitoring síťového provozu ntopng

ntopng používáme pro pasivní analýzu síťového provozu v celé síti nebo vybraném segmentu. Díky tomu zachytí i komunikaci, která neprochází firewallem, a ukáže, kdo s kým komunikuje, jaké objemy dat vznikají a kde se objevují neobvyklé toky. Podle potřeby umíme dodat i komponenty potřebné pro sběr a analýzu síťového provozu.

Co děláme

  • provoz platformy ntopng,
  • pasivní sběr síťového provozu z celé sítě nebo vybraného segmentu,
  • vyhodnocování komunikace, která nemusí procházet firewallem,
  • dashboardy pro přehled komunikace,
  • identifikace významných nebo neobvyklých provozních toků,
  • kapacitní a provozní vyhodnocování síťového provozu.

Získáte přehled o provozu uvnitř sítě, který běžný monitoring serverů ani firewallové logy nemusí ukázat. To pomáhá při řešení výkonu, neobvyklé komunikace i plánování sítě.

Provozní a bezpečnostní triage

Provozní a bezpečnostní triage je pravidelné odborné vyhodnocování dohodnutých upozornění a událostí nad dohledovými, logovacími a bezpečnostními systémy. Cílem je odlišit běžný šum od událostí vyžadujících reakci, určit prioritu a předat relevantní zjištění k řešení.

Co děláme

  • pravidelná kontrola dohodnutých upozornění a událostí,
  • prvotní posouzení významnosti a priority,
  • odlišení běžného šumu od událostí vyžadujících reakci,
  • korelace událostí mezi monitoringem, logy a bezpečnostními nástroji,
  • eskalace relevantních zjištění na dohodnuté kontakty,
  • doporučení dalšího postupu,
  • měsíční souhrn podstatných událostí, doporučení a otevřených bodů.

Nemusíte mít vlastní kapacitu na pravidelné čtení všech upozornění a logů. Důležitá zjištění se neztratí mezi technickým šumem, události z různých systémů se posuzují společně a relevantní výstupy jsou předané k řešení na dohodnuté kontakty.

Chcete mít provozní a bezpečnostní události pod dohledem?

Projdeme současný stav a navrhneme rozumné pořadí kroků.