Security Monitoring Service

Security Monitoring Service – Alerts und Events für Ihre Detection & Response Lösungen

Oftmals stehen Firmen vor dem Problem, dass sie zu wenig Zeit oder keine verfügbaren Personalressourcen haben, um die Alerts und Events ihrer Detection & Response Lösungen systematisch zu analysieren und zu qualifizieren. Der AVANTEC Security Monitoring Service bietet hier Abhilfe. Wir überwachen für Sie die Network Detection & Response (NDR) Lösung von Vectra wie auch die Endpoint Detection & Response (EDR) Lösung von CrowdStrike.

Übersicht: Warum braucht es Security Monitoring?

Der reine Schutz unserer Netzwerke mittels präventiven Massnahmen reicht heute nicht mehr aus. Egal wie viel in die Abwehr von Cyber-Attacken investiert wird, ein Angreifer mit genügend finanziellen Ressourcen wird früher oder später einen Weg in das Netzwerk finden. Ab diesem Zeitpunkt ist es zentral wie schnell der Angriff erkannt und geeignete Massnahmen eingeleitet werden. Wird der Angriff schnell erkannt, ist der Schaden nur geringfügig und die nötigen Aufräumarbeiten sind schnell und günstig abgeschlossen. Hat ein Angreifer mehrere Wochen oder sogar Monate Zeit, kann der Schaden schnell existenzbedrohliche Ausmasse annehmen.

Um Security Incidents nachhaltig zu erkennen, benötigt es ein funktionierendes Security Monitoring. Dazu gehören in erster Linie sogenannte «Detection & Response» Lösungen welche nach den Präventiven Massnahmen eingesetzt werden. Dabei wird heute zwischen «NDR – Network Detection & Response» und «EDR – Endpoint Detection & Response» unterschieden.

Damit Detection-Lösungen sinnvoll eingesetzt werden können, müssen die generierten Events im Kontext analysiert werden. Beispielsweise werden bei der Analyse eines Events der NDR-Lösung, Daten der EDR-Lösung sowie zentrale Log-Daten beigezogen. Oftmals ermöglicht nur ein Gesamtbild dieser Daten eine abschliessende Analyse des Vorfalls.

Security Monitoring ist für Unternehmen sämtlicher Grössen wichtig. Je nach Verfügbarkeit von Personal und Know-How kann dies intern umgesetzt werden. Fehlen die nötigen Ressourcen, kann der Security Monitoring Service der AVANTEC eingesetzt werden.

Security Monitoring für Network Detection & Response

Network Detection & Response (NDR) Lösungen überwachen Ihren Netzwerk-Verkehr kontinuierlich. Die NDR-Lösung scannt den Traffic nach bekannten Angriffsmustern oder typischen Verhaltensweisen von Angreifern in einem Netzwerk. Zusätzlich erstellt die Lösung eine Baseline Ihres Netzwerkes und erkennt damit allfällige Anomalien. Die Lösungen werden klassischerweise mittels Mirror-Ports (SPAN oder TAP) mit Daten versorgt. Die Lösungen detektieren in einem ersten Schritt also nur. Eine Response kann mittels API-Integration weiterer Lösungen erreicht werden. Die Lösungen können mittlerweile auch in der Cloud eingesetzt werden.

AVANTEC empfiehlt Vectra als NDR-Lösung. Vectra besticht durch einen innovativen AI-Ansatz. Eine Kombination verschiedener Methoden aus der Data Science, maschinelles Lernen und Verhaltensanalyse erkennt Angreifer im Netz sehr zuverlässig. Vor allem die sehr kleine False-Positive-Rate ist sehr eindrücklich.

Das AVANTEC Security Monitoring Team überwacht Ihre Vectra-Lösung kontinuierlich. Events werden geprüft, im Kontext analysiert und schlussendlich klassifiziert. Allfällige Massnahmen werden mit Ihnen besprochen und falls gewünscht zusammen ausgeführt.

Mehr zur empfohlenen Lösung:

Security Monitoring für Endpoint Detection & Response

Endpoint Detection & Response (EDR) Lösungen überwachen das Verhalten und den Netzwerk-Verkehr auf Ihren Endpoints. Die Daten werden in einer zentralen Datenbank gesammelt und aufbewahrt. Die Daten werden dort teilweise automatisiert auf Auffälligkeiten geprüft, aber auch eine manuelle Analyse ist möglich und nötig. Finden Sie beispielsweise verdächtigen Netzwerk-Verkehr auf Ihrem Proxy, ist es ein leichtes herauszufinden welches System, Benutzer oder Prozess dafür verantwortlich ist und wie dieser auf dem System landete. Die Frage ob dieser Prozess oder das Binary-File auch auf anderen Endpoints läuft, beantworten Sie in wenigen Minuten. EDR-Lösungen laufen als Agent auf Ihren Clients und Servern. Die Lösungen bieten meistens auch automatische Response Möglichkeiten, so können beispielsweise als malicious eingestufte Prozesse automatisch terminiert werden. Auch eine komplette Isolation des Endpoints kann so umgesetzt werden.

AVANTEC empfiehlt CrowdStrike als EDR-Lösung. Der sehr schlanke Agent sowie das Cloud-basierte Management macht das Deplyoment sehr einfach. Zudem generiert die Lösung wenig operativen Management-Aufwand. Die Agenten gibt es für alle gängigen Betriebssysteme. Die zentrale Management-Konsole besticht durch ihre Benutzerfreundlichkeit. Das Durchsuchen der Daten ist damit sehr einfach und man kommt schnell zum gesuchten Resultat.

Das Auswerten von EDR-Daten setzt tiefes Know-how in verschiedenen Security-Bereichen voraus. Das AVANTEC Security Monitoring Team überwacht Ihre CrowdStrike-Lösung, analysiert Events und klassifiziert diese in ihrem jeweiligen Kontext. Weitergehende Massnahmen werden mit Ihnen besprochen und falls gewünscht zusammen ausgeführt.

Mehr zur empfohlenen Lösung:

AVANTEC Security Monitoring Leistungen

Die kontiuniertliche Analyse von Alerts und Events ist sehr zeitaufwändig und verlangt nach spezifischem Know-how. In den vergangenen Jahren haben uns zahlreiche Kunden darauf hingewiesen, dass Sie diese Analyse zwar wichtig und wünschenswert finden, aber schlichtweg keine verfügbaren Personalressourcen dafür haben. Aus diesem Grund haben wir den AVANTEC Security Monitoring Service für Detection & Response Lösungen ins Leben gerufen. Wir überwachen für Sie Ihre NDR (Vectra) und/oder EDR (CrowdStrike) Lösung. Sie profitieren von folgenden Vorteilen:

  • Die Analyse und Qualifikation von Alerts und Events erfolgt durch hochqualifizierte und erfahrene Security Engineers von AVANTEC.
  • Sie profitieren dabei vom Einbezug unseres breiten Security Know-hows und spezifischen Kenntnissen über Ihre Infrastruktur und Anwendungsfälle.
  • Pro Tag erhalten Sie mindestens eine qualifizierte Analyse (per Remote Zugriff) des Security Status und der Events Ihrer Systeme durch einen erfahrenen Security Engineer.
  • Bei Identifikation von kritischen Security Events werden diese analysiert und klassifiziert. Bei einem kritischen Security Incident (Sicherheitsvorfall) erfolgt eine telefonische Kontaktaufnahme mit Ihnen zur vertieften gemeinsamen Analyse und Besprechung von Massnahmen.
  • Regelmässige telefonische Review-Termine (1 pro Monat) zur Besprechung der Events in der letzten Beobachtungs-Periode. Besprechung von allfälligen Massnahmen und Verbesserungsvorschlägen für die Erhöhung des Schutzniveaus.
  • Zusätzliche und weitergehende Dienstleistungen wie Incident Response oder Threat Hunting können nach Absprache und nach Verfügbarkeit zusätzlich geleistet werden.

Unsere Fachspezialisten helfen Ihnen gerne weiter!

Portrait TB

Tobias Balschun

Senior Security Engineer

+41 44 457 13 13
t.balschun@avantec.ch

Portrait CS

Christian Schwarzer

Co-CEO

+41 44 457 13 13
c.schwarzer@avantec.ch