Garantierte Reaktionszeiten.
Umfassende Vorbereitung.

Mit unserem Incident Response Service stellen wir sicher, dass Ihrem Unternehmen im Ernstfall die richtigen Ressourcen und Kompetenzen zur Verfügung stehen. Sie zahlen eine feste monatliche Pauschale und wir bieten Ihnen dafür einen Bereitschaftsdienst mit garantierten Annahme- und Reaktionszeiten. Durch einen im Vorfeld von uns erarbeiteten Maßnahmenplan sparen Sie im Ernstfall wertvolle Zeit.

weiterlesen

Erkennen. Reagieren. Wiederherstellen.

Die Wahrscheinlichkeit, dass Ihr Unternehmen in den nächsten 12 Monaten Ziel eines Cyberangriffs wird, liegt bei 75 %. Klassische IT-Security-Komponenten reichen nicht aus, um einen 100 % Schutz zu erzeugen. Es stellt sich daher die Frage: Wie erkennen Sie, dass Ihr Unternehmen angegriffen wird? Wie reagieren Sie? Und wie stellen Sie den Regelbetrieb wieder her?

Managed Detection and Response Service

Die Grundlage unserer erfolgreichen Angriffsbewältigung ist die langjährige Erfahrung unseres Incident Response Teams aus zahlreichen großen Angriffen, gepaart mit der modernen Lösung des Technologieführers Exabeam. Unsere Experten überwachen Ihre IT-Umgebung, analysieren verdächtige Ereignisse, schlagen bei Angriffen Alarm und führen unmittelbar notwendige Maßnahmen zur Angriffsabwehr und Wiederherstellung des Regelbetriebs durch.

Service Highlights

Incident Handling aus einer Hand
  • Optimierte Vorbereitung durch Incident Response Readiness
  • Automatisierte Erkennung von Incidents
  • Eindämmung und Behebung
  • Wiederherstellung des Regelbetriebs
  • Unterstützung durch Expertenteam in allen Phasen
  • Bei Bedarf Unterstützung vor Ort
Einfache Einrichtung
  • Automatische Anlernphase ohne aufwendige Erstellung von Use Cases
  • Fertige Integrationen für gängige Quellsysteme
  • Einsatz des Marktführers im Bereich Next Generation SIEM
  • Optimale Erkennungsraten durch patentierte Verhaltensanalyse
Volle Kosten­kontrolle
  • Servicepauschale für Rufbereitschaft und fortlaufende Eventanalyse
  • Zusätzliche Kosten nur im Fall eines Security Incident sowie vorheriger Abstimmung und Freigabe
  • Keine intransparente Retainermodelle

Wir garantieren Ihnen eine permanente Qualifizierung, Risikoeinschätzung und frühzeitige Alarmierung der kritischen Security Incidents, 24x7 an 365 Tagen im Jahr. Die Experten unseres Incident Response Teams sorgen für die schnelle Wiederherstellung des Regelbetriebs, die forensische Aufarbeitung des Angriffs und unterstützen Sie bei der Optimierung Ihrer Schutzmaßnahmen.

Service Pakete

Die Angriffserkennung ist seit mehr als 25 Jahren unser Kerngeschäft. Unsere Experten überwachen Ihre IT-Umgebung, analysieren verdächtige Ereignisse, schlagen bei Angriffen Alarm und führen notwendige Maßnahmen zur Angriffsabwehr durch. Der Service enthält zudem alle Leistungen unseres Incident Response Service, sodass Ihnen unsere Experten im Ernstfall innerhalb garantierter Reaktionszeiten zur Verfügung stehen.

BASIC

24x7
automatisierte Angriffserkennung und Alarmierung

10x5 (Mo - Fr, 8:00 - 18 Uhr)
Service-Zeiten

max. 2 Stunden
SLA Qualifizierung von Alarmen und First Response

max. 6 Stunden
SLA Expert Response Remote

Next Business Day
SLA Expert Response OnSite

Optional
24x7 automatisierte Response

Optional
Proaktives Threat Hunting

PREMIUM

24x7
automatisierte Angriffserkennung und Alarmierung

24x7
Service-Zeiten

max. 1 Stunde
SLA Qualifizierung von Alarmen und First Response

max. 4 Stunden
SLA Expert Response Remote

Next Business Day
SLA Expert Response OnSite

Optional
24x7 automatisierte Response

Optional
Proaktives Threat Hunting

Modernste Technologien für die Angriffserkennung

Der r-tec Managed Detection and Response Service im Überblick

Der r-tec Managed Detection and Response Service setzt auf modernste technische Lösungen des Technologieführers Exabeam, die in einem DSGVO-konformen europäischen Rechenzentrum betrieben werden. Die Logdateien Ihres Unternehmens werden dabei mittels eines Site Collectors gesammelt und verschlüsselt an die Analyseplattform übertragen. Der Vorteil: Sie benötigen keine Agents für Ihre Systeme.

Folgende Logs sind für die Angriffserkennung relevant:

  • Active Directory
  • Endpoints
  • Firewalls
  • Domain Name Server
  • Domain Controller
  • VPN
  • Cloud-Apps
  • Antivirus und Proxy

 

Logs aus Cloud-Umgebungen wie Microsoft 365 werden direkt über einen Cloud Connector angebunden. Haben Sie bereits ein zentrales Logmanagement oder ein SIEM-System etabliert, können diese direkt an die Analyseplattform angeschlossen werden.

Abweichungen vom Normalverhalten identifizieren

Auf der so erzeugten Datengrundlage führt die Analyseplattform mithilfe von Algorithmen, statistischen Analysen und maschinellem Lernen eine Verhaltensanalyse von Nutzern, Geräten,  Eigenschaften,  Relationen,  Sachverhalten oder Ereignissen durch. So kann ein Normalverhalten identifiziert werden. Zudem lassen sich Beziehungen zwischen Nutzern und Geräten sowie das Gruppenverhalten überprüfen. Das heißt, die Analyse konzentriert sich nicht auf einzelne Logquellen oder verknüpfte Events, sondern auf das Gesamtverhalten Ihres Unternehmens, Ihrer Anwender und Ihrer Geräte. Abweichungen vom Normalverhalten und Muster, die zum Beispiel bei Angriffen oder der Angriffsvorbereitung auftreten können, werden auf diese Weise sofort erkannt.

SERVICE FAQ

Was ist Managed Detection and Response?

Managed Detection and Response (MDR) beschreibt die kontinuierliche Überwachung von IT-Umgebungen mithilfe von neuesten Technologien zur Angriffserkennung. Ziel ist es, Angriffe frühzeitig zu erkennen, um möglichst schnell darauf reagieren und Gegenmaßnahmen einleiten zu können. Der Begriff Managed Detection and Response hat sich mittlerweile in der IT-Security-Branche etabliert. Teilweise werden diese Leistungen auch als SOC-as-a-Service bezeichnet.

Reicht es aus, eine NDR- oder EDR-Lösung zu betreiben?

Bei Network- bzw. Endpoint-Detection-and-Response-Lösungen (NDR/EDR) liegt der Fokus auf der Analyse von Netzwerk- oder Endpunktdaten. Für eine ganzheitliche Überwachung einer IT-Umgebung sind diese nicht ausreichend bzw. müssen miteinander verbunden werden. Sie können jedoch als wertvolle Informationsquelle für ein MDR-System dienen.

Welche Komponenten werden benötigt?

Es wird lediglich ein Site Collector als virtuelle Maschine benötigt, der die Logdaten Ihrer Umgebung entgegennimmt und verschlüsselt an die cloudbasierte Analyseplattform überträgt. Die Installation von Agents ist nicht erforderlich.

Was passiert bei der Identifikation eines Angriffs?

Wird ein Angriffsversuch identifiziert, liefern unsere Experten Maßnahmenempfehlungen oder führen optional selbst notwendige Maßnahmen durch. Bei Bedarf ist eine nahtlose Übergabe an unser Incident-Response-Team möglich. Somit stehen im Ernstfall sofort die richtigen Spezialisten zur Verfügung, die das erforderliche Know-how, die Erfahrung und die benötigten Werkzeuge mitbringen. Zudem können die Experten direkt auf umfassendes Wissen über Ihre Umgebung und den entsprechenden Vorfall zugreifen.

Gibt es auch eine On-Premise-Lösung?

Exabeam ist eine reine Cloud-Lösung, die aus einem deutschen DSGVO-konformen Rechenzentrum betrieben wird. So werden die ressourcenintensiven Analysen der großen Datenmengen ermöglicht. Weiterer Vorteil: Sie haben keine Investitionskosten für Hardware und können die Cloud-Ressourcen flexibel erweitern.

Warum reichen klassische SIEM-Lösungen nicht aus?

Für die Identifizierung gezielter Angriffe müssen große Datenmengen unterschiedlicher Quellsysteme korreliert und auf Anomalien überprüft werden. Der Ansatz, diese Aufgaben mithilfe eines Security-Information-and-Event-Management-Systems (SIEM) zu lösen, schlägt meistens fehl. Das Problem besteht darin, dass klassische SIEM-Lösungen bei der Suche nach Bedrohungen zumeist auf Use Cases setzen. Damit lassen sich allerdings nur Bedrohungen identifizieren, nach denen auch explizit gesucht wird; neue und komplexe Angriffsmuster fallen durchs Raster. Hinzu kommt, dass die Analyse von Security-Events trotz Automatisierung und trotz des Einsatzes von künstlicher Intelligenz nur verlässlich ist, wenn sie durch hoch qualifiziertes Personal erfolgt.

EXPERTEN INTERVIEW

Managed Detection and Response: Ein Experteninterview mit Sebastian Bittig

Wie sich die Angriffserkennung in den vergangenen Jahren verändert hat und was Unternehmen bei der Angriffsabwehr beachten sollten erläutert Sebastian Bittig, Leiter unseres Cyber Defense Centers, im Interview. Das komplette Interview finden Sie hier:

Zum Beitrag

WARUM
r-tec?

Unsere Kernkompetenz

  • Technisch voraus, menschlich auf Augenhöhe
  • Passgenaue Servicelösungen, kurze Reaktionszeiten, schnelle Terminierung, direkter Expertenkontakt
  • Schnelle Hilfe im Angriffsfall
  • Spezialisiertes Cyber Security Unternehmen mit ausgeprägter Service Struktur
  • 25 Jahre Erfahrung in Konzeption, Aufbau und Betrieb von Cyber Security Lösungen
  • ISO 9001 und ISO 27001 zertifiziert