Managed Detection and Response Service
Die Grundlage unserer erfolgreichen Angriffsbewältigung ist die langjährige Erfahrung unseres Incident Response Teams aus zahlreichen großen Angriffen, gepaart mit der modernen Lösung des Technologieführers Exabeam. Unsere Experten überwachen Ihre IT-Umgebung, analysieren verdächtige Ereignisse, schlagen bei Angriffen Alarm und führen unmittelbar notwendige Maßnahmen zur Angriffsabwehr und Wiederherstellung des Regelbetriebs durch.
Service Highlights
- Optimierte Vorbereitung durch Incident Response Readiness
- Automatisierte Erkennung von Incidents
- Eindämmung und Behebung
- Wiederherstellung des Regelbetriebs
- Unterstützung durch Expertenteam in allen Phasen
- Bei Bedarf Unterstützung vor Ort
- Automatische Anlernphase ohne aufwendige Erstellung von Use Cases
- Fertige Integrationen für gängige Quellsysteme
- Einsatz des Marktführers im Bereich Next Generation SIEM
- Optimale Erkennungsraten durch patentierte Verhaltensanalyse
- Servicepauschale für Rufbereitschaft und fortlaufende Eventanalyse
- Zusätzliche Kosten nur im Fall eines Security Incident sowie vorheriger Abstimmung und Freigabe
- Keine intransparente Retainermodelle
Wir garantieren Ihnen eine permanente Qualifizierung, Risikoeinschätzung und frühzeitige Alarmierung der kritischen Security Incidents, 24x7 an 365 Tagen im Jahr. Die Experten unseres Incident Response Teams sorgen für die schnelle Wiederherstellung des Regelbetriebs, die forensische Aufarbeitung des Angriffs und unterstützen Sie bei der Optimierung Ihrer Schutzmaßnahmen.
Service Pakete
Die Angriffserkennung ist seit mehr als 25 Jahren unser Kerngeschäft. Unsere Experten überwachen Ihre IT-Umgebung, analysieren verdächtige Ereignisse, schlagen bei Angriffen Alarm und führen notwendige Maßnahmen zur Angriffsabwehr durch. Der Service enthält zudem alle Leistungen unseres Incident Response Service, sodass Ihnen unsere Experten im Ernstfall innerhalb garantierter Reaktionszeiten zur Verfügung stehen.
BASIC
24x7
automatisierte Angriffserkennung und Alarmierung
10x5 (Mo - Fr, 8:00 - 18 Uhr)
Service-Zeiten
max. 2 Stunden
SLA Qualifizierung von Alarmen und First Response
max. 6 Stunden
SLA Expert Response Remote
Next Business Day
SLA Expert Response OnSite
Optional
24x7 automatisierte Response
Optional
Proaktives Threat Hunting
PREMIUM
24x7
automatisierte Angriffserkennung und Alarmierung
24x7
Service-Zeiten
max. 1 Stunde
SLA Qualifizierung von Alarmen und First Response
max. 4 Stunden
SLA Expert Response Remote
Next Business Day
SLA Expert Response OnSite
Optional
24x7 automatisierte Response
Optional
Proaktives Threat Hunting
Modernste Technologien für die Angriffserkennung
Der r-tec Managed Detection and Response Service setzt auf modernste technische Lösungen des Technologieführers Exabeam, die in einem DSGVO-konformen europäischen Rechenzentrum betrieben werden. Die Logdateien Ihres Unternehmens werden dabei mittels eines Site Collectors gesammelt und verschlüsselt an die Analyseplattform übertragen. Der Vorteil: Sie benötigen keine Agents für Ihre Systeme.
Folgende Logs sind für die Angriffserkennung relevant:
- Active Directory
- Endpoints
- Firewalls
- Domain Name Server
- Domain Controller
- VPN
- Cloud-Apps
- Antivirus und Proxy
Logs aus Cloud-Umgebungen wie Microsoft 365 werden direkt über einen Cloud Connector angebunden. Haben Sie bereits ein zentrales Logmanagement oder ein SIEM-System etabliert, können diese direkt an die Analyseplattform angeschlossen werden.
Abweichungen vom Normalverhalten identifizieren
Auf der so erzeugten Datengrundlage führt die Analyseplattform mithilfe von Algorithmen, statistischen Analysen und maschinellem Lernen eine Verhaltensanalyse von Nutzern, Geräten, Eigenschaften, Relationen, Sachverhalten oder Ereignissen durch. So kann ein Normalverhalten identifiziert werden. Zudem lassen sich Beziehungen zwischen Nutzern und Geräten sowie das Gruppenverhalten überprüfen. Das heißt, die Analyse konzentriert sich nicht auf einzelne Logquellen oder verknüpfte Events, sondern auf das Gesamtverhalten Ihres Unternehmens, Ihrer Anwender und Ihrer Geräte. Abweichungen vom Normalverhalten und Muster, die zum Beispiel bei Angriffen oder der Angriffsvorbereitung auftreten können, werden auf diese Weise sofort erkannt.
SERVICE FAQ
Managed Detection and Response (MDR) beschreibt die kontinuierliche Überwachung von IT-Umgebungen mithilfe von neuesten Technologien zur Angriffserkennung. Ziel ist es, Angriffe frühzeitig zu erkennen, um möglichst schnell darauf reagieren und Gegenmaßnahmen einleiten zu können. Der Begriff Managed Detection and Response hat sich mittlerweile in der IT-Security-Branche etabliert. Teilweise werden diese Leistungen auch als SOC-as-a-Service bezeichnet.
Bei Network- bzw. Endpoint-Detection-and-Response-Lösungen (NDR/EDR) liegt der Fokus auf der Analyse von Netzwerk- oder Endpunktdaten. Für eine ganzheitliche Überwachung einer IT-Umgebung sind diese nicht ausreichend bzw. müssen miteinander verbunden werden. Sie können jedoch als wertvolle Informationsquelle für ein MDR-System dienen.
Es wird lediglich ein Site Collector als virtuelle Maschine benötigt, der die Logdaten Ihrer Umgebung entgegennimmt und verschlüsselt an die cloudbasierte Analyseplattform überträgt. Die Installation von Agents ist nicht erforderlich.
Wird ein Angriffsversuch identifiziert, liefern unsere Experten Maßnahmenempfehlungen oder führen optional selbst notwendige Maßnahmen durch. Bei Bedarf ist eine nahtlose Übergabe an unser Incident-Response-Team möglich. Somit stehen im Ernstfall sofort die richtigen Spezialisten zur Verfügung, die das erforderliche Know-how, die Erfahrung und die benötigten Werkzeuge mitbringen. Zudem können die Experten direkt auf umfassendes Wissen über Ihre Umgebung und den entsprechenden Vorfall zugreifen.
Exabeam ist eine reine Cloud-Lösung, die aus einem deutschen DSGVO-konformen Rechenzentrum betrieben wird. So werden die ressourcenintensiven Analysen der großen Datenmengen ermöglicht. Weiterer Vorteil: Sie haben keine Investitionskosten für Hardware und können die Cloud-Ressourcen flexibel erweitern.
Für die Identifizierung gezielter Angriffe müssen große Datenmengen unterschiedlicher Quellsysteme korreliert und auf Anomalien überprüft werden. Der Ansatz, diese Aufgaben mithilfe eines Security-Information-and-Event-Management-Systems (SIEM) zu lösen, schlägt meistens fehl. Das Problem besteht darin, dass klassische SIEM-Lösungen bei der Suche nach Bedrohungen zumeist auf Use Cases setzen. Damit lassen sich allerdings nur Bedrohungen identifizieren, nach denen auch explizit gesucht wird; neue und komplexe Angriffsmuster fallen durchs Raster. Hinzu kommt, dass die Analyse von Security-Events trotz Automatisierung und trotz des Einsatzes von künstlicher Intelligenz nur verlässlich ist, wenn sie durch hoch qualifiziertes Personal erfolgt.
EXPERTEN INTERVIEW
Managed Detection and Response: Ein Experteninterview mit Sebastian Bittig
Wie sich die Angriffserkennung in den vergangenen Jahren verändert hat und was Unternehmen bei der Angriffsabwehr beachten sollten erläutert Sebastian Bittig, Leiter unseres Cyber Defense Centers, im Interview. Das komplette Interview finden Sie hier:
WARUM
r-tec?
Unsere Kernkompetenz
- Technisch voraus, menschlich auf Augenhöhe
- Passgenaue Servicelösungen, kurze Reaktionszeiten, schnelle Terminierung, direkter Expertenkontakt
- Schnelle Hilfe im Angriffsfall
- Spezialisiertes Cyber Security Unternehmen mit ausgeprägter Service Struktur
- 25 Jahre Erfahrung in Konzeption, Aufbau und Betrieb von Cyber Security Lösungen
- ISO 9001 und ISO 27001 zertifiziert