Inhaltsverzeichnis - IBM
Inhaltsverzeichnis - IBM Inhaltsverzeichnis - IBM
d. Protokolle unwiderruflich löschen, wobei die FIFO-Methode (First In, First Out) angewandt wird, (1) wenn der im Bestellschein angegebene Aufbewahrungszeitraum abgelaufen ist; oder (2) wenn die Protokolldaten das Alter von sieben Jahren überschreiten; Ungeachtet der vom Kunden festgelegten Aufbewahrungsfristen wird IBM Protokolldaten nicht länger als sieben Jahre aufbewahren. Überschreitet der Kunde die Aufbewahrungsdauer von sieben Jahren an irgendeinem Zeitpunkt während der Vertragslaufzeit, wird IBM die Protokolle mittels der FIFO-Methode löschen. e. sofern IBM dies für angebracht hält, ein Site-to-Site-VPN empfehlen, das zur Verschlüsselung des Datenverkehrs verwendet wird, der nicht nativ durch den/die Agenten verschlüsselt wird. 3.8.2 Verantwortlichkeiten des Kunden Der Kunde wird a. das Portal verwenden, um Protokolldaten zu prüfen; b. das Portal verwenden, um sich eigenverantwortlich über den verfügbaren Speicherplatz für Protokolldaten zu informieren; und c. bestätigen, dass (1) IBM die Protokolle für die Dauer des im Bestellschein angegebenen Aufbewahrungszeitraums speichern wird; (2) IBM seiner Verpflichtung enthoben wird, die Protokolldaten des Kunden aufzubewahren, wenn die Services aus irgendeinem Grund gekündigt werden; (3) alle Protokolldaten mittels der vereinbarten Methode an die IBM MSS-Infrastruktur übertragen werden; (4) Protokoll- und Ereignisdaten, die über das Internet übertragen werden, nicht verschlüsselt werden, falls der Kunde kein von IBM empfohlenes Site-to-Site-VPN für Agenten nutzt, die keine nativen Verschlüsselungsalgorithmen bereitstellen; (5) IBM nur Protokolle aufbewahrt, die erfolgreich an die IBM MSS-Infrastruktur übertragen werden; (6) IBM nicht garantiert, dass die Protokolle in einem nationalen oder internationalen Rechtssystem als Beweis verwendet werden können. Die Zulässigkeit von Beweisen basiert auf den beteiligten Technologien und der Fähigkeit des Kunden, die korrekte Datenverarbeitung und Beweiskette für jeden präsentierten Datensatz nachzuweisen; (7) die vom Kunden festgelegten Aufbewahrungsfristen sieben Jahre nicht überschreiten werden, da IBM Protokolldaten nicht länger als sieben Jahre aufbewahren wird, und IBM Protokolle mittels der FIFO-Methode löschen wird, wenn die Protokolle das Alter von sieben Jahren überschreiten, ungeachtet der vom Kunden angegebenen Aufbewahrungsfristen; und (8) IBM die durch den Service erfassten Protokolle verwenden kann, um a) Trends und b) reale oder potenzielle Bedrohungen zu ermitteln. IBM kann diese Daten kompilieren oder auf andere Weise mit den Daten anderer Kunden kombinieren, solange dabei sichergestellt wird, dass die Daten in keiner Weise dem Kunden zugeordnet werden können. 4. Managed Network Security Services – Common Features Common Features bieten dem Kunden die Möglichkeit, nach Gerät (soweit zutreffend) den notwendigen Zeitrahmen für die Einleitung von Maßnahmen, die Eskalation, die Implementierung oder Updates im Zusammenhang mit dem Service zu definieren. Die verschiedenen auswählbaren Zeitrahmen bieten mehrere Serviceoptionen, die – jeweils nach Gerät – im Vertrag des Kunden festgelegt werden. Für die verschiedenen Service-Levels für das Feature kann ein SLA im Zusammenhang mit dem Feature gelten. 4.1 Automatisierte Analyse Die automatisierte Analyse wird im Rahmen der Managed Network Security Services durchgeführt, es sei denn, die Secure Web Gateway Management Services sind Bestandteil des Servicevertrags. Agenten können eine große Zahl von Alarmmeldungen als Reaktion auf die Sicherheitsbedingungen erzeugen, für deren Erkennung sie konfiguriert sind. Das tatsächliche Sicherheitsrisiko einer bestimmten festgestellten Z126-5942-AT-2 04-2013 Seite 20 von 41 Z126-5942-WW-2 04-2013
Bedingung ist jedoch nicht immer klar, und es ist nicht zweckmäßig, alle Daten, die schädlich sein könnten, standardmäßig zu blockieren. IBM hat proprietäre Analyse-Engines entwickelt, die Teil des X-Force Protection System sind. Die erfassten Protokolle werden zur Korrelation und Alarmausgabe an die Analyse-Engines übermittelt. Die Analyse-Engines führen die folgenden Basisfunktionen aus: ● ● ● ● Korrelation von Echtzeit- und Langzeitprotokollen; Nutzung statistischer und regelbasierter Analyseverfahren; Nutzung unformatierter, normalisierter und konsolidierter Daten; und Bearbeitung der von Anwendungen und Betriebssystemen erzeugten Protokolle. Die Alarmbenachrichtigungen des X-Force Protection System werden dem Kunden über das MSS-Portal zur Verfügung gestellt. IBM wird dem Kunden eine stündliche Alarmbenachrichtigung des X-Force Protection System per E-Mail zusenden, in der die Alarmbenachrichtigungen zusammengefasst sind, sofern der Kunde diese Option im Portal ausgewählt hat. Die automatisierte Analyse und die anschließend vom X-Force Protection System erzeugten Alarmbenachrichtigungen sind nur auf den von IBM angegebenen Plattformen verfügbar. 4.1.1 Leistungsumfang IBM wird a. die erfassten Protokolldaten an die Analyse-Engines des X-Force Protection System zur Korrelation und Alarmausgabe übertragen; b. – sofern das Protokollmanagement und die Alarmausgabe Bestandteil des Servicevertrags des Kunden sind – die benutzerdefinierten Korrelationsregeln verwenden, die für die Analyse und Alarmausgabe aktiviert werden; c. die von den Analyse-Engines des X-Force Protection System erzeugten maßgeblichen Alarmbenachrichtigungen im MSS-Portal anzeigen, sobald sie verfügbar sind; und d. sofern vom Kunden entsprechend konfiguriert, die Alarmbenachrichtigung des X-Force Protection System innerhalb der Fristen bereitstellen, die im Abschnitt „Service-Level-Agreements“, „Alarmbenachrichtigung bei Sicherheitsverstößen“ dieser Leistungsbeschreibung angegeben sind. 4.1.2 Verantwortlichkeiten des Kunden Der Kunde wird a. die Verantwortung dafür übernehmen, die maßgeblichen Regeln der Analyse-Engines über das MSS-Portal zu aktivieren/zu deaktivieren; b. die Verantwortung dafür übernehmen, die Alarmbenachrichtigung des X-Force Protection System über das MSS-Portal auszuwählen; und c. bestätigen, dass (1) das Portal zur Überwachung und Prüfung der von den Analyse-Engines des X-Force Protection System erzeugten Alarmbenachrichtigungen verwendet werden kann; und (2) eine automatisierte Analyse nur auf den von IBM angegebenen Plattformen oder für die Protokolle, die der Kunde unter Verwendung des kundenspezifischen Protokoll-Parsers normalisiert, verfügbar ist (soweit zutreffend). 4.2 Überwachung und Benachrichtigung durch Bedrohungsanalysten Die Überwachung und Benachrichtigung durch Bedrohungsanalysten wird im Rahmen der Managed Network Security Services durchgeführt, es sei denn, die Secure Web Gateway Management Services und Firewall Management Services sind Bestandteil des Servicevertrags. IBM MSS-Sicherheitsanalysten werden die vom X-Force Protection System erzeugten Alarmbenachrichtigungen überwachen und analysieren, die das Ergebnis der automatisierten Analyse von unterstützten Protokolldaten sind. Ob eine Alarmbenachrichtigung als Sicherheitsverstoß gewertet wird, liegt im alleinigen Ermessen von IBM. Alarmbenachrichtigungen werden klassifiziert, priorisiert und eskaliert, wie es IBM für angemessen hält. Alarmbenachrichtigungen, die nicht als unkritisch ausgeschlossen werden können, werden als Sicherheitsverstoß klassifiziert. Sicherheitsverstöße werden nach den drei folgenden Prioritäten unterteilt: Z126-5942-AT-2 04-2013 Seite 21 von 41 Z126-5942-WW-2 04-2013
- Seite 1 und 2: IBM Österreich Internationale Bür
- Seite 3 und 4: IBM MSS-Portal (Managed Security Se
- Seite 5 und 6: (3) Protokoll-Parser und benutzerde
- Seite 7 und 8: (a) (b) (c) Erstellung und Übermit
- Seite 9 und 10: (nachfolgend „Bestellschein“ ge
- Seite 11 und 12: c. mit dem Kunden zusammenarbeiten,
- Seite 13 und 14: Aktivität 3 - Prüfung Aufgabe 1 -
- Seite 15 und 16: c. bestätigen, dass zusätzliche a
- Seite 17 und 18: f. Bereitstellung von Übertragungs
- Seite 19: c. bestätigen, dass er die alleini
- Seite 23 und 24: (4) Informationen zu Proxy-Servern;
- Seite 25 und 26: (5) das SOC telefonisch kontaktiere
- Seite 27 und 28: innerhalb der Frist, die im Abschni
- Seite 29 und 30: d. Antivirus-Unterstützung währen
- Seite 31 und 32: . die Verantwortung für alle Gebü
- Seite 33 und 34: sekundären Agenten entscheidet ode
- Seite 35 und 36: e. IBM die IP-Adresse des OA, den H
- Seite 37 und 38: (1) Sicherheitsverstöße der Prior
- Seite 39 und 40: SLA nicht erfüllt wurde Bestätigu
- Seite 41: enthaltene Informationen (1) öffen
d. Protokolle unwiderruflich löschen, wobei die FIFO-Methode (First In, First Out) angewandt wird,<br />
(1) wenn der im Bestellschein angegebene Aufbewahrungszeitraum abgelaufen ist; oder<br />
(2) wenn die Protokolldaten das Alter von sieben Jahren überschreiten;<br />
Ungeachtet der vom Kunden festgelegten Aufbewahrungsfristen wird <strong>IBM</strong> Protokolldaten nicht<br />
länger als sieben Jahre aufbewahren. Überschreitet der Kunde die Aufbewahrungsdauer von<br />
sieben Jahren an irgendeinem Zeitpunkt während der Vertragslaufzeit, wird <strong>IBM</strong> die Protokolle<br />
mittels der FIFO-Methode löschen.<br />
e. sofern <strong>IBM</strong> dies für angebracht hält, ein Site-to-Site-VPN empfehlen, das zur Verschlüsselung des<br />
Datenverkehrs verwendet wird, der nicht nativ durch den/die Agenten verschlüsselt wird.<br />
3.8.2 Verantwortlichkeiten des Kunden<br />
Der Kunde wird<br />
a. das Portal verwenden, um Protokolldaten zu prüfen;<br />
b. das Portal verwenden, um sich eigenverantwortlich über den verfügbaren Speicherplatz für<br />
Protokolldaten zu informieren; und<br />
c. bestätigen, dass<br />
(1) <strong>IBM</strong> die Protokolle für die Dauer des im Bestellschein angegebenen Aufbewahrungszeitraums<br />
speichern wird;<br />
(2) <strong>IBM</strong> seiner Verpflichtung enthoben wird, die Protokolldaten des Kunden aufzubewahren, wenn<br />
die Services aus irgendeinem Grund gekündigt werden;<br />
(3) alle Protokolldaten mittels der vereinbarten Methode an die <strong>IBM</strong> MSS-Infrastruktur übertragen<br />
werden;<br />
(4) Protokoll- und Ereignisdaten, die über das Internet übertragen werden, nicht verschlüsselt<br />
werden, falls der Kunde kein von <strong>IBM</strong> empfohlenes Site-to-Site-VPN für Agenten nutzt, die<br />
keine nativen Verschlüsselungsalgorithmen bereitstellen;<br />
(5) <strong>IBM</strong> nur Protokolle aufbewahrt, die erfolgreich an die <strong>IBM</strong> MSS-Infrastruktur übertragen<br />
werden;<br />
(6) <strong>IBM</strong> nicht garantiert, dass die Protokolle in einem nationalen oder internationalen<br />
Rechtssystem als Beweis verwendet werden können. Die Zulässigkeit von Beweisen basiert<br />
auf den beteiligten Technologien und der Fähigkeit des Kunden, die korrekte<br />
Datenverarbeitung und Beweiskette für jeden präsentierten Datensatz nachzuweisen;<br />
(7) die vom Kunden festgelegten Aufbewahrungsfristen sieben Jahre nicht überschreiten werden,<br />
da <strong>IBM</strong> Protokolldaten nicht länger als sieben Jahre aufbewahren wird, und <strong>IBM</strong> Protokolle<br />
mittels der FIFO-Methode löschen wird, wenn die Protokolle das Alter von sieben Jahren<br />
überschreiten, ungeachtet der vom Kunden angegebenen Aufbewahrungsfristen; und<br />
(8) <strong>IBM</strong> die durch den Service erfassten Protokolle verwenden kann, um a) Trends und b) reale<br />
oder potenzielle Bedrohungen zu ermitteln. <strong>IBM</strong> kann diese Daten kompilieren oder auf<br />
andere Weise mit den Daten anderer Kunden kombinieren, solange dabei sichergestellt wird,<br />
dass die Daten in keiner Weise dem Kunden zugeordnet werden können.<br />
4. Managed Network Security Services – Common Features<br />
Common Features bieten dem Kunden die Möglichkeit, nach Gerät (soweit zutreffend) den notwendigen<br />
Zeitrahmen für die Einleitung von Maßnahmen, die Eskalation, die Implementierung oder Updates im<br />
Zusammenhang mit dem Service zu definieren. Die verschiedenen auswählbaren Zeitrahmen bieten<br />
mehrere Serviceoptionen, die – jeweils nach Gerät – im Vertrag des Kunden festgelegt werden. Für die<br />
verschiedenen Service-Levels für das Feature kann ein SLA im Zusammenhang mit dem Feature gelten.<br />
4.1 Automatisierte Analyse<br />
Die automatisierte Analyse wird im Rahmen der Managed Network Security Services durchgeführt, es sei<br />
denn, die Secure Web Gateway Management Services sind Bestandteil des Servicevertrags. Agenten<br />
können eine große Zahl von Alarmmeldungen als Reaktion auf die Sicherheitsbedingungen erzeugen, für<br />
deren Erkennung sie konfiguriert sind. Das tatsächliche Sicherheitsrisiko einer bestimmten festgestellten<br />
Z126-5942-AT-2 04-2013 Seite 20 von 41 Z126-5942-WW-2 04-2013
Change language