Inhaltsverzeichnis - IBM

Weitere Magazine

Empfehlungen

Info

● Sicherheitsverstöße der Priorität 1 Untersuchungen, die zu einer Klassifizierung hoher Priorität (d. h. Priorität 1) führen, erfordern umgehende Abwehrmaßnahmen. ● Sicherheitsverstöße der Priorität 2 Untersuchungen, die zu einer Klassifizierung mittlerer Priorität (d. h. Priorität 2) führen, erfordern Maßnahmen innerhalb von 12 bis 24 Stunden nach Meldung des Sicherheitsverstoßes. ● Sicherheitsverstöße der Priorität 3 Untersuchungen, die zu einer Klassifizierung geringer Priorität (d. h. Priorität 3) führen, erfordern Maßnahmen innerhalb von einem bis sieben Tagen nach Meldung des Sicherheitsverstoßes. 4.2.1 Leistungsumfang IBM wird a. den Kunden auffordern, eine Modifizierung der Konfiguration des Agenten vorzunehmen, falls die aktuelle Richtlinie das SOC an der zufriedenstellenden Verarbeitung von Protokolldaten hindert und das Gerät nicht vom IBM MSS SOC betrieben wird; b. den Kunden am Anfang und am Ende des Zeitfensters für die Ereignisüberwachung und Benachrichtigung per E-Mail darüber informieren, dass die Überwachung begonnen/beendet wurde; c. Alarmbenachrichtigungen untersuchen und analysieren; d. sofern möglich, falsch-positive Alarmmeldungen und unkritische Auslöser ausschließen und als „kommentierte Sicherheitsverstöße“ klassifizieren; e. Alarmbenachrichtigungen, die nicht als unkritische Auslöser ausgeschlossen werden können, identifizieren und als Sicherheitsverstoß klassifizieren. In diesem Fall wird IBM (1) die SLA-Timer starten; und (2) dem Sicherheitsverstoß hohe, mittlere oder geringe Priorität zuteilen; f. Sicherheitsverstöße innerhalb der Frist und mittels der Kommunikationsmethode (z. B. E-Mail oder Telefon), die im Abschnitt „Service-Level-Agreements“, „Benachrichtigung bei Sicherheitsverstößen“ dieser Leistungsbeschreibung angegeben sind, über die vom Kunden angegebene Standardbenachrichtigungsreihenfolge an einen autorisierten Ansprechpartner für die Sicherheit oder einen benannten Ansprechpartner für die Services eskalieren, basierend auf bewährten Verfahren (Best Practices) von IBM für Benachrichtigungen bei Sicherheitsvorfällen; g. Abhilfe-/Gegenmaßnahmen empfehlen, sofern zutreffend; h. Details zu Sicherheitsverstößen und kommentierten Sicherheitsverstößen im IBM Ticketsystem dokumentieren; und i. Sicherheitsverstöße und kommentierte Sicherheitsverstöße im Portal auflisten. 4.2.2 Verantwortlichkeiten des Kunden Der Kunde wird a. das MSS-Portal nutzen, um die Ereignisüberwachung und Benachrichtigung zu planen; b. die von IBM MSS angeforderten Richtlinienänderungen an dem Agenten vor dem nächsten Überwachungszeitraum durchführen, sofern das Gerät nicht von IBM betrieben wird; c. das MSS-Portal nutzen, um Protokolle und Ereignisse zu untersuchen, die nicht als unmittelbare Sicherheitsbedrohungen eingestuft wurden; d. IBM eine aktuelle, detaillierte Dokumentation zur Umgebung des Kunden bereitstellen; e. IBM innerhalb von drei Kalendertagen über Änderungen an der Umgebung des Kunden informieren; f. IBM die folgenden Informationen bereitstellen und auf dem aktuellen Stand halten (über das MSS- Portal): (1) Informationen zu kritischen Servern (z. B. Name, Plattform, Betriebssystem, IP-Adresse und Netzwerksegmenttyp); (2) Informationen zu überwachten Netzwerken; (3) Informationen zu Geräten, die die Netzadressumsetzung (NAT) verwenden (z. B. Name, Plattform, Betriebssystem und Netzwerksegmenttyp); Z126-5942-AT-2 04-2013 Seite 22 von 41 Z126-5942-WW-2 04-2013
(4) Informationen zu Proxy-Servern; und (5) Informationen zu autorisierten Prüfprogrammen; g. eine lineare Benachrichtigungsreihenfolge, einschließlich Telefonnummern und E-Mail-Adressen der Ansprechpartner, bereitstellen und auf dem aktuellen Stand halten; h. IBM über das MSS-Portal innerhalb von drei Kalendertagen über eine Änderung an den Kontaktinformationen der Ansprechpartner des Kunden informieren; i. E-Mail-Aliasnamen bereitstellen, sofern notwendig, um die Benachrichtigung zu vereinfachen; j. sicherstellen, dass ein autorisierter Ansprechpartner für die Sicherheit oder ein benannter Ansprechpartner für die Services, der in der Benachrichtigungsreihenfolge aufgelistet ist, während 24 Stunden pro Tag an 7 Tagen die Woche erreichbar ist; k. sich Details zu Sicherheitsverstößen und kommentierten Sicherheitsverstößen über das MSS-Portal ansehen; l. gemeinsam mit IBM an der Optimierung des Überwachungsservice arbeiten; m. Feedback zu Sicherheitsverstößen und kommentierten Sicherheitsverstößen über das MSS-Portal abgeben; und n. bestätigen, dass (1) der Kunde die alleinige Verantwortung für alle Reaktionen auf Sicherheitsverstöße und entsprechende Abhilfemaßnahmen trägt, sobald IBM einen Sicherheitsverstoß eskaliert hat; (2) nicht alle Untersuchungen von Alarmbenachrichtigungen zur Feststellung eines Sicherheitsverstoßes führen werden; (3) die Überwachung von Alarmbenachrichtigungen und Benachrichtigung nur Alarmbenachrichtigungen betrifft, die das Ergebnis der automatisierten Analyse durch die maßgeblichen Agenten sind; (4) fehlendes Feedback des Kunden dazu führen kann, dass einer anhaltenden oder wiederholt auftretenden Aktivität eine geringere Priorität zugeteilt wird; und (5) das SLA für die Benachrichtigung bei Sicherheitsverstößen, das im Abschnitt „Service-Level- Agreements“ dieser Leistungsbeschreibung angegeben ist, unwirksam ist, falls der Kunde die angeforderten Richtlinienänderungen nicht vor dem nächsten Überwachungszeitraum durchführt. 4.3 Richtlinienmanagement Das Richtlinienmanagement wird im Rahmen der Managed Network Security Services durchgeführt. IBM definiert eine einzelne Änderung der regelbasierten Agentenrichtlinie/-konfiguration als autorisierte Anforderung zum Hinzufügen oder Ändern einer einzigen Regel in einem einzigen Kontext mit höchstens fünf Objekten pro Anforderung. Eine Änderungsanforderung, die das Hinzufügen von sechs oder mehr Objekten oder die Bearbeitung von zwei oder mehr Regeln erfordert, wird als zwei oder mehr Anforderungen gewertet. Bezieht sich die Änderungsanforderung auf Änderungen außerhalb der regelbasierten Agentenrichtlinie, wird jede eingereichte Anforderung als einzelne Änderung betrachtet. IBM wird die im Folgenden beschriebenen Leistungen erbringen, soweit zutreffend. Der Kunde kann den Managed Agent mit einer einzigen globalen Richtlinie konfigurieren, die für alle Agenten gilt. 4.3.1 Leistungsumfang IBM wird a. die von autorisierten Ansprechpartnern für die Sicherheit oder benannten Ansprechpartnern für die Services über das MSS-Portal eingereichten Anforderungen einer Richtlinienänderung bis zu der angegebenen Anzahl an Änderungen pro Monat, die der Kunde ausgewählt hat, akzeptieren; b. die über das MSS-Portal eingereichten Anforderungen einer Richtlinienänderung innerhalb der Fristen bestätigen, die im Abschnitt „Service-Level-Agreements“, „Bestätigung der Anforderung einer Richtlinienänderung“ dieser Leistungsbeschreibung angegeben sind; c. die eingereichten Anforderungen einer Richtlinienänderung prüfen, um zu verifizieren, dass der Kunde darin alle erforderlichen Informationen angegeben hat; Z126-5942-AT-2 04-2013 Seite 23 von 41 Z126-5942-WW-2 04-2013
Seite 1 und 2: IBM Österreich Internationale Bür
Seite 3 und 4: IBM MSS-Portal (Managed Security Se
Seite 5 und 6: (3) Protokoll-Parser und benutzerde
Seite 7 und 8: (a) (b) (c) Erstellung und Übermit
Seite 9 und 10: (nachfolgend „Bestellschein“ ge
Seite 11 und 12: c. mit dem Kunden zusammenarbeiten,
Seite 13 und 14: Aktivität 3 - Prüfung Aufgabe 1 -
Seite 15 und 16: c. bestätigen, dass zusätzliche a
Seite 17 und 18: f. Bereitstellung von Übertragungs
Seite 19 und 20: c. bestätigen, dass er die alleini
Seite 21: Bedingung ist jedoch nicht immer kl
Seite 25 und 26: (5) das SOC telefonisch kontaktiere
Seite 27 und 28: innerhalb der Frist, die im Abschni
Seite 29 und 30: d. Antivirus-Unterstützung währen
Seite 31 und 32: . die Verantwortung für alle Gebü
Seite 33 und 34: sekundären Agenten entscheidet ode
Seite 35 und 36: e. IBM die IP-Adresse des OA, den H
Seite 37 und 38: (1) Sicherheitsverstöße der Prior
Seite 39 und 40: SLA nicht erfüllt wurde Bestätigu
Seite 41: enthaltene Informationen (1) öffen

Inhaltsverzeichnis - IBM

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?