Dagens trusselbilde krever innsamling og analyse av logger og alarmer fra hele infrastrukturen til bedriften. På den måten kan avanserte trusler oppdages i tide. Logganalyse ser sammenhengen i data fra sky, nettverk og endepunkter. Og hjelper deg å detektere og respondere på sikkerhetstrusler.

Tjenesten er plattformuavhengig og fleksibel. Og kan skreddersys bedriftens ønskede sikkerhetsnivå. 

Logganalyse - detektere og respondere

Hva er Logganalyse?

  • 24/7 tjeneste som har i oppgave å varsle datainnbrudd og skadevare. Ved å oppdage datainnbrudd i en tidlig fase reduseres risikoen for tap av kundedata, forretningshemmeligheter og utpressing via løsepengevirus. Telenors Sikkerhetssenter står for leveransen av tjenesten på en fleksibel analyseplattform i våre egne datasentre i Norge.

  • Med logganalyse-tjenesten får du en mer fullstendig forståelse av sikkerhetshendelser. Evnen til å oppdage trusler og angrep øker, og antallet falske alarmer reduseres.

  • Hendelser varsles etter kundetilpassede rutiner og all informasjon er tilgjengelig via en webbasert kundeportal. Kundeportalen er oversiktlig og viser hendelser, loggkilder og volum. Samt trender og utvikling, statistikk/hendelses-dashbord og informasjon om tjenesten.

Fordeler med tjenesten

  • Loggdata fra endepunkt, sky og nettverk blir korrelert og deretter analysert av våre eksperter med lang erfaring og som kjenner sårbarhetene, hackingmetodene og trusselbildet svært godt
  • Du kan i samarbeid med oss konfigurere tjenesten etter din bedrifts ønsker og behov
  • Tjenesten tilbyr en interaktiv portal med statistikk og rapportering
  • Beskytter mot hackerangrep og uønskede aktiviteter i nettverket eller mot utstyr
  • Løsningen er fleksibel og kan integreres mot alle typer relevante loggkilder

Detaljert informasjon om løsningen

i

Standardkonfigurasjon

Standard lagringskapasitet er basert på daglig mengde indekserte data, korrelert og visualisert med triage- og analysefunksjoner, og opptil 6 måneder med historiske data. Andre lagringsintervaller kan avtales avhengig av individuelle kundebehov. Også inkludert i tjenesten er 3 konsulenttimer per måned som kan brukes til analyse, skadebegrensning, triage eller sikkerhetsledelse. For ytterligere hjelp kan det være mulig å kjøpe flere timer som ekstra konsulentoppdrag, med forbehold om tilgjengelighet.

i

Operasjonelle prinsipper

Innhentede loggdata vil bli analysert for å verifisere vurderingene som gjøres på Telenors produksjonsplattformer Splunk og TIRP (Telenor Incident Response Platform). Retensjonspolicyer vil bli fastsatt for de forskjellige loggkildene i henhold til kundens krav.

Tjenesten inkluderer forhåndsdefinerte regler for varsling av sikkerhetshendelser. I samarbeid med kunden vil Telenor lage nye varslingsregler for kundespesifikke sikkerhetsutfordringer, og tilpasse seg logger fra alle spesielle systemer.

Det grunnleggende detaljeringsnivået er basert på et lagringsintervall på seks måneder med historiske data. Når ny kunnskap er tilgjengelig ifht angrepsvektorer, sikkerhetssignaturer o.l., vil TSOC ved behov utføre oppdatert logganalyse på historiske loggdata. Historiske loggdata vil også bli brukt når nye trusler og scenarier oppstår, for bedre å kunne forstå hendelsesforløp, og også for å kunne avgjøre om de samme angrepsteknikkene har blitt benyttet tidligere.

i

Tilganger

Logganalyseløsningen er avhengig av Splunk forwardfunksjonalitet internt i kundens nett. Eierskap og ansvar for drift og vedlikehold av disse ligger hos kunden, og Telenor vil ikke ha administrativ tilgang til disse. Forwarderene vil motta og videresende loggtrafikk fra interne ‘hoster’ i kundens nettverk til TSOC gjennom sikre protokoller som HTTPS/SSL.

Telenor må kunne kommunisere med nettverkssensorer og Splunk-forwardere på kundelokasjon, og eksisterende Telenor Nordic Connect-tilganger på kundens lokasjon kan eventuelt benyttes til dette formålet ved å etablere separate grensesnitt/soner/VPN’er for denne kommunikasjonen. Nordic Connect -aksesser kan konfigureres med tilstrekkelig høy SLA/tilgjengelighet. Telenor krever ikke tilgang til kundens eksisterende fjerntilgangsløsning for å få tilgang til nettverkselementene.

i

Innsamlede data

Alle loggkilder vil bli normalisert til å bli opp mot felles standard, Splunks felles informasjonsmodell (CIM), slik at også krysskorrelering enklere kan utføres.

i

Deteksjon av innsamlede data

Logganalyse-plattformen bruker flere forskjellige kilder og teknikker for å detektere skadelig aktivitet. Systemet analyserer kommunikasjon mellom forskjellige parter, hvor unormal kommunikasjonsadferd vil føre til dypere inspeksjon. Korrelasjonssøk mellom datakilder styrker analytikerens kapabilitet når det oppdages og analyseres hendelser. Med flere informasjonskilder har analytikeren et bredt utvalg muligheter tilgjengelig for både automatisk og manuell gjenkjenning og verifisering.

i

Validering av sikkerhetshendelser

Dersom mistenkelig aktivitet blir avdekket av Telenors automatiserte plattform, blir det presentert et sett varsler for analytikeren. For å vurdere om den mistenkelige aktiviteten er skadelig, kan analytikeren så benytte verktøy som raskt kartlegger om det også finnes andre relaterte hendelser. Datagrunnlaget berikes automatisk i bakgrunnen, og analytikerne kan innhente og analysere informasjon fra alle tilgjengelige kilder for å kunne validere hendelsene korrekt. Plattformen har innebygd grafisk visualisering, som gir analytikerne en unik oversikt, og mulighet til bedre å forstå omfanget av hendelsene.

i

Lagring av data

Datagrunnlag vil normalt bli lagret i seks måneder. Lagringen skal være i samsvar med POL (Personopplysningsloven) og GDPRkrav, og avtales som en del av kontrakten med kunden. Se for øvrig punkt lenger ned.

i

Trusselhåndtering

Hvis en detektert hendelse anses å være en trussel, vil Telenor varsle ihht til det som er avtalt med kunde. Et angrep kan da ofte begrenses og avverges i samarbeid mellom Telenor og kunde (se også Aktiv Respons). Noen angrep kan stoppes ved å lede trafikken via en enhet kalt TMS (Threat Management System). Ved å bruke spesielle regler for å filtrere ut angripende trafikk fra normal trafikk, vil den da kunne fjernes før den når kundens nettverk. Det er definert tre alvorlighetsgrader for detekterte sikkerhetshendelser:

Røde hendelser defineres som angrep, eller forsøk på angrep, som gir umiddelbar fare for kundens nettverk og nettverkstjenester, samt systemer som allerede er kompromittert eller er i umiddelbar fare for å bli kompromittert.

Oransje hendelser er definert som angrep eller forsøk på angrep, som kan føre til at systemene blir kompromittert hvis det ikke gjøres noe innen rimelig tid.

Gule hendelser er mindre alvorlige aktiviteter, skanner, o.l. Disse hendelsene gir viktige tidlige advarsler, samt grunnlag for kontinuerlige forbedringer i sikkerhetsarbeidet og forebyggende aktiviteter.

To prosedyrer for rapportering inngår i tjenesten; én for normale rapporter (dvs. månedlig sammendrag) og én for alvorlige hendelser. Rapportering av hendelser vil skje mot de kontaktpunktene som er forhåndsavtalt med kunde.

i

Respons på misstenkelig aktivitet

Aktiv Respons er en tillegstjeneste til Logganalyse for kunder som har tatt i bruk Microsoft Defender for Endpoint Plan 2. Med denne tjenesten overvåker våre sikkerhetseksperter ditt Microsoft Defender-miljø 24/7-365 og utfører nødvendige skadebegrensende tiltak på dine endepunkter ved et cyberangrep. Du kan lese mer om Aktiv Respons her

i

Loggkilder

Telenors plattform for logganalyse støtter følgende generiske plattformer:

Endepunkt (EDR), Netflow, Brannmurer, Identitet, Windows Event Logs, IDS, Proxy / Web Content Gateway, DNS, Azure og AWS. Ytterligere loggkilder kan legges til ved behov og på forespørsel. Loggsystemet kan i utgangspunktet håndtere de aller fleste loggkilder, med noen tilpasninger, og generelt er Telenors loggplattform designet for å håndtere alle typer logger.

i

Telenors behandling av personopplysninger i tilknytning til tjenesten

Telenors leveranse av ‘Logganalyse’ (Tjenesten) innebærer behandling av personopplysninger på vegne av kunden. For denne Tjenesten er Telenor databehandler, og kunden er behandlingsansvarlig under personopplysningsloven.

Når Telenor er databehandler på vegne av kunden er behandlingen av personopplysninger regulert av særskilte databehandlervilkår. Databehandlervilkårene fremgår av punktet Behandling av personopplysninger, jf. punkt 22 i Generelle vilkår i Telenors Tjenesteavtale eller annen særskilt forhandlet tjenesteavtale (for kunder som har forhandlet en kundespesifikk avtale med Telenor), eller punkt 9 i Alminnelige vilkår for bedrifter for øvrige kunder.

For tjenester og/eller prosesser hvor Kunden delvis eller i sin helhet er behandlingsansvarlig er det Kundens ansvar å sikre lovlig formål og rettslig grunnlag (hjemmel) for behandlingen av personopplysninger. Kunden skal også sikre at egne brukere av Tjenesten er informert om Tjenesten og hvordan denne fungerer. Endelig har Kunden ansvar for at abonnement som skal ha Tjenesten er registrert hos Telenor med korrekt navn på Bruker.

Oversikten under inneholder opplysninger som er av relevans for Partenes oppfølgning av databehandlervilkårene.

Vis alle