Pakkeløsninger Modern Workplace Hero Compressed
Registrer trusler, før de ødelægger virksomheden

Security Information and Event Management (SIEM)

Sentinel er en Security Information and Event Management (SIEM) sikkerhedsløsning, der hjælper virksomheder med at registrere trusler, før de ødelægger virksomheden. 

Kom i gang indenfor 4 uger

JCD Sentinel overvåger og scanner din IT-infrastruktur efter predefinerede events, der kan være tegn på skadelig adfærd.

Det kan fx være login fra nye ukendte lokationer, sletning af mange filer, mange handlinger der kræver admin rettigheder og en masse andre events. Listen af ting, der kan overvåges, er uudtømmelig, og den kan defineres specielt til dig, eller du kan vælge JCD foruddefinerede regler til at starte med. 

Modsat andre sikkerhedsprodukter (som fx EDR-løsninger) indsamles logs fra forskellige datakilder ét samlet sted til analyse. Det kan være en svær opgave at angribe, hvis man analyserer logs isoleret til én enhed eller service. JCD Sentinel giver en mere dybdegående sikkerhedsovervågning samt en samlet portal til sikkerhedsalarmer. 

Med JCD drifter Sentinel får du et outsourced Security Operations Center (SOC), som det ellers kun er store virksomheder, der har kapaciteten til. 

Du slipper for at bruge tid på at undersøge, hvilke alarmer der er falske positiver, og hvilke der er reelle - JCD sorterer og reagerer på disse for dig. Derudover slipper du også for vedligeholdes-arbejdet af alarmregler og tilkobling af nytilkomne datakilder. 

Sikkerhedslogs gemmes et sikkert og centralt sted. Det betyder, at hvis uheldet er ude, og du fx bliver udsat for ransomware eller lignende angreb, vil dine logs stadig være tilgængelige til efterfølgende analyse. Det betyder, at vi på bagkant vil kunne finde ud af, hvad der er sket, hvilke sikkerhedshuller hackerne har udnyttet og efterfølgende lukke hullerne.

JCD Sentinel består af:

  • En implementering og opsætning af Sentinel + basispakke  

  • Implementering af 1 eller flere moduler, se nedenstående 

  • Konfiguration af datakilder 

  • Installation af JCD-udviklede log analyse regler 

  • Evt. en efterfølgende driftsaftale hvor JCD 

    • Vedligeholder, fintuner og løbende implementerer nye analyse regler 

    • Undersøger alarmer og kontakter kunden ved mistanke om kompromis 

Moduler

Basispakke – Er inkluderet i JCD Sentinel og analyserer logs fra Entra ID og Active Directory. Den vil alarmere på følgende: 

  • Login fra break-glass konto 

  • Handlinger fra brugere der oprettes og slettes indenfor kort tid 

  • Når flere administratorer slettes eller fratages rettigheder indenfor kort tid 

  • Mange fejlede loginforsøg efterfulgt af succesfuldt login fra samme IP (brute-force) 

  • Fejlede loginforsøg fra mange forskellige IP adresser (distribueret brute-force) 

  • Logins fra nye lande (der ikke har været logget ind fra i 14 dage) 

  • Logins og loginforsøg fra Botnets, Tor proxies og C2 servere 

  • Opslag på ondsindede domæner 

  • Administrativ rolle eller rettighed tildelt til service principal 

  • OAuth consents med sensitive rettigheder (f.eks. mail læseadgang) 

  • Unormal adgang til netværksresourcer 

  • Unormale ændringer på brugerkonti 

  • Unormale loginmønstre 

  • Konto flaget som høj eller medium risiko af Microsoft Entra Identity Protection (forudsætter Entra ID P2 på tenant) 

 

Serverpakke per 5 servere – Tilkøbspakke der analyserer serverlogs eller Microsoft Defender for Endpoint. Pakken udbygger alarmeringskapabiliteterne med følgende: 

  • Eventlog slettes 

  • Auditeringsindstillinger ændres 

  • Software der installeres på flere servere på én gang 

  • Administrative handlinger under unormale logins (fx software installeres af bruger, der er logget ind på en ny enhed) 

  • Unormale handlinger på serveren (såsom opstart af mistænkelige processer eller brugerhandlingsmønstre der ikke er set før) 

  • Ondsindede filer (forudsætter Microsoft Defender for Endpoint) 

  • Overdreven skrivehandlinger på filer (forudsætter Microsoft Defender for Endpoint) 

 

Microsoft 365 pakke – Pakken analyserer Microsoft 365 logs, dvs. logs fra Exchange Online, SharePoint og Teams. Den udbygger alarmeringskapabiliteterne med: 

  • Mistænkelige e-mail sletteregler 

  • Mistænkelige e-mail videresendelsesregler 

  • Data staging adfærd (Data der klargøres til eksfiltrering) 

  • Fildelinger fra eksterne brugere 

  • Fildownloads fra eksterne brugere 

  • Overdreven fil eller e-mail slettehandlinger 

  • Unormal antal skrivehandlinger af en enkelt bruger 

  • Unormal Office 365 handlinger 

  • Massenedgradering af følsomhedsmærkater 

  • Større mængde filer download og overførsel til USB (forudsætter Microsoft Defender for Endpoint) 

  • Større mængde filer downloadet og sendt til ekstern mail (forudsætter Microsoft Defender for O365) 

  • Ondsindet domæne i e-mail afsender (forudsætter Microsoft Defender for O365) 

  • Ondsindet fil vedhæftet i e-mail (forudsætter Microsoft Defender for O365) 

  • Ondsindet link modtaget i e-mail (forudsætter Microsoft Defender for O365) 

  

Cisco netværkspakke – Pakken analyserer netværkslogs fra Cisco firewalls. Denne forudsætter Cisco Firepower eStreamer modulet, som er en del af Cisco Firepower Management Center. Pakken udbygger alarmeringskapabiliteterne med: 

  • Port skannings adfærd 

  • Domæne genererings algoritme (DGA) adfærd (tegn på DNS-tunneller) 

  • Beaconing adfærd 

  • Port nummer og protokol uoverensstemmelse  

  • Ondsindede domæner i netværkstrafik 

  • Ondsindede IP-adresser i netværkstrafik 

  • Flere fejlede MFA-prompts efterfulgt af succesfuldt (forudsætter Cisco Duo Security MFA) 

  • Flere MFA-brugere slettet indenfor kort tid (forudsætter Cisco Duo Security MFA) 

  • MFA-administrator slette (forudsætter Cisco Duo Security MFA) 

Driftsaftale

Microsoft Sentinel er et sikkerhedsovervågningsværktøj.

Sentinel alarmerer om mistænkelig adfærd, og det er op til alarmbehandleren at undersøge, om der er tale om ondsindede handlinger, eller om det er en falsk positiv. 

En driftsaftale på JCD Sentinel betyder, at JCD har den daglige drift og alarmbehandling af Sentinel. JCD undersøger alarmerne og kontakter kundens sikkerhedsansvarlige ved mistanke om kompromittering. Kunden behøver derfor ikke bruge tid på at undersøge alarmer til dagligt, men inddrages hvis vi har mistanke. Derudover har JCD også ansvaret for løbende at tilrette alarmreglerne, så de er tilpasset kundens miljø og ikke generer for meget støj.  

 

Driftsaftale indeholder:

  • Løbende finjustering af alarmer så de er tilpasset kundens miljø 

  • Alarmbehandling af JCD* 

  • Opringning til kundekontakt ved begrundet mistanke om kompromittering 

  • Kvartalvis serviceleverancemøde med gennemgang af Nævneværdige alarmer 

  • Alarmstatistikker 

  • Snak om implementering af nye regler 

  • Onboarding af nye datakilder 

 

* Alarmer vurderes indenfor 1 time. Afhængig af severity, påbegyndes opgaves med det samme eller senest efter 4 timer. Gælder i JCD’s åbningstid, med mindre andet er aftalt. 

Priser for JCD Sentinel

Pris pr. md. ved 12 mdr. binding.

Sentinel inklusive basismodul 1.500 kr.

Driftsaftale 2.000 kr.

Serverpakke per 5 servere 250 kr.

Microsoft 365 pakke 125 kr.

 

Pris pr. md. ved 24 mdr. binding.

Sentinel inklusive basismodul 750 kr.

Driftsaftale 1.500 kr.

Serverpakke per 5 servere 200 kr.

Microsoft 365 pakke 85 kr.

 

Cisco netværkspakke afhænger af ciscoudstyr kontakt venligst JCD for uddybende info.

Microsoft datalogging er baseret på forbrug ved microsoft, erfaringsmæssigt drejer det sig om 10 kroner per måned per bruger. 

Forudsætninger

Særlige forudsætninger, der skal være på plads for, at vi kan tilbyde dette produkt/denne ydelse 

  • En Azure subscription hos kunden med Owner rettigheder til JCD 

  • Global administrator konto til JCD 

  • Afhængig af tilvalg og ønsket funktionalitet: 

  • Microsoft Defender for Endpoint P2 (for nogle regler i Server og Microsoft 365 pakke) 

  • Microsoft Defender for Office 365 (for nogle regler i Microsoft 365 pakke) 

  • Cisco Firepower Management Center (for Cisco netværkspakke) 

Hør mere om JCD Sentinel

Kontakt os! Vi vil rigtig gerne fortælle dig meget mere ... helt uforpligtende.

Bliv kontaktet

For at vi kan kontakte dig, er vi nødt til at gemme og behandle dine oplysninger. Du kan altid bede om indsigt i, hvilke data vi opbevarer om dig, ligesom du kan bede om at få dem slettet. Læs vores privatlivspolitik.