Správa bezpečnostných informácií a udalostí - SIEM

Funkčná špecifikácia

Predmetom zákazky je obstaranie bezpečnostného riešenia pre aktívny zber dát z monitorovaných zariadení a aplikácií v reálnom čase so schopnosťou ich analyzovania a identifikácie správania typického pre narušenie bezpečnosti, teda dodávka HW zariadenia (centrálnej webovej konzoly), softvéru (softvérová licencia) (ďalej spolu i ako „riešenie“), maintenance poskytovaný výrobcom (podpora a údržba softvéru a HW zariadenia) na obdobie 1 roka a a dokumentácie poskytovanej výrobcom (inštalačná a administrátorská príručka).; Súčasťou plnenia je i zaškolenie obsluhy (t. j. najviac 3 pracovníkov objednávateľa v rozsahu 1 pracovného dňa).

Technická špecifikácia textová

Technické vlastnosti: Riešenie musí poskytovať centrálnu webovú konzolu, z ktorej je možné spravovať celé riešenie, Hodnota / charakteristika: ; Technické vlastnosti: Ponúkané riešenie musí poskytovať webové užívateľské rozhranie a toto rozhranie by nemalo obsahovať pluginy alebo byť založené na technológiách Java, Flash alebo na báze tučného klienta., Hodnota / charakteristika: ; Technické vlastnosti: Riešenie musí podporovať prácu s internými prekrývajúcimi sa rozsahmi adries spolu so sieťovými tokmi, udalosťami a zariadeniami v sieti. Toto umožňuje spravovať v jednom riešení aj podriadené organizácie., Hodnota / charakteristika: ; Technické vlastnosti: Riešenie musí umožňovať definíciu užívateľských oprávnení pre možnosť oddelenia prístupu jednotlivých administrátorov k jednotlivým zariadeniam, ich skupinám či sieťovým segmentom., Hodnota / charakteristika: ; Technické vlastnosti: Riešenie nesmie byť licenčne obmedzené počtom zdrojov udalostí (logov)., Hodnota / charakteristika: ; Technické vlastnosti: Riešenie musí umožňovať zber udalostí (logov) bez nutnosti inštalovať agenta na cieľový systém., Hodnota / charakteristika: ; Technické vlastnosti: Riešenie musí v prípade potreby umožňovať inštalovať agenta na cieľový systém pre zber udalostí z Microsoft Windows prostredia., Hodnota / charakteristika: ; Technické vlastnosti: Riešenie musí obsahovať vstavaný mechanizmus na klasifikáciu systémov podľa typu do kategórií (identifikáciu zdrojov logov)., Hodnota / charakteristika: ; Technické vlastnosti: Riešenie musí umožňovať použitie šifrovanej komunikácie medzi zdrojmi udalostí a riešením., Hodnota / charakteristika: ; Technické vlastnosti: Riešenie musí podporovať agregáciu udalostí z udalostí i podľa položiek, ktoré nie sú zahrnuté v riešení priamo od výrobcu. Teda je možné agregovať pomocou vlastných pridaných položiek., Hodnota / charakteristika: ; Technické vlastnosti: Riešenie musí podporovať zber udalostí z rôznych prostredí ako sú Windows, Linux / Unix / AIX prostredia, bezpečnostných a sieťových systémov, databáz a súborov., Hodnota / charakteristika: ; Technické vlastnosti: Riešenie musí pre zber udalostí podporovať protokoly: Syslog, Windows Events Collection (WinRE / RPC), FTP, SCP, SNMP, ODBC / JDBC, CP-LEA, SDEE, log file., Hodnota / charakteristika: ; Technické vlastnosti: Riešenie musí umožňovať rozšírenie výberov o užívateľské položky z obsahu logov., Hodnota / charakteristika: ; Technické vlastnosti: Riešenie nesmie byť licenčne obmedzené počtom používaných korelačných pravidiel, pretože nemožno vopred určiť finálny počet týchto pravidiel., Hodnota / charakteristika: ; Technické vlastnosti: Riešenie musí už out-of-box obsahovať analytické a korelačné pravidlá, ktoré možno začať používať ihneď po inštalácii., Hodnota / charakteristika: ; Technické vlastnosti: Riešenie musí vykonávať tzv. Near-real-time analýzu udalostí, teda v momente príchodu udalosti do riešenia bude udalosť testovaná korelačnými pravidlami., Hodnota / charakteristika: ; Technické vlastnosti: Riešenie musí umožňovať vykonávať analýzu dlhodobých trendov, ktoré vychádza z prichádzajúcich udalostí. Jedná sa o Network Behavior Anomaly Detection funkcionalitu., Hodnota / charakteristika: ; Technické vlastnosti: Riešenie musí podporovať schopnosť monitorovať históriu útokov (typov udalostí) na kritické komponenty., Hodnota / charakteristika: ; Technické vlastnosti: Riešenie musí v prípade využitia monitoringu sieťových tokov podporovať schopnosť korelovať udalosti DHCP, VPN a Active Directory a sledovať priebeh užívateľskej relácie v rámci celej organizácie., Hodnota / charakteristika: ; Technické vlastnosti: Riešenie musí podporovať schopnosť korelovať dáta o udalostiach so statickými a dynamickými zoznamami pre možnosť vytvárať napríklad zoznamy povolených zariadení a naopak., Hodnota / charakteristika: ; Technické vlastnosti: Niektoré zariadenia v sieti často menia svoju IP adresu. Ponúkané riešenie musí byť schopné udržať databázu zariadení konzistentnú aj v týchto prípadoch., Hodnota / charakteristika: ; Technické vlastnosti: Riešenie musí obsahovať funkcionalitu behaviorálnej analýzy užívateľov pre možnosti skúmania správania užívateľov. Táto funkcionalita musí využívať algoritmy strojového učenia a musí byť úzko previazaná so zvyškom systému a spravovať sa z jednotného rozhrania správcovskej konzoly SIEM systému. Systém musí obsahovať aj základné out-of-the-box pravidlá pre funkcionalitu behaviorálnej analýzy používateľov., Hodnota / charakteristika: ; Technické vlastnosti: Riešenie musí ponúkať zobrazenie upozornenia vo webovej konzole a zasielanie upozornení (email, syslog, atď.) administrátorom., Hodnota / charakteristika: ; Technické vlastnosti: Riešenie musí obsahovať zasielanie upozornení na základe detegovanej hrozby, anomálie, porušenie bezpečnostnej politiky a prekročení nastaveného prahu. Tiež musí riešenie zasielať upozornenia a informovať (mať možnosť zaslať upozornenie) pri výpadku zberu udalostí zo zariadenia., Hodnota / charakteristika: ; Technické vlastnosti: Riešenie musí podporovať nastavenie konkrétnej akcie (napr. Zaslať email, notifikáciu alebo spustiť vopred definovaný skript), ktorá bude vykonaná v závislosti na prijaté udalosti či výsledku korelačného pravidlá., Hodnota / charakteristika: ; Technické vlastnosti: Riešenie musí zreťaziť udalosti do jedného záznamu o incidente, takže ak korelačné testy označí viac činností súvisia s jedným útokom, vygeneruje riešenie iba jeden incident, aby nedošlo k preťaženiu bezpečnostného operačného tímu., Hodnota / charakteristika: ; Technické vlastnosti: Riešenie musí v centrálnej webovej konzole umožňovať vykonávať kombinované hľadanie v aj v indexovaných audítorských dátach s použitím regulárnych výrazov a fulltextového vyhľadávania v neštruktúrovanom texte súčasne., Hodnota / charakteristika: ; Technické vlastnosti: Riešenie musí poskytovať pokročilé detailné vyhľadávania tzv. Drill-down s možnosťou filtrácie až na úroveň IP adresy, typu udalosti, protokolu, portu atď., Hodnota / charakteristika: ; Technické vlastnosti: Riešenie musí podporovať zrozumiteľný spôsob vyhľadávania s podporou zadaní dotazu s použitím Booleovej logiky alebo pomocou regulárneho výrazu., Hodnota / charakteristika: ; Technické vlastnosti: Riešenie nesmie byť licenčne obmedzené počtom existujúcich reportov alebo počtom reportov ktoré je možné vytvoriť., Hodnota / charakteristika: ; Technické vlastnosti: Riešenie musí už out-of-box obsahovať predpripravené reporty, ktoré možno začať používať ihneď po inštalácii., Hodnota / charakteristika: ; Technické vlastnosti: Riešenie musí umožňovať vytvárať vlastné reporty pomocou grafického rozhrania, kde možno vytvárať nové zostavy bez nutnosti zostavovať SQL dotazy., Hodnota / charakteristika: ; Technické vlastnosti: Riešenie musí podporovať nezmenenú funkcionalitu reportingu aj pri zmene alebo náhrade niektoré technológie ako napr. Firewallu alebo IDS., Hodnota / charakteristika: ; Technické vlastnosti: Riešenie musí byť vysoko hodnotené trhom, čo odráža umiestnenie riešenia v segmente "leaders" v Gartner Magic Quadrant for Security Information and Event Management (SIEM)., Hodnota / charakteristika: ; Technické vlastnosti: Riešenie musí byť dodané formou distribuovanej architektúry, kedy komponent pre spracovanie a ukladanie udalostí na úložisko bude vo forme HW zariadenia a všetky ostatné komponenty môžu byť umiestnené vo forme virtuálneho zariadenia do virtuálneho prostredia., Hodnota / charakteristika: ; Technické vlastnosti: Riešenie musí byť dodané v preferovanej forme objednávateľa v možnej kombinácii HW a Virtual., Hodnota / charakteristika: ; Technické vlastnosti: Riešenie musí umožňovať pre budúce rozšírenie vzdialený zber logov lokálnym kolektorom s následným preposielaním v komprimovanej podobe a šifrovane v rámci riešenia., Hodnota / charakteristika: ; Technické vlastnosti: V prípade výpadku spojenia musí lokálny kolektor umožňovať dočasne ukladať zbierané dáta v rámci riešenia., Hodnota / charakteristika: ; Technické vlastnosti: Riešenie musí umožňovať vykonávať automatické aktualizácie riešenia bez pomoci profesionálnych služieb výrobcu., Hodnota / charakteristika: ; Technické vlastnosti: Riešenie musí obsahovať mechanizmus na internú kontrolu stavu komponentov riešenia a upozornenia administrátora v prípade problému., Hodnota / charakteristika: ; Technické vlastnosti: Riešenie musí natívne podporovať budúce rozšírenie o nasadenie v režime vysokej dostupnosti bez nutnosti využitia ďalších softvérov iných ako výrobca alebo riešenia tretích strán., Hodnota / charakteristika: ; Technické vlastnosti: Režim vysokej dostupnosti musí byť možné pripojiť v akejkoľvek fáze, bez nutnosti reinštalácie a celého riešenia., Hodnota / charakteristika: ; Technické vlastnosti: Riešenie musí ukladať prichádzajúce udalosti v štandardizovanom formáte a zároveň aj v originálnom "raw" formáte., Hodnota / charakteristika: ; Technické vlastnosti: Riešenie musí obsahovať mechanizmus pre zabezpečenie integrity ukladaných dát., Hodnota / charakteristika: ; Technické vlastnosti: Riešenie musí obsahovať mechanizmus pre plánované archivovanie uložených dát na externé úložisko., Hodnota / charakteristika: ; Technické vlastnosti: Riešenie musí obsahovať funkcionalitu automatickej tvorby záloh konfigurácie s následnou možnosťou obnovy., Hodnota / charakteristika: ; Technické vlastnosti: Riešenie musí podporovať integráciu pomocou otvoreného API rozhrania. API môže slúžiť pre strojovú interakciu s riešením alebo pre integráciu s riešeniami tretích strán., Hodnota / charakteristika: ; Technické vlastnosti: Riešenie musí umožňovať overenie užívateľov pomocou integrácie s adresárovým systémom Active Directory., Hodnota / charakteristika: ; Technické vlastnosti: Riešenie musí umožňovať pracovať s reputačnými službami výrobcu alebo s reputačnými službami tretích strán. Reputačné služby poskytujú napríklad IP geolokáciu, botnet kanály atp. Súčasťou riešenia bude licencia pre využitie reputačné služby výrobcu., Hodnota / charakteristika: ; Technické vlastnosti: Riešenie musí umožňovať rozšírenie funkcionality pomocou aplikačného frameworku s verejne dostupným obsahom., Hodnota / charakteristika: ; Technické vlastnosti: Riešenie musí podporovať monitoring sieťovej komunikácie v rámci virtualizovaného prostredia., Hodnota / charakteristika: ; Technické vlastnosti: Riešenie musí podporovať agregáciu záznamov o sieťovej prevádzke z oboch strán dátového toku do jedno záznamu popisujúceho obojsmernú komunikáciu., Hodnota / charakteristika: ; Technické vlastnosti: Riešenie musí umožňovať pridanie integrovaného manažmentu rizík na základe sieťových tokov a konfigurácia aktívnych prvkov do GUI formou rozšírenia licencie., Hodnota / charakteristika: ; Technické vlastnosti: Riešenie musí mať schopnosť zapojiť umelú inteligenciu do vyšetrovania incidentov v rámci jednotného rozhrania SIEM konzoly, tak aby uľahčil prácu analytikom. O túto schopnosť je riešenie možné kedykoľvek rozšíriť pomocou rozšírenia licencie., Hodnota / charakteristika: ; Technické vlastnosti: Medzi schopnosti umelej inteligencie musí patriť aspoň doplňovanie informácií o hrozbách nájdených v incidentoch a zobrazovať informácie o ich možnom šírení na ďalšie prvky v infraštruktúre, vrátane vizualizácie. Umelá inteligencia musí vedieť spojiť dohromady lokálne zozbierané informácie spolu s informáciami zozbieraným externe zo znalostných báz., Hodnota / charakteristika: ; Technické vlastnosti: Umelá inteligencia musí v rámci ponúkaného riešenia sledovať históriu riešenie útokov bezpečnostnými analytikmi a na jej základe odporúčať ďalšie kroky., Hodnota / charakteristika: ; Technické vlastnosti: Riešenie musí obsahovať licenciu pre zber sieťových tokov pre minimálne 15 000 FPM (flow per minute) z infraštruktúrnych prvkov vo formátoch NetFlow, JFLow, sFlow., Hodnota / charakteristika: ; Technické vlastnosti: Riešenie musí licenčne a výkonovo podporovať spracovanie minimálne 10 000 EPS (Events per second) s možnosťou rozšírenia bez nutnosti navýšenia výpočtových prostriedkov až na 40 000 EPS., Hodnota / charakteristika: ; Technické vlastnosti: Riešenie musí mať schopnosť uchovať interne (tzv. Online) aspoň 70 TB dát bez toho, aby riešenie vyžadovalo použitie externých pamäťových zariadení alebo médií., Hodnota / charakteristika: ; Technické vlastnosti: Podpora a údržba pre HW zariadenie a softvér musí zahŕňať upgrade a aktuálne opravné balíky (fixies, patch) a musí byť realizovaná onsite v režime24x7 s reakčnou dobou pri kritických problémoch 2 hodiny (best effort)., Hodnota / charakteristika: ; Technické vlastnosti: Zaškolenie obsluhy by malo obsahovať najmä popis ako bezpečnostné riešenie zberá údaje pre detekciu podozrivých aktivít, popis ako vyzerá architektúra komponentov a dátové toky predstavenie užívateľského rozhrania UI webovej konzoly, akým spôsobom sa v nej vyšetrujú podozrivé bezpečnostné incidenty a narušenie bezpečnostnej politiky, ako sa pracuje s vyhľadávaním, filtrami, normalizáciou a analýzou bezpečnostných údajov, ako sa pomocou neho vyšetrujú zraniteľnosti a zisťujú služby aktív, ako treba využívať hierarchie sietí, *, Hodnota / charakteristika: ; Technické vlastnosti: * ako si vytvoriť svoje sadu vlastných pravidiel a vyšetrovať akcie a výstupy z týchto pravidiel, ako analyzovať porušenia bezpečnostných pravidiel, vytvorených týmto riešením, používanie manažmentu indexov, ako sa orientovať v ovládacom paneli (Dashboard) **, Hodnota / charakteristika: ; Technické vlastnosti: ** a ako si ho prispôsobovať, ako vytvárať svoje vlastné reporty, ako používať grafické znázornenia a filtre, ako používať na pokročilé vyhľadávanie špeciálne príkazy daného bezpečnostného riešenia a malo by obsahovať podrobnú analýzu scenárov riešenia bezpečnostných incidentov z praxe a intenzívne laboratórne cvičenia obsahujúce prehľad rutinnej práce IT bezpečnostného analytika pracujúceho s bezpečnostným riešením., Hodnota / charakteristika:

Technická špecifikácia číselná

Technické vlastnosti: Softvérová licencia vrátane jednoročnej údržby a podpory, Jednotka: ks, Minimum: , Maximum: , Presná hodnota: 1; Technické vlastnosti: HW zariadenie vrátane jednoročnej údržby a podpory, Jednotka: ks, Minimum: , Maximum: , Presná hodnota: 1