m2i OSCAR – Das Security Operations Center für IoT
OSCAR – steht für Open Source Cruncher for Availability and Reliablity. OSCAR ist unser Security Operations Center Basis Elastic Enterprise Version. Hierzu bieten wir für unterschiedliche Budgets unterschiedliche SOC-Ausstattung an.Wir liefern ein Kernmodul und verschiedene Perser und Use Cases für verschiedene Branchen.
Basis von OSCAR ist die Elastic Search Enterprise License. Grundlegend gibt es eine Hot-Path Real Time Processing- und eine Cold-Path Batch Processing Umgebung. Die Packetbeats und Filebeats liefern Netztraffic, Host-Communication und andere Logquellen, und schließen diese an. Diese fließen in eine persistente Queue auf Basis Apache Kafka. Von Apache Kafka fließen die Daten zur Normalisierung und zur weiteren Verarbeitung (Anreicherung, Transformation) in den Data Store und parallel in eine Machine Learning Pipeline. Die Machine Learning Pipeline trainiert die Machine Learning Modelle. Die Machine Learning Pipeline fließt in die Machine Learning Datenbank der Trainingsdaten, und als interaktiven Prozess wieder in die Machine Learning Pipeline. Aus dem Datastore auf der Basis von Elastic Enterprise License können Abfragen (Joins) getätigt werden, Alerts generiert und versendet werden, und Kibana Dashboards ausgegeben werden. Unsere Dashboards sind keine Standard Dashboards sondern mit viel Aufwand entwickelte Dashboards. Aus der Standard Ausgabe des SOCs fließen die Daten u.a . in die SOAR-Umgebung, die Aktionen automatisiert wo erwünscht und mit User Intervention wo erwünscht ausführt.
- Integration von Endpoint Security Tools
- Internet Proxy mit Anomalieerkennung
- Abarbeitung von High Security Threads mit Hilfe von künstlicher Intelligenz
- IoC-Erkennung in Echtzeit
- Thread Intelligence
- Secure Token Service für die Komponenten im SOC
- Container Security
- Test Automatisierungs- und Replay-Komponenten
- Automatic Exploit Testing
- Workflow-Engine mit Regeln/Use Cases
- Incident Case Management
- Berechnung der riskantesten Threads und Ableitung von ökonomischen Gegenmaßnahmen
- Mitre
- Database Activity Monitoring
- Vulnerabuility Assessment System
- Trouble Ticket System Anbindung / API
- Übergreifendes automatisiertes Risikomanagement
- Schwachstellenscans
- CMDB und Assets (SOC-Readyness)
- Honeypots und Chaff Bugs
- Isolation
- Automatisiertes Binärpatchen
- Automatisiertes Patchen
- Manuelles Patchen
- Exploit Testing
- Datenbank der Risiken und Gegenmaßnahmen
- Virtualisierung mit Docker und Kubernetes
- DevOps-artige Arbeitspakete zur Automatisierung gängiger Aktivitäten
Unsere Entwicklung findet in Deutschland statt. Unser Entwicklungsteam ist sehr gut geschult und orientiert sich an modernsten gängigen Standards in der Entwicklung und Programmierung.