Zebraliśmy najczęstsze pytania o usługę SOC ADQ Technologies: zakres monitoringu, czas reakcji, integracje oraz wymagania formalne (m.in. NIS2 i retencja logów). Kliknij pytanie, aby rozwinąć odpowiedź i szybko znaleźć potrzebną informację. Jeśli chcesz omówić swój przypadek, umów bezpłatny audyt wstępny.
Tradycyjny antywirus działa na poziomie sygnatury - reaguje na znane zagrożenia po ich wystąpieniu. Rozwiązania SIEM agregują logi, ale wymagają wewnętrznego zespołu analityków do ich interpretacji. Usługa SOC ADQ łączy pasywną analizę ruchu sieciowego (Network Traffic Analysis) za pomocą autorskiej sondy, korelację logów z endpoint'ów oraz całodobowy nadzór analityczny po stronie ADQ. Oznacza to, że anomalie behawioralne - takie jak lateralne przemieszczanie się w sieci czy eskalacja uprawnień - są wykrywane na etapie rekonesansu, zanim dojdzie do faktycznego ataku.
Sonda monitoruje ruch na poziomie warstwy sieciowej (L2/L3), co umożliwia obserwację wszystkich urządzeń podłączonych do sieci - niezależnie od systemu operacyjnego i bez konieczności instalacji agenta. Dotyczy to w szczególności środowisk OT/ICS: sterowników PLC, maszyn produkcyjnych z systemem Windows XP/7, urządzeń medycznych czy automatyki budynkowej. Agenci endpoint'owi instalowani są na stacjach roboczych i serwerach z systemami Windows, Linux oraz macOS i dostarczają telemetrii na poziomie procesów, połączeń i zmian w rejestrze.
Po wykryciu anomalii system korelacyjny klasyfikuje zdarzenie według skali krytyczności. Zdarzenia o wysokim priorytecie (np. próba wyłączenia agenta, komunikacja z infrastrukturą C2, nieautoryzowany dostęp do zasobów) wyzwalają automatyczne powiadomienie do analityka SOC ADQ. Analityk weryfikuje kontekst zdarzenia i w ciągu 15 minut od potwierdzenia incydentu przekazuje do wyznaczonego kontaktu po stronie klienta: opis zdarzenia, wskazanie zainfekowanych zasobów, rekomendowaną ścieżkę działania oraz - w pakietach Gold i Platinum - wykonuje zdalną izolację urządzenia.
Zakres reakcji zależy od pakietu. W pakiecie Silver rola ADQ ogranicza się do detekcji, dokumentacji i powiadomienia - działania naprawcze pozostają po stronie klienta lub jego zewnętrznego dostawcy IT. Pakiety Gold i Platinum obejmują aktywne działania containment: izolację endpointu od sieci, blokadę podejrzanego konta w środowisku Microsoft 365 oraz eskalację do producenta w przypadku podatności zero-day. Pełny zakres aktywnego response jest każdorazowo definiowany w SLA stanowiącym załącznik do umowy.
Wdrożenie nie wymaga przebudowy topologii. Sonda jest podłączana do port mirror (SPAN) na przełączniku core lub poprzez dedykowany TAP sieciowy, co umożliwia pasywny nasłuch bez ingerencji w ruch produkcyjny. Integracja z Microsoft 365 realizowana jest przez API Graph z uprawnieniami tylko do odczytu. Wdrożenie agentów endpoint'owych odbywa się poprzez GPO lub narzędzia RMM. Pełny harmonogram techniczny wdrożenia jest przygotowywany po audycie wstępnym.
Standardowy onboarding składa się z czterech etapów: (1) audyt wstępny infrastruktury - zdalnie lub on-site, 1-2 dni robocze; (2) instalacja sondy i konfiguracja port mirror - 1 dzień; (3) wdrożenie agentów i integracje API - 3-5 dni roboczych; (4) faza tuningowa - 2 tygodnie, podczas których kalibrujemy bazę normalnego zachowania sieci i eliminujemy false positive'y. Łączny czas od podpisania umowy do pełnej operacyjności wynosi 2-3 tygodnie.
ADQ przetwarza metadane ruchu sieciowego (adresy IP, porty, protokoły, sygnatury zachowań), logi systemowe i zdarzenia bezpieczeństwa z endpoint'ów. Treść komunikacji (e-maile, dokumenty, ruch zaszyfrowany TLS) nie jest inspekcjonowana ani przechowywana. Przetwarzanie danych odbywa się na podstawie umowy powierzenia danych osobowych (DPA) zgodnej z art. 28 RODO. Logi są przechowywane przez 12 miesięcy w infrastrukturze zlokalizowanej na terenie Unii Europejskiej.
Dyrektywa NIS2 (implementowana w Polsce przez nowelizację KSC) nakłada na podmioty ważne i kluczowe obowiązek wdrożenia środków zarządzania ryzykiem cyberbezpieczeństwa, w tym monitorowania bezpieczeństwa i zarządzania incydentami. Usługa SOC ADQ bezpośrednio adresuje te wymogi: zapewnia ciągły monitoring, rejestr incydentów, przechowywanie logów przez wymagane 12 miesięcy oraz dokumentację niezbędną do raportowania incydentów w ustawowym terminie 24 godzin. Ocenę pełnej zgodności z NIS2 - uwzględniającą wszystkie obszary regulacji -przeprowadzamy w ramach bezpłatnego audytu wstępnego.
Dla podmiotów ważnych maksymalna kara administracyjna wynosi 7 mln EUR lub 1,4% rocznego światowego obrotu. Dla podmiotów kluczowych - 10 mln EUR lub 2% obrotu. Istotną zmianą względem poprzedniej dyrektywy jest osobista odpowiedzialność osób zarządzających: organ zarządzający może ponosić odpowiedzialność za brak nadzoru nad wdrożeniem wymaganych środków, włącznie z tymczasowym zakazem pełnienia funkcji kierowniczych.
Dla każdego zarejestrowanego incydentu generujemy ustrukturyzowany raport zawierający: timeline zdarzeń z dokładnymi timestampami, wskazanie źródła i wektora ataku, wykaz zainfekowanych zasobów, podjęte działania zaradcze oraz ocenę wpływu na organizację. Dokumentacja spełnia wymogi formalne dla raportowania do CSIRT sektorowego i UODO (w przypadku naruszenia ochrony danych osobowych). Logi są przechowywane w niezmienialnej formie, co stanowi dowód ich integralności na potrzeby postępowań wyjaśniających i audytów ubezpieczeniowych.
Audyt wstępny jest bezpłatny i niezobowiązujący. Jego zakres obejmuje: inwentaryzację urządzeń i topologii sieci, ocenę aktualnej postawy bezpieczeństwa (konfiguracja firewalla, segmentacja sieci, polityki haseł, zarządzanie uprawnieniami), identyfikację urządzeń wysokiego ryzyka (end-of-life, brak aktualizacji) oraz ocenę gotowości infrastruktury do wdrożenia monitoringu. Wynikiem audytu jest raport z priorytetyzowanymi rekomendacjami - niezależnie od tego, czy zdecydują się Państwo na podpisanie umowy z ADQ.
Cena abonamentowa zależy od trzech czynników: liczby monitorowanych urządzeń (endpoint'ów), modeli i konfiguracji urządzeń sieciowych (złożoność środowiska wpływa na nakład pracy analitycznej) oraz zakresu wybranych pakietów dodatkowych (testy phishingowe, szkolenia, audyt fizyczny). Podawane w cenniku wartości (Silver od 35 PLN/endpoint, Gold od 60 PLN/endpoint) stanowią punkt wyjścia - ostateczna wycena jest przygotowywana indywidualnie po audycie wstępnym i przedstawiana w formie oferty z pełną specyfikacją zakresu usług.
Standardowa umowa zawierana jest na 12 miesięcy z możliwością przedłużenia. Kluczowe parametry SLA: czas reakcji na incydent krytyczny - 15 minut, dostępność usługi - 99,9% (24/7/365). W przypadku rozwiązania umowy klient otrzymuje pełny eksport logów za cały okres świadczenia usługi w formacie uzgodnionym podczas onboardingu, co gwarantuje ciągłość dokumentacji i brak uzależnienia od dostawcy. Szczegółowe warunki, w tym procedura eskalacji i kary umowne za niedotrzymanie SLA, są negocjowane indywidualnie.
Testy phishingowe i szkolenia z cyberbezpieczeństwa wchodzą w zakres pakietów Gold i Platinum. Testy przeprowadzane są cyklicznie - symulowane kampanie phishingowe kierowane do pracowników klienta pozwalają zmierzyć rzeczywisty poziom podatności organizacji na ataki socjotechniczne. Wyniki stanowią podstawę do personalizowania programu szkoleń, realizowanych co 6 miesięcy. W pakiecie Silver testy i szkolenia dostępne są jako usługa dodatkowa, wyceniana odrębnie.
Raportowanie odbywa się na dwóch poziomach. Kierownik IT otrzymuje dostęp do dashboardu operacyjnego z bieżącym statusem alertów i wykrytych zdarzeń. Zarząd otrzymuje miesięczny raport executive summary zawierający: liczbę i kategorię incydentów, stan realizacji SLA, wyniki testów phishingowych (jeśli dotyczy), status zgodności z NIS2 oraz rekomendacje na kolejny miesiąc. Format i częstotliwość raportowania są konfigurowalne i uzgadniane podczas onboardingu.
