0
SIEM & XDR Monitoring | Audax

SIEM & XDR Monitoring

Ενοποιημένη ορατότητα από endpoints, identity, network, cloud & SaaS με normalization, enrichment, correlation και real-time detections.

Τι είναι SIEM & XDR

Το SIEM συλλέγει, κανονικοποιεί και συσχετίζει logs από όλα τα συστήματα. Το XDR ενοποιεί τηλεμετρίες (endpoint, identity, network, cloud, email) και ενέργειες response σε μία πλατφόρμα για πιο γρήγορες και πλούσιες ανιχνεύσεις.

Γιατί τώρα

Οι επιθέσεις διασχίζουν πολλαπλούς άξονες (identity → cloud → endpoint). Η ενοποιημένη παρακολούθηση και τα detections με context μειώνουν δραματικά MTTD/MTTR και περιορίζουν το blast radius.

Δυνατότητες

Συλλογή & Normalization

Syslog/Agents/API, CEF/LEEF/JSON, time sync, ECS-style πεδία.

Enrichment

GeoIP, WHOIS, asset/identity context, threat intel (brAIn/MISP).

Correlation & Detections

Rules (Sigma/KQL), anomaly/thresholds, sequence logic, suppressions.

UEBA

Baseline, peer analysis, risk scoring, κλιμάκωση.

Dashboards & Reporting

Executive KPIs, coverage/health, detection burndown, audit trails.

SOAR & Response

Auto-enrich, auto-containment όπου ασφαλές, tickets & notifications.

Αρχιτεκτονική Υπηρεσίας

Data Sources

EDR/AV, Firewalls/VPN/IDS, AD/Entra/Okta, Email, O365/GSuite, AWS/Azure/GCP, DB/Apps, k8s.

Collectors

Agents/Syslog/API, batching/queueing, secure transport, timezone normalization.

Normalize & Enrich

Parsing (CEF/LEEF/JSON), ECS-style fields, asset/identity/GeoIP/intel enrichment.

Correlation/Detections

Rules, sequences, thresholds, lookups, risk scores, suppressions & exceptions registry.

Cases & SOAR

TheHive/Case Mgmt, runbooks, auto actions (isolate, revoke, block), tickets/notify.

Ολοκληρώσεις & Κάλυψη

Wazuh / Elastic SIEM Microsoft Sentinel / M365 Defender CrowdStrike / SentinelOne Suricata / Zeek IDS Firewalls (Fortinet/Palo Alto/Check Point) AD/Entra • Okta • SSO/MFA AWS / Azure / GCP MISP • TheHive • Ticketing

Detection Engineering (MITRE-mapped)

Initial Access
  • Phishing & attachment sandbox (T1566, T1204)
  • Exposed services / brute-force (T1110)
  • OAuth consent phishing (T1556)
Privilege/Credential Access
  • LSASS/credential dumping (T1003)
  • Token theft & session abuse
  • OAuth high-scope apps
Lateral/Exfil/Impact
  • RDP/SMB/WinRM abuse (T1021)
  • Data to cloud drives/email (T1567)
  • Ransomware pre-encryption (T1486/T1490)

Threat Hunting & UEBA

Hypothesis-Driven

Κυνήγι βάσει TTPs/actors, retrospection 30–90d.

UEBA

Baseline χρηστών/οντοτήτων, peer groups, risk score & κλιμάκωση.

Artifacts

Saved searches, notebooks, YARA/Sigma packs, hunting reports.

Pipeline & Κόστος

Parsing & Normalization

CEF/LEEF/JSON parsers, mapping σε κοινό schema, timestamp hygiene.

Retention Strategy
  • Hot (7–30d): έρευνα & hunting
  • Warm (30–180d): ανάλυση/συμμόρφωση
  • Cold/Archive (έως 1–2y): κόστος-optimized storage
Coverage & Tuning

Noise suppression, exceptions registry, διαχείριση false positives, detection burndown.

Data Governance

RBAC, least privilege, masking πεδίων, PII minimization, audit trails, key rotation.

Change Management

Detection-as-code (Git), reviews, UAT, versioning, rollback.

Cost Controls

Sampling/filters, index lifecycle, field selection, αποφυγή διπλών logs, deduplication.

Πακέτα Υπηρεσίας

SIEM Core
  • Συλλογή & parsers βασικών πηγών
  • Use cases & reports (μηνιαία)
  • 8×5 monitoring
XDR Pro
  • 24×7 monitoring & triage
  • Correlation/UEBA, weekly hunting
  • SOAR automations & live actions
  • Weekly KPIs & tuning
XDR Enterprise
  • Multi-cloud deep coverage
  • On-site IR SLAs & tabletop
  • Detection-as-code program
  • Quarterly purple team

Χρόνοι & SLAs (Ενδεικτικά)

P1 — Κρίσιμο
  • Triage: ≤15m
  • Containment: ≤30m
  • SITREP: ≤2h
P2 — Υψηλό
  • Triage: ≤1h
  • Containment: ≤4h
  • Report: 24h
P3 — Μεσαίο
  • Triage: ≤4h
  • Plan: 1d
P4 — Χαμηλό
  • Triage: ≤1d
  • Plan: 3d

*Προσαρμόζονται σε βιομηχανία/κρισιμότητα/κανονισμούς.

Μετρήσιμα Αποτελέσματα

−37%
MTTR
+31%
Detection Coverage
−48%
False Positives

*Ενδεικτικά από υλοποιήσεις.

Mini Case Study — Τραπεζικός κλάδος

Με migration σε XDR + detection-as-code, μειώθηκαν 48% τα false positives και επιταχύνθηκε το triage κατά 34%. Το UEBA ανέδειξε 2 περιπτώσεις risk logins που οδήγησαν σε προληπτικό containment.

Συμμόρφωση

NIS2

Logging, incident handling, reporting SLAs, resilience.

DORA

ICT risk, incident classification, testing & reporting.

GDPR / ISO 27001

Data minimization, access control, audit trails & breach process.

*Πληροφοριακό υλικό· για νομικές ερμηνείες συμβουλευτείτε νομικό.

Τι παραδίδουμε

  • Πλήρη parsers/mappings & data dictionary
  • Detection pack (Sigma/KQL) & tuning
  • Dashboards (exec/ops) & health checks
  • Weekly SITREPs & monthly executive
  • Exceptions registry & suppressions
  • Threat intel & enrichment pipelines
  • Audit trail (TheHive) & artifacts
  • Roadmap 30/60/90 ημερών

Συχνές Ερωτήσεις

Δουλεύετε με τα δικά μας εργαλεία;

Ναι· ενσωματωνόμαστε με υπάρχον SIEM/XDR/EDR/Network/SaaS. Αν λείπουν κομμάτια, παρέχουμε open-stack tooling.

Τι γίνεται με το κόστος αποθήκευσης;

Σχεδιάζουμε retention σε layers (hot/warm/cold), field selection & dedupe, ώστε να ισορροπεί κόστος/αναλυσιμότητα.

UEBA χωρίς ευαίσθητα;

Χρησιμοποιούμε ελάχιστα αναγκαία attributes (π.χ. UPN/Dept) & ρόλους· όχι περιεχόμενο. RBAC & audit σε όλα.

Ορατότητα παντού. Ανίχνευση με context.

Καλέστε μας για μια σύντομη παρουσίαση.