SIEM & XDR Monitoring
Ενοποιημένη ορατότητα από endpoints, identity, network, cloud & SaaS με normalization, enrichment, correlation και real-time detections.
*Δουλεύουμε με το υπάρχον SIEM/XDR ή υλοποιούμε open-stack (Wazuh/Elastic). Non-branded reports διαθέσιμα.
Τι είναι SIEM & XDR
Το SIEM συλλέγει, κανονικοποιεί και συσχετίζει logs από όλα τα συστήματα. Το XDR ενοποιεί τηλεμετρίες (endpoint, identity, network, cloud, email) και ενέργειες response σε μία πλατφόρμα για πιο γρήγορες και πλούσιες ανιχνεύσεις.
Γιατί τώρα
Οι επιθέσεις διασχίζουν πολλαπλούς άξονες (identity → cloud → endpoint). Η ενοποιημένη παρακολούθηση και τα detections με context μειώνουν δραματικά MTTD/MTTR και περιορίζουν το blast radius.
Δυνατότητες
Συλλογή & Normalization
Syslog/Agents/API, CEF/LEEF/JSON, time sync, ECS-style πεδία.
Enrichment
GeoIP, WHOIS, asset/identity context, threat intel (brAIn/MISP).
Correlation & Detections
Rules (Sigma/KQL), anomaly/thresholds, sequence logic, suppressions.
UEBA
Baseline, peer analysis, risk scoring, κλιμάκωση.
Dashboards & Reporting
Executive KPIs, coverage/health, detection burndown, audit trails.
SOAR & Response
Auto-enrich, auto-containment όπου ασφαλές, tickets & notifications.
Αρχιτεκτονική Υπηρεσίας
EDR/AV, Firewalls/VPN/IDS, AD/Entra/Okta, Email, O365/GSuite, AWS/Azure/GCP, DB/Apps, k8s.
Agents/Syslog/API, batching/queueing, secure transport, timezone normalization.
Parsing (CEF/LEEF/JSON), ECS-style fields, asset/identity/GeoIP/intel enrichment.
Rules, sequences, thresholds, lookups, risk scores, suppressions & exceptions registry.
TheHive/Case Mgmt, runbooks, auto actions (isolate, revoke, block), tickets/notify.
Ολοκληρώσεις & Κάλυψη
Detection Engineering (MITRE-mapped)
- Phishing & attachment sandbox (T1566, T1204)
- Exposed services / brute-force (T1110)
- OAuth consent phishing (T1556)
- LSASS/credential dumping (T1003)
- Token theft & session abuse
- OAuth high-scope apps
- RDP/SMB/WinRM abuse (T1021)
- Data to cloud drives/email (T1567)
- Ransomware pre-encryption (T1486/T1490)
detection: sel1: event.category:authentication AND geo.anomaly:impossible_travel sel2: app.oauth.consent:true AND app.oauth.scopes:(Mail.Read OR Files.ReadWrite.All) condition: sel1 AND sel2
FileEvents
| where ActionType in ("FileRenamed","FileModified")
| summarize count() by DeviceName, bin(Timestamp, 2m)
| where count_ > 500
Threat Hunting & UEBA
Κυνήγι βάσει TTPs/actors, retrospection 30–90d.
Baseline χρηστών/οντοτήτων, peer groups, risk score & κλιμάκωση.
Saved searches, notebooks, YARA/Sigma packs, hunting reports.
Pipeline, Διακυβέρνηση & Κόστος
CEF/LEEF/JSON parsers, mapping σε κοινό schema, timestamp hygiene.
- Hot (7–30d): έρευνα & hunting
- Warm (30–180d): ανάλυση/συμμόρφωση
- Cold/Archive (έως 1–2y): κόστος-optimized storage
Noise suppression, exceptions registry, διαχείριση false positives, detection burndown.
RBAC, least privilege, masking πεδίων, PII minimization, audit trails, key rotation.
Detection-as-code (Git), reviews, UAT, versioning, rollback.
Sampling/filters, index lifecycle, field selection, αποφυγή διπλών logs, deduplication.
Πακέτα Υπηρεσίας
- Συλλογή & parsers βασικών πηγών
- Use cases & reports (μηνιαία)
- 8×5 monitoring
- 24×7 monitoring & triage
- Correlation/UEBA, weekly hunting
- SOAR automations & live actions
- Weekly KPIs & tuning
- Multi-cloud deep coverage
- On-site IR SLAs & tabletop
- Detection-as-code program
- Quarterly purple team
Χρόνοι & SLAs (Ενδεικτικά)
- Triage: ≤15m
- Containment: ≤30m
- SITREP: ≤2h
- Triage: ≤1h
- Containment: ≤4h
- Report: 24h
- Triage: ≤4h
- Plan: 1d
- Triage: ≤1d
- Plan: 3d
*Προσαρμόζονται σε βιομηχανία/κρισιμότητα/κανονισμούς.
Μετρήσιμα Αποτελέσματα
*Ενδεικτικά από υλοποιήσεις.
Mini Case Study — Τραπεζικός κλάδος
Με migration σε XDR + detection-as-code, μειώθηκαν 48% τα false positives και επιταχύνθηκε το triage κατά 34%. Το UEBA ανέδειξε 2 περιπτώσεις risk logins που οδήγησαν σε προληπτικό containment.
Συμμόρφωση
Logging, incident handling, reporting SLAs, resilience.
ICT risk, incident classification, testing & reporting.
Data minimization, access control, audit trails & breach process.
*Πληροφοριακό υλικό· για νομικές ερμηνείες συμβουλευτείτε νομικό.
Τι παραδίδουμε
- Πλήρη parsers/mappings & data dictionary
- Detection pack (Sigma/KQL) & tuning
- Dashboards (exec/ops) & health checks
- Weekly SITREPs & monthly executive
- Exceptions registry & suppressions
- Threat intel & enrichment pipelines
- Audit trail (TheHive) & artifacts
- Roadmap 30/60/90 ημερών
Onboarding — 14 Ημέρες (τυπικό)
*Χρονοδιάγραμμα ανάλογα με όγκους logs/συστήματα.
Log/XDR Readiness Check (Δωρεάν)
Γρήγορη αξιολόγηση πηγών logs, normalization, detections, dashboards & SLAs.
*Παράδοση non-branded PDF. Δεν απαιτούνται ευαίσθητα δεδομένα.
Συχνές Ερωτήσεις
Δουλεύετε με τα δικά μας εργαλεία;
Ναι· ενσωματωνόμαστε με υπάρχον SIEM/XDR/EDR/Network/SaaS. Αν λείπουν κομμάτια, παρέχουμε open-stack tooling.
Τι γίνεται με το κόστος αποθήκευσης;
Σχεδιάζουμε retention σε layers (hot/warm/cold), field selection & dedupe, ώστε να ισορροπεί κόστος/αναλυσιμότητα.
UEBA χωρίς ευαίσθητα;
Χρησιμοποιούμε ελάχιστα αναγκαία attributes (π.χ. UPN/Dept) & ρόλους· όχι περιεχόμενο. RBAC & audit σε όλα.
Ορατότητα παντού. Ανίχνευση με context.
Κλείστε μια σύντομη παρουσίαση ή ζητήστε δείγμα αναφοράς.