Ad-hoc Log- & XDR-Analyse

➥ Ein Alarm wirft Fragen auf? Wir werten Deine Logs aus und ordnen ein, was wirklich passiert ist.

Dein EDR, XDR, MDR oder SIEM löst einen Alarm aus, aber die genaue Bedeutung ist unklar? Oder Du brauchst eine zweite Meinung und eine fundierte Einschätzung?
Dann unterstützen wir Dich gerne.

Denn gerade der Kontext ist häufig entscheidend: Nicht nur der Alarm selbst zählt, sondern auch, was rund um das eigentliche Ereignis passiert ist.
Genau diesen Zusammenhang arbeiten wir heraus.

So läuft die Ad-hoc Log-Analyse ab

Nach einem kurzen Erstgespräch zur Aufnahme des Problems schauen wir uns gemeinsam die Logs an. Dabei entscheidest Du, wie wir vorgehen:

Entweder gemeinsam in einer Videokonferenz, in der Du Deinen Bildschirm teilst, oder Du richtest uns kurz einen Account ein und wir gehen selbst auf Spurensuche.

Wir Unterstützten besonders dann, wenn die Alarme erfahrungsgemäß auflaufen: abends, nachts und am Wochenende.

Unterstützte Tools: Defender, Sentinel & Co.

  • Microsoft Security Stack mit Defender und Sentinel: unser Heimspiel.
  • Fortinet FortiSIEM, Graylog und Sophos XDR: kennen wir aus der Praxis.
  • Windows Event- und Applikationslogs:
    ebenfalls möglich. Hier ist der Aufwand höher, da die Logs schlechter durchsuchbar sind.
    Den Mehraufwand besprechen wir vorab, damit Du die Kosten einschätzen kannst.
  • Ein anderes SIEM oder XDR im Einsatz? Kein Problem.
    Ein Log ist am Ende ein Log, und Security-Verständnis steht für uns über dem Tooling.
    Sprich uns einfach an.

Zweitmeinung zum Security-Alarm vom Spezialisten

Dein IT-Partner betreut die Systeme und kümmert sich um den laufenden Betrieb und die Updates. Das ist seine Stärke. Kritische Alarme sind dabei zum Glück selten. Deshalb fehlt im Ernstfall häufig die nötige Routine.

Wir sind auf genau diese Ausnahmesituation spezialisiert. Durch die Erfahrung aus den unterschiedlichsten SOC-Situationen ist uns kaum ein Alarm unbekannt. Wir ergänzen Deinen IT-Partner also dort, wo es darauf ankommt, statt ihn zu ersetzen.

Vom True Positive zur Incident Response

Bestätigt sich der Verdacht und es handelt sich um einen echten Vorfall, kommt unsere eigentliche Spezialisierung zum Tragen. Wir gehen dann nahtlos in die Incident Response über, von der Eindämmung bis zur Root-Cause-Analyse. Aus der Analyse wird so ohne Übergabeverlust der Einsatz.

Mehr zum Ablauf der Incident Response →