Sie befinden sich im Service:Security Operation Center (SOC)

Allgemeine Infos

Security Operation Center (SOC)

Was ist das Security Operation Center (SOC)?

Die zentrale Aufgabe des Security Operation Centers (SOC) besteht in der operativen Gewährleistung der IT-Sicherheit.

Das SOC trägt die Verantwortung für den Betrieb der zentralen RWTH-Firewall sowie der Firewalls in den Rechenzentren und an den Instituten.
Dazu gehören das Einpflegen von Regelsets und die umfassende Prüfung der Logdateien.

Das SOC fungiert zudem als Schnittstelle zum DFN-CERT: Informationen über Sicherheitsvorfälle werden vom DFN-CERT bereitgestellt und im SOC entsprechend verarbeitet. Betroffene Nutzer werden anschließend durch das SOC informiert.

Zusätzlich umfasst das SOC folgende Tätigkeiten:

  • Die Analyse von Logdaten, die durch aktive Netzkomponenten und Server generiert werden.
    • Während der Analyse gefundene Auffälligkeiten werden den Benutzern und/oder Administratoren des Netzes zur Kenntnis gebracht.
    • Des Weiteren wird das SOC operative Maßnahmen zur Erhöhung der Sicherheit bei Vorliegen entsprechender Erkenntnisse umsetzen.
       
  • Durchführung von Schwachstellenscans und Erstellung von Reports für die Serveradministratoren.
  • Betrieb des Blast-O-Mat zur automatischen Sperrung auffälliger Systeme.
  • Verwaltung der Netflow-Generatoren und -Kollektoren zur Analyse verdächtiger Aktivitäten.
  • Einsatz von Capture-Systemen zur detaillierten Analyse von Netzwerkverbindungen.
  • Implementierung und Betrieb eines SIEM-Systems zur Automatisierung der Log-Datenanalyse.
  • Implementierung einer DNS-Firewall, um bspw. Command-and-Control Kommunikation zu erkennen bzw. zu unterbinden (Voraussetzung ist die Nutzung der RWTH DNS-Server)

Ziel der Tätigkeiten ist es die IT-Sicherheit an der RWTH zu sichern und folgende Ergebnisse zu erzielen:

  • Infizierte Systemen zu identifizieren
  • Kompromittierte Benutzerkonten zu detektieren
  • Unerwünschten Datenabfluss sowie unautorisierte Änderungen an Daten zu erkennen und zu verhindern
  • Angriffe zeitnah zu identifizieren
  • Netzwerkstörungen, wie beispielsweise Denial-of-Service-Attacken (DoS), zu erkennen und betroffene Systeme zu isolieren.
 

Wer soll sich an das SOC wenden?

Das SOC kann von allen Mitarbeitenden und Studierenden kontaktiert werden, welche auf RWTH-Netzwerke zugreifen.

Obwohl das SOC proaktive Maßnahmen ergreift, um alle Mitarbeitenden und Studierenden im RWTH-Netzwerk zu schützen, ist es auf die Wachsamkeit der Nutzenden und Administrierenden angewiesen, um Systeme zu identifizieren, die nicht durch automatisierte Prozesse erfasst werden können.

Sobald Auffälligkeiten oder Unregelmäßigkeiten an Ihrem Arbeitsplatzrechner, einem Server, einer virtuellen Maschine oder in Bezug auf Ihre verwendeten Konten festgestellt werden, sollten Sie sich umgehend - ggf. in Absprache mit den offiziell benannten Ansprechpersonen - an das SOC wenden.

Die Analyse kann erst nach einer Meldung beginnen. Gegebenenfalls müssen Logdaten gesichert werden, bevor sie gelöscht werden.

 

Wie kann man sich an das SOC wenden?

Bitte beachten Sie, dass in der Regel das IT-ServiceDesk Ihr erster Ansprechpartner ist. Das SOC sollte nur bei konkreten Verdachtsfällen oder in dringenden Fällen direkt kontaktiert werden.

Zusätzlich kann die E-Mail-Adresse abuse@rwth-aachen.de verwendet werden. Diese E-Mail-Adresse kann auch von RWTH-Externen verwendet werden, da die Adresse in der RIPE-Datenbank für die RWTH-IP-Bereiche hinterlegt ist.

Das SOC-Team ist werktags von 8 bis16 Uhr für nicht zeit- oder sicherheitskritische Anfragen erreichbar.

Um auch außerhalb der regulären Arbeitszeiten auf potenzielle Bedrohungen zeitnah reagieren zu können, wurde eine SOC-Rufbereitschaft eingerichtet.
Damit ist das SOC-Team bei Bedarf rund um die Uhr für Sie im Einsatz.