招標案件

EDR/MDR威脅偵測與回應整合平台建置與服務採購案

一、EDR/MDR需求說明,數量:1式(符合本院所需)

  1. 在作業系統核心層次記錄重要活動與通訊事件,提供端點活動之紀錄。
  2. 需為7X24 小時持續收集程序活動、機碼操作、檔案活動、網路行為與記憶體操作等鑑識用資訊。
  3. 可使用單一或多重條件搜尋,評估安全威脅的普遍程度,以及安全威脅已在網路中存在多長時間。評估範圍涵蓋所有歷史資料。
  4. 評估安全威脅搜尋條件至少須包含主機名稱/IP位址、使用者帳號、檔案名稱、檔案路徑、雜湊值、登錄機碼、登錄名稱、登錄資料以及指令行。
  5. 可根據特定的通訊活動(如C&C回呼事件)來查詢問題端點裝置。
  6. 可使用 OpenIOC 檔案進行調查。
  7. 具備根本原因分析結果(Root Cause Analysis Results),提供管理者執行下列作業:
    • 列出所有與指定條件相關的物件
    • 識別是否有任何相關物件值得注意
    • 檢閱導致相符物件執行的一系列事件
  8. 可針對問題主機做出快速回應,例如隔離(isolate)該電腦、收集檔案或是遠端連線至該電腦。
  9. 提供識別異常檔案及端點活動並具備自訂規則,可利用HASH、IP、主機名稱、Command line、機碼,進行持續性調查規則,找出攻擊動作原貌並做出報告。
  10. 端點任何程序可自動關連,提供即時偵測鑑識的便利性。
  11. 提供Proxy架構與相關功能模組,以利客戶透過單一代理伺服器上傳端點紀錄。
  12. 支援syslog功能,使用者可透過syslog將偵測紀錄彙整至指定的SIEM伺服器。
  13. 管理介面需支援SAML 2.0 Single Sign-On 功能。
  14. 支援事件告警功能,可支援方式包含Email與Webhook。
  15. 支援Watch List功能,客戶可自訂特殊條件,例如特定檔案名稱或是內容與特定指令等多重組合條件,一旦偵測到事件立即發送告警郵件給予指定窗口。
  16. 具備數位儀錶板,提供組織的整體網路安全風險指數,以及與其他組織/公司比較,包含區域平均、行業平均以及組織規模平均。
  17. 提供一個月內整體網路安全風險指數紀錄,以利單位持續追蹤。
  18. 安全風險評估至少須包含帳戶洩露、漏洞、活動和行為、雲應用活動、系統配置、XDR 檢測、威脅檢測以及安全配置等多重指數。
  19. 可整合端點防護系統(趨勢科技Apex One),將偵測防禦紀錄納入威脅檢測指數,強化安全風險評估能力。
  20. 可支援Windows作業系統及與已安裝應用程式的弱點評估,並分析風險等級與提供修補建議。
  21. 可支援Linux作業系統與已安裝應用程式的弱點評估,並分析風險等級與提供修補建議。
  22. 主動列舉環境中使用原廠終止支援(EOS,End of Support) 作業系統之主機清單。
  23. 提供風險評估功能,可創建單一評估任務,並提供偵測特定弱點工具 (Ex: CVE-2021-44142),以利企業進行全端點風險評估。
  24. 具備攻擊面發現(Attack surface discovery)機制,可發現單位內可能受到攻擊的資產,包括內網中的端點電腦,伺服器、面向 Internet提供服務以及託管於雲平台的系統、以及帳戶和應用程式。
  25. 具備外部攻擊面管理機制,偵測與組織/公司網域相關對外服務,提供包含資產風險評分,公用 IP位址, 主機數量 ,位置 ,服務,連接埠以及 高度可利用的 CVE等資訊。
  26. 可結合多種身分認證系統(包含微軟Active Directory、Entra ID,以及Okta、Open LDAP等第三方系統),提供針對帳戶的資安態勢偵測與分析。
  27. 針對異常帳戶可執行多種管制,至少包含停用帳戶,強制登出以及強制更換密碼等措施。
  28. 具備排程報告產出能力,可於報告產出後自動寄送給指定電子郵件帳號。
二、MDR需求說明,數量:1式(符合本院所需)
  1. 可收集EDR、端點、伺服器、網路、郵件等防護產品紀錄協助分析過濾與 APT 相關之事件。
  2. 自動並持續7x24收集產品防護紀錄至同一監控中心。
  3. 可於單一平台上完成不同產品紀錄關聯分析。
  4. 提供原廠在地(台灣-中文)技術服務窗口,協助客戶處理事件。
  5. 協助客戶過濾需處理的事件與辨識風險性,可郵件或電話通報客戶說明事件含意與背後的威脅,以提供客戶窗口判斷事件處理的優先順序及急迫性。
  6. 給予事件改善處理建議,協助後續問題處理。
  7. 根據案件跡證(FileHash、IP、Domain、URL、Account、Command等)進行損害範圍評估(IOC Sweeping),找出環境其他可疑受駭電腦。
  8. 提供每月定期報表,說明設備狀態、事件清單、案件處理結果等資訊。
  9. 提供 APT 威脅情資之 IOC 資訊,以便客戶可套用至防火牆或其他資安設備封鎖、紀錄。
三、網路監控需求說明,數量:1式(符合本院所需)
  1. 可收集網路紀錄協助分析過濾與 APT 相關之事件。
  2. 自動並持續7x24收集產品防護紀錄至同一監控中心。
  3. 可於單一平台上完成不同產品紀錄關聯分析。
  4. 根據案件跡證(FileHash、IP、Domain、URL、Account、Command等)進行損害範圍評估,找出環境其他可疑受駭電腦。
  5. 提供 APT 威脅情資之 IOC 資訊,以便客戶可套用至防火牆或其他資安設備封鎖、紀錄。

回上一頁