Serviços de Segurança Gerenciados pela IBM (Computação em Nuvem) Hosted Security Event and Log Management Standard

Transcrição

1 Serviços de Segurança Gerenciados pela IBM (Computação em Nuvem) Hosted Security Event and Log Management Standard INTC Página 1 de 19

2 Índice 1. Escopo dos Serviços Definições Serviços Centros de Operações de Segurança Portal Responsabilidades da IBM em Relação ao Portal Responsabilidades do Cliente em Relação ao Portal Contatos dos Serviços Responsabilidades da IBM em Relação aos Contatos dos Serviços Responsabilidades do Cliente em Relação aos Contatos dos Serviços Inteligência de Segurança Responsabilidades da IBM em Relação à Inteligência de Segurança Responsabilidades do Cliente em Relação à Inteligência de Segurança Implantação e Ativação Responsabilidades da IBM em Relação à Implantação e à Ativação Responsabilidades do Cliente em Relação à Implantação e à Ativação Coleta e Arquivamento Responsabilidades da IBM em Relação à Coleta e ao Arquivamento Responsabilidades do Cliente em Relação à Coleta e ao Arquivamento Monitoramento de Saúde e Disponibilidade do OA Responsabilidades da IBM em Relação ao Monitoramento de Saúde e Disponibilidade do OA Responsabilidades do Cliente em Relação ao Monitoramento de Saúde e Disponibilidade do OA Gerenciamento do OA Responsabilidades da IBM com Relação ao Gerenciamento do OA Responsabilidades do Cliente com Relação ao Gerenciamento do OA Relatórios de Segurança Responsabilidades da IBM em Relação aos Relatórios de Segurança Responsabilidades do Cliente em Relação aos Relatórios de Segurança Serviços Opcionais Acesso Out-of-Band (OOB) Responsabilidades da IBM em Relação ao Acesso Out-of-Band Responsabilidades do Cliente em Relação ao Acesso Out-of-Band Integração ao Sistema de Chamados Responsabilidades da IBM em Relação à Integração ao Sistema de Chamados Responsabilidades do Cliente em Relação à Integração ao Sistema de Chamados Entrega de Eventos e Registros de Segurança Responsabilidades da IBM em Relação à Entrega de Eventos e Registros de Segurança Responsabilidades do Cliente em Relação à Entrega de Eventos e Registros de Segurança Acordos de Nível de Serviço (SLAs) Disponibilidade dos SLAs Compensações de SLA INTC Página 2 de 19

3 Descrição o Trabalho Serviços de Segurança Gerenciados pela IBM (Computação em Nuvem) Hosted Security Event and Log Management Standard 1. Escopo dos Serviços Os Serviços de Segurança Gerenciados pela IBM (Computação em Nuvem) Hosted Security Event and Log Management Standard (denominados "SELM Hosted Standard" ou "Serviços ) foram concebidos para oferecer uma solução de segurança avançada e baseada na Web para a coleta, consolidação, análise e arquivamento de dados de eventos e registros de segurança oriundos dos dispositivos suportados (denominados Agentes ). As características dos Serviços descritas no presente documento dependem da disponibilidade e da suportabilidade dos produtos em uso e suas respectivas características. É possível que nem todas as características do produto sejam suportadas inclusive no caso de produtos suportados. A IBM disponibiliza informações acerca das características suportadas mediante solicitação. Isso inclui hardware, software e firmware da IBM e de terceiros. 2. Definições Condição de Alerta ("AlertCon") uma métrica de risco global desenvolvida pela IBM por meio do uso de métodos exclusivos. A AlertCon se baseia em diversos fatores, incluindo a quantidade e a severidade das vulnerabilidades conhecidas, a exploração das referidas vulnerabilidades, a disponibilidade de tais explorações para o público, atividade de worm com propagação em massa e atividades de ameaça global. Os quatro níveis de AlertCon são descritos no portal de Serviços de Segurança Gerenciados pela IBM ("MSS IBM") (denominado "Portal"). Materiais de Apoio incluem, entre outros, manuais de laboratório, anotações de instrução, bibliografia, metodologias, cursos eletrônicos e imagens, políticas e procedimentos de estudo de caso, bem como os demais materiais exclusivos de treinamento criados pela IBM ou em seu nome. Conforme o caso, os Materiais de Apoio podem incluir manuais do participante, documentos com exercícios, documentos de laboratório e slides de apresentação fornecidos pela IBM. sistema de prevenção de intrusão ( IPS ) um dispositivo de segurança de rede ou aplicativo de software que emprega técnicas de detecção e prevenção para monitorar atividades de rede em busca de comportamentos mal-intencionados ou indesejados. Esse monitoramento é capaz de identificar e, em alguns casos, bloquear possíveis falhas na segurança em tempo real. 3. Serviços A tabela a seguir destaca as características mensuráveis dos Serviços. As seções posteriores contêm descrições que explicam cada característica. INTC Página 3 de 19

4 Resumo das Características dos Serviços Característica do Serviço Métrica ou Qtde. Acordos de Nível de Serviço ( SLAs ) Disponibilidade dos serviços 100% SLA de disponibilidade dos serviços Disponibilidade do Portal do MSS IBM Contatos de Segurança Autorizados 99,9% SLA de disponibilidade do Portal do MSS IBM 3 usuários N/D Arquivamento de registro/evento 5 GB/ano por cada ano do contrato (máx. 7 anos) N/D Alerta de saúde do OA 30 minutos SLA de monitoramento do sistema 3.1 Centros de Operações de Segurança 3.2 Portal Os Serviços de Segurança Gerenciados pela IBM são prestados por uma rede de Centros de Operações de Segurança IBM ( SOCs ). A IBM oferece acesso 24h aos SOCs. Com o Portal, o Cliente tem acesso a um ambiente (e ferramentas associadas) criado para monitorar e gerenciar suas condições de segurança por meio da fusão de dados tecnológicos e de serviço oriundos de vários fornecedores e regiões em uma interface comum com base na Web. Também é possível usar o Portal para fornecer Materiais de Apoio. Os referidos Materiais de Apoio são licenciados, e não vendidos, e pertencem exclusivamente à IBM. A IBM concede uma licença ao Cliente de acordo com os termos e condições expostos no Portal. OS MATERIAIS DE APOIO SÃO FORNECIDOS "NO ESTADO EM QUE SE ENCONTRAM" E SEM NENHUMA ESPÉCIE DE GARANTIA OU INDENIZAÇÃO, SEJA EXPRESSA OU IMPLÍCITA, POR PARTE DA IBM, INCLUINDO, ENTRE OUTROS, GARANTIAS DE COMERCIABILIDADE, ADEQUAÇÃO PARA FINS ESPECÍFICOS E NÃO INFRAÇÃO DE DIREITOS DE EXCLUSIVIDADE E PROPRIEDADE INTELECTUAL Responsabilidades da IBM em Relação ao Portal a. fornecer acesso 24h ao Portal. O Portal fornecerá: (1) notificação e alerta de segurança; (2) informações sobre incidentes de segurança e chamados de serviços; (3) início e atualizações de chamados e fluxo de trabalho; (4) bate-papo ao vivo e colaboração com analistas do SOC; (5) um dashboard de relatório com base em modelos; (6) acesso a registros e eventos de Agentes em tempo real e arquivados; (7) autorização para baixar dados de registro; (8) capacidades de análise granular de eventos e registros de segurança; (9) acesso a Materiais de Apoio de acordo com os termos e condições expostos no Portal; e b. manter a disponibilidade do Portal de acordo com as métricas fornecidas na seção da presente Descrição do Trabalho intitulada Acordos de Nível de Serviço (SLA), Disponibilidade do Portal Responsabilidades do Cliente em Relação ao Portal a. utilizar o Portal para realizar as atividades diárias dos Serviços operacionais; b. garantir que os funcionários com acesso ao Portal cumpram com os Termos e Condições de Uso expostos no mesmo, incluindo, entre outros, os termos e condições associados aos Materiais de Apoio; INTC Página 4 de 19

5 c. proteger apropriadamente as credenciais de acesso ao Portal (o que inclui não divulgá-las para pessoas não autorizadas); d. notificar a IBM imediatamente em caso de suspeita de comprometimento das credenciais de acesso; e e. indenizar e não responsabilizar a IBM por quaisquer perdas incorridas pelo Cliente ou outras partes resultando da não proteção das credenciais de acesso. 3.3 Contatos dos Serviços O Cliente pode escolher entre múltiplos níveis de acesso ao SOC e ao Portal para acomodar as diferentes funções dentro de sua organização. Contatos de Segurança Autorizados O Contato de Segurança Autorizado é responsável por tomar decisões quanto a todas as questões operacionais relacionadas aos Serviços de Segurança Gerenciados pela IBM. Contatos Designados para os Serviços O Contato Designado para o Serviço é responsável por tomar decisões quanto a um subconjunto de questões operacionais relacionadas aos Serviços de Segurança Gerenciados pela IBM, um Agente ou um grupo de Agentes. A IBM interagirá com o Contato Designado do Serviço somente quando as atividades operacionais fizerem parte do subconjunto pelo qual tal contato é responsável (ex., contato designado para falha no Agente). Usuários do Portal A IBM oferece múltiplos níveis de acesso aos usuários do Portal. Esses níveis de acesso podem ser aplicados a um Serviço de Segurança Gerenciado pela IBM, um Agente ou um grupo de Agentes. Os usuários do Portal serão autenticados por senha estática ou tecnologia de criptografia com chave pública fornecida pelo Cliente (ex., token RSA SecureID) e baseada em suas exigências Responsabilidades da IBM em Relação aos Contatos dos Serviços Contatos de Segurança Autorizados a. autorizar o Cliente a criar até três Contatos de Segurança Autorizados; b. fornecer a cada Contato de Segurança Autorizado: (1) permissões administrativas do Portal para acessar os Agentes do Cliente; (2) a autorização necessária para criar um número ilimitado de Contatos Designados para os Serviços e usuários do Portal; (3) a autorização necessária para delegar a responsabilidade aos Contatos Designados para os Serviços; c. estabelecer uma interface com os Contatos de Segurança Autorizados com relação a questões de suporte e notificação referentes aos Serviços; e d. verificar a identidade dos Contatos de Segurança Autorizados usando um método de autenticação que utiliza passphrases pré-compartilhadas. Contatos Designados para os Serviços a. verificar a identidade dos Contatos Designados para os Serviços usando um método de autenticação que utiliza passphrases pré-compartilhadas. b. estabelecer uma interface apenas com Contatos Designados para Serviços em relação ao subconjunto de questões operacionais pelo qual tal contato é responsável. Usuários do Portal a. fornecer múltiplos níveis de acesso ao Portal: (1) capacidades administrativas que incluirão: INTC Página 5 de 19

6 (a) criar usuários do Portal; (b) criar e editar grupos customizados de Agentes; (c) enviar solicitações de Serviços aos SOCs; (d) comunicar-se por "bate-papo" com os analistas do SOC para tratar de incidentes ou chamados específicos gerados como parte dos Serviços; (e) criar chamados internos relacionados aos Serviços e atribuí-los aos usuários do Portal; (f) analisar, visualizar e atualizar os chamados relacionados aos Serviços; (g) visualizar e editar dados do Agente; (h) visualizar as políticas do Agente (conforme o caso); (i) criar e editar listas de acompanhamento de vulnerabilidade; (j) monitorar eventos ao vivo; (k) analisar dados de eventos e registros de segurança; (l) programar downloads de dados referentes a eventos e registros de segurança; (m) programar e elaborar relatórios; (2) capacidades de usuário regular, que incluirão todas as capacidades de um usuário administrativo, para os Agentes aos quais foram atribuídos, com exceção da criação de usuários do Portal; (3) capacidades de usuário restrito, que incluirão todas as capacidades de um usuário regular, para os Agentes aos quais foram atribuídos, com exceção de: (a) criar e enviar solicitações de alteração de política; (b) atualizar chamados; e (c) editar informações acerca do Agente; b. autorizar o Cliente a aplicar níveis de acesso a um Agente ou grupos de Agentes; c. autenticar os usuários do Portal usando senha estática; e d. autenticar os usuários do Portal usando uma tecnologia de criptografia com chave pública fornecida pelo Cliente (ex., token RSA SecureID) e com base em suas exigências Responsabilidades do Cliente em Relação aos Contatos dos Serviços Contatos de Segurança Autorizados a. fornecer à IBM informações de contato referentes a cada Contato de Segurança Autorizado. Tais Contatos de Segurança Autorizados serão responsáveis por: (1) criar Contatos Designados para Serviços e delegar-lhes responsabilidades e permissões, conforme o caso; (2) criar usuários do Portal; (3) autenticar junto aos SOCs usando uma passphrase pré-compartilhada; e (4) manter rotas de notificação e informações para contato, fornecendo tais informações à IBM; b. assegurar-se de que haja ao menos um Contato de Segurança Autorizado disponível 24h; c. informar a IBM, com três dias úteis de antecedência, em caso de alteração nas informações de contato; e d. reconhecer que não pode ter mais do que três Contatos de Segurança Autorizados independentemente do número de serviços IBM ou subscrições de Agentes contratados. Contatos Designados para os Serviços a. fornecer à IBM as informações de contato e as responsabilidades de cada Contato Designado para os Serviços. Esses Contatos Designados para Serviços serão responsáveis por autenticar junto aos SOCs usando uma passphrase; e INTC Página 6 de 19

7 b. reconhecer que um Contato Designado para Serviços talvez tenha de estar disponível 24h com base no subconjunto de responsabilidades pelo qual é responsável (isto é, falha no Agente). Usuários do Portal a. que os usuários do Portal utilizarão o Portal para realizar atividades diárias relativas aos Serviços operacionais; b. responsabilizar-se por fornecer tokens RSA SecureID suportados pela IBM (conforme o caso); e c. reconhecer que os SOCs interagirão somente com os Contatos de Segurança Autorizados e Contatos Designados para Serviços. 3.4 Inteligência de Segurança A inteligência de segurança é fornecida pelo Centro de Análise de Ameaças IBM X-Force. O Centro de Análise de Ameaças X-Force publica o nível de ameaça AlertCon na Internet. A AlertCon descreve posturas progressivas de alerta quanto às condições atuais de ameaças à segurança na Internet. Caso as condições de ameaças à segurança na Internet sejam elevadas à AlertCon 3, o que indica ataques direcionados que requerem ações defensivas imediatas, a IBM fornecerá ao Cliente acesso em tempo real ao seu resumo da situação global. Enquanto usuário do Portal, o Cliente tem acesso ao Serviço de Análise de Ameaças Hospedado no X-Force. O Serviço de Análise de Ameaças Hospedado no X-Force inclui acesso ao Insight Trimestral de Ameaças X-Force IBM ( IQ de Ameaças ). Ao utilizar o Portal, o Cliente pode criar uma lista de acompanhamento de vulnerabilidade com informações personalizadas acerca das ameaças. Além disso, cada usuário do Portal pode optar por receber uma avaliação via a cada dia útil. Essa avaliação inclui uma análise das condições das ameaças atualmente conhecidas na Internet, dados de portas da Internet em tempo real e alertas, instruções e notícias de segurança personalizadas Responsabilidades da IBM em Relação à Inteligência de Segurança a. fornecer acesso ao Serviço de Análise de Ameaças Hospedado no X-Force; b. fornecer nome de usuário, senha, URL e permissões apropriadas para acessar o Portal; c. exibir informações de segurança no Portal conforme são disponibilizadas; d. se configurado pelo Cliente, fornecer, via Portal, informações de segurança específicas para sua lista de acompanhamento de vulnerabilidade; e. se configurado pelo Cliente, enviar diariamente um com a avaliação da segurança na Internet; f. publicar uma AlertCon de Internet pelo Portal; g. declarar emergência de Internet caso o nível diário da AlertCon chegue à AlertCon 3. Nesse caso, a IBM fornecerá acesso em tempo real ao resumo de sua situação global; h. fornecer as funcionalidades das características do Portal para que o Cliente possa criar e manter uma lista de acompanhamento de vulnerabilidade; i. fornecer informações adicionais sobre alertas, instruções ou outras questões de segurança significativas que a IBM considerar necessárias; e j. fornecer acesso ao IQ de Ameaças por meio do Portal Responsabilidades do Cliente em Relação à Inteligência de Segurança O Cliente concorda em usar o Portal para: a. receber avaliações diárias por quanto à segurança da Internet, se desejado; b. criar uma lista de acompanhamento de vulnerabilidade, se desejado; e c. acessar o IQ de Ameaças. 3.5 Implantação e Ativação No decorrer dos processos de implantação e ativação, a IBM trabalhará junto com o Cliente visando a implantar um novo Agente. INTC Página 7 de 19

8 Obs.: As atividades de Implantação e Ativação são realizadas somente uma vez durante a prestação dos serviços. Se o Cliente optar por substituir ou transferir o Agente durante o contrato dos Serviços, a IBM pode solicitar que tal Agente seja reimplantado e reativado (processo denominado "Reimplantação"). Tais Reimplantações serão efetuadas mediante o pagamento de uma taxa adicional, conforme especificado no Programa. As taxas de reimplantação se aplicam apenas a substituições, atualizações ou transferências de hardware iniciadas pelo Cliente. Elas não são cobradas em caso de falhas no Agente resultantes de atividades de Autorização de Material de Devolução ("RMA") ao Agente Responsabilidades da IBM em Relação à Implantação e à Ativação Atividade 1 - Início do Projeto O objetivo desta atividade é conduzir a chamada de início do projeto. A IBM enviará um de boasvindas e conduzirá uma chamada de início para um a três funcionários do Cliente, com até uma hora de duração, de modo a: a. apresentar o Ponto de Contato do Cliente ao especialista em implantação designado pela IBM; b. revisar as responsabilidades respectivas de cada parte; c. estipular as expectativas do programa; e d. começar a avaliar as exigências e o ambiente do Cliente. Critérios de Conclusão Essa atividade será considerada concluída depois que a IBM efetuar a chamada de início do projeto. Materiais Entregáveis: Nenhum Atividade 2 - Exigências de Acesso à Rede O objetivo desta atividade é estabelecer as exigências de acesso à rede. a. fornecer ao Cliente um documento intitulado "Exigências de Acesso à Rede" que demonstre: (1) como a IBM se conectará remotamente à rede do Cliente; (2) as exigências técnicas específicas para habilitar tal conectividade remota; Obs.: a IBM poderá alterar o documento intitulado "Exigências de Acesso à Rede", conforme o caso, ao longo da prestação dos Serviços. b. como conectar-se à rede do Cliente pela Internet usando os métodos de acesso padrão da IBM; e c. conforme o caso, como utilizar uma rede privada virtual ("VPN") site-to-site para conectar-se à rede do Cliente. A VPN será fornecida pela IBM mediante o pagamento de uma taxa adicional, conforme especificado no Programa. Critérios de Conclusão Essa atividade será considerada concluída depois que a IBM entregar o documento intitulado "Exigências de Acesso à Rede" ao Ponto de Contato do Cliente. Materiais Entregáveis: Documento com Exigências de Acesso à Rede Atividade 3 - Avaliação O objetivo desta atividade é avaliar o ambiente atual do Cliente, bem como suas metas empresariais e tecnológicas. Tarefa 1 - Coletar Dados a. fornecer ao Ponto de Contato do Cliente um formulário de coleta de dados no qual o Cliente deverá informar: (1) nomes, informações de contato, funções e responsabilidades dos membros da equipe; (2) exigências exclusivas do país e do local; (3) infraestrutura de rede pré-existente; INTC Página 8 de 19

9 (4) servidores críticos; (5) número e tipo de usuários finais; e (6) fatores e/ou dependências chave do negócio que possam influenciar a prestação dos Serviços ou os cronogramas. Tarefa 2 - Avaliar o Ambiente a. determinar se a coleta de dados do Agente será implementada mediante o uso do Agente Universal de Registro ( ULA ) ou via SYSLOG; e b. se aplicável, dar sugestões quanto ao ajuste da política de um Agente. Critérios de Conclusão Essa atividade será considerada concluída depois que a IBM avaliar o ambiente do Cliente (se aplicável). Materiais Entregáveis: Nenhum Atividade 4 - Implementação do Agente Universal de Registro (ULA) O ULA é um Agente com base em software executado no Agente que solicitou os Serviços; sua função é coletar registros textuais. Ele coleta tais registros localmente no Agente e os encaminha ao on-site aggregator ( OA ). Em seguida, o OA encaminha os registros à infraestrutura IBM, responsável pela coleta, armazenamento de longo prazo e exibição no Portal. As funções básicas do ULA são: a. coletar eventos/registros localmente no Agente; b. comprimir os dados dos eventos/registros; c. criptografar os dados dos eventos/registros; e d. transmitir, em segurança, os eventos/registros ao OA. As principais características do ULA são a. fazer a coleta dos dados genéricos de arquivos textuais; b. fazer a coleta dos registros de eventos; c. fazer a coleta de informações do sistema, que podem incluir: (1) versão do sistema operacional ( OS ); (2) memória; (3) CPU; (4) contas de usuários locais; (5) detalhes da interface de rede; (6) processos em execução; e (7) soquetes de rede aberta; d. fazer a transmissão unidirecional dos registros. A comunicação do ULA é realizada por conexões SSL/TCP-443 de saída; e. fazer throttling de mensagens, conforme o caso. Isso limita a largura de banda do ULA para o OA (em mensagens por segundo) de modo a preservar a largura de banda; e f. fornecer janelas de transmissão, conforme o caso. As janelas de transmissão ativam/desativam a transmissão de eventos para a infraestrutura do MSS IBM dentro do prazo especificado pelo Cliente no Portal. Tarefa 1 - Instalar o ULA a. fornecer ao Cliente uma lista de Agentes que requerem a instalação do ULA; b. fornecer ao Cliente instruções para baixar o ULA no Agente usando o servidor Web que foi configurado no OA; INTC Página 9 de 19

10 c. fornecer ao Cliente instruções quanto aos registros específicos de auditoria/sistema que devem ser ativados para que o Agente produza data feeds úteis; e d. se solicitado pelo Cliente, e mediante o pagamento de taxa adicional, prestar os serviços de instalação física do ULA. Tarefa 2 - Configurar o ULA A IBM mostrará ao Cliente como acessar o Portal e confirmar o Agente. Critérios de Conclusão Essa atividade será considerada concluída depois que a IBM fornecer ao Cliente uma lista dos Agentes que requerem a instalação do ULA. Materiais Entregáveis: Instruções para a instalação do ULA Atividade 5 - Implementação de Coleta Sem Agente O objetivo desta atividade é facilitar a coleta de registros sem o uso de Agentes quando a instalação do ULA no Agente não for tecnicamente possível. A IBM mostrará ao Cliente como direcionar os fluxos de SYSLOG do Agente ao OA. Critérios de Conclusão Essa atividade será considerada concluída depois que a IBM mostrar ao Cliente como direcionar os fluxos de SYSLOG do Agente ao OA. Materiais Entregáveis: Instruções para a configuração do SYSLOG Atividade 6 - Implementação do On-Site Aggregator (OA) O objetivo desta atividade é configurar o OA. O OA é um dispositivo de uso obrigatório, fornecido pelo Cliente, que será implantado no local do Cliente e gerenciado e monitorado pelo MSS IBM mediante o pagamento de taxa adicional, conforme especificado na Programação. As funções básicas do OA são: a. compilar ou, de outro modo, combinar os dados dos eventos e registros de segurança; b. comprimir os dados de eventos e registros de segurança; c. criptografar os dados de eventos e registros de segurança; e d. transmitir os dados de eventos e registros de segurança para a infraestrutura do MSS IBM. As principais características do OA são: e. fazer spooling local organizando os eventos localmente quando a conexão com a infraestrutura do MSS IBM não estiver disponível; f. fazer a transmissão unidirecional dos registros. A comunicação do OA é realizada por conexões SSL/TCP-443 de saída; g. fazer throttling de mensagens, conforme o caso. Isso limita a largura de banda do OA para a infraestrutura do MSS IBM (em mensagens por segundo) de modo a preservar a largura de banda; h. fornecer janelas de transmissão, conforme o caso. As janelas de transmissão ativam/desativam a transmissão de eventos para a infraestrutura do MSS IBM dentro do prazo especificado pelo Cliente no Portal; e A IBM recomenda o acesso Out-of-Band ( OOB ) ao OA, conforme descrito na seção da presente Descrição do Trabalho intitulada Acesso Out-of-Band. Tarefa 1 -Configurar o OA a. oferecer suporte ao vivo, via telefone e , e ajudar o Cliente a localizar os documentos aplicáveis do fornecedor que detalhem os procedimentos de instalação e configuração para o sistema operacional do OA e o software de OA fornecido pela IBM. Esse suporte deve ser programado com antecedência para garantir que haja um especialista em implantação IBM disponível; INTC Página 10 de 19

11 b. fornecer ao Cliente especificações de hardware para a plataforma OA; c. fornecer ao Cliente os ajustes de software e configuração do OA; d. oferecer suporte telefônico e por para ajudar a instalar o software de OA fornecido pela IBM na plataforma de hardware fornecida pelo Cliente. Esse suporte deve ser programado com antecedência para garantir que haja um especialista em implantação IBM disponível; e. mediante solicitação do Cliente e pagamento de taxa adicional especificada na Programação, prestar serviços de instalação de software; f. para plataformas pré-existentes: (1) avaliar as configurações do hardware pré-existente para verificar se cumprem com as especificações da IBM; e (2) identificar as atualizações de hardware a serem fornecidas e instaladas pelo Cliente. Tarefa 2 - Instalar o OA a. oferecer suporte ao vivo, via telefone e , e ajudar o Cliente a localizar os documentos aplicáveis do fornecedor que detalhes os procedimentos de instalação física e o cabeamento do OA. Esse suporte deve ser programado com antecedência para garantir que haja um especialista em implantação IBM disponível; Obs.: os serviços de instalação física e cabeamento podem ser contratados separadamente junto à IBM. b. configurar remotamente o OA de modo a incluir o registro do OA junto à infraestrutura do MSS IBM e iniciar o processo de implantação e gerenciamento do OA; e c. verificar se a infraestrutura do MSS IBM está se comunicando com o OA. Critérios de Conclusão Essa atividade será considerada concluída depois que o OA for instalado e configurado e a IBM confirmar que a infraestrutura do MSS IBM está se comunicando com o OA. Materiais Entregáveis: Nenhum Atividade 7 - Teste e Verificação O objetivo desta atividade é testar e verificar os Serviços. a. verificar a conectividade do Agente com a infraestrutura de MSS IBM; b. executar testes de aceitação dos Serviços; c. verificar a troca de dados de registro entre o Agente e a infraestrutura do MSS IBM; d. verificar a disponibilidade e a funcionalidade do Agente no Portal; e. executar testes que garantam a qualidade do Agente; e f. demonstrar remotamente as principais características do Portal para até dez funcionários do Cliente e por até uma hora. Critérios de Conclusão Essa atividade será considerada concluída depois que a IBM verificar a disponibilidade e a funcionalidade do Agente no Portal. Materiais Entregáveis: Nenhum Atividade 8 - Ativação dos Serviços O objetivo desta atividade é ativar os Serviços. a. pressupor o suporte do Agente; b. colocar o Agente no modo "ativado"; e INTC Página 11 de 19

12 c. passar o Agente para os SOCs para fins de gerenciamento contínuo. Critérios de Conclusão Essa atividade será considerada concluída quando o Agente estiver no modo "Ativado". Materiais Entregáveis: Nenhum Responsabilidades do Cliente em Relação à Implantação e à Ativação Atividade 1 - Início do Projeto a. participar da chamada de início do projeto; e b. revisar as responsabilidades respectivas de cada parte. Atividade 2 - Exigências de Acesso à Rede a. revisar e cumprir com o documento intitulado "Exigências de Acesso à Rede" da IBM durante a implantação e ao longo do contrato; e b. ser o único responsável por quaisquer cobranças resultantes do uso de uma VPN site-to-site para a IBM conectar-se à sua rede. Atividade 3 - Avaliação Tarefa 1 - Coletar Dados a. preencher todos os questionários e/ou formulários de coleta de dados e devolvê-los à IBM dentro de cinco dias a contar do recebimento; b. obter e fornecer as informações, dados, autorizações, decisões e aprovações aplicáveis exigidas pela IBM para executar a implantação dos Serviços, dentro de dois dias úteis a contar da data da solicitação; c. trabalhar junto com a IBM, de boa fé, para avaliar seu ambiente de rede com precisão; d. indicar contatos dentro de sua organização, e especificar uma rota de notificação através da organização, para o caso de a IBM precisar fazer contato; e e. informar a IBM, com três dias úteis de antecedência, em caso de alteração nas informações de contato. Tarefa 2 - Avaliar o Ambiente O Cliente não tem responsabilidades adicionais no que se refere a esta atividade. Atividade 4 - Implementação do Agente Universal de Registro (ULA) Tarefa 1 - Instalar o ULA a. baixar o software ULA no servidor Web que está hospedado no OA; b. instalar o ULA no(s) Agente(s) que está recebendo o Serviço; e c. reconhecer que é o único responsável por todas as tarefas de instalação do ULA. Tarefa 2 - Configurar o ULA a. configurar o ULA com as configurações apropriadas e um endereço de IP configurado no OA; b. configurar o Agente com as especificações de registro de auditoria/sistema recomendadas pela IBM (se necessário); c. acessar o Portal e confirmar o Agente dentro de três dias úteis a contar da data de instalação e configuração do ULA; e d. reconhecer que é o único responsável por todas as tarefas de configuração do ULA. INTC Página 12 de 19

13 Obs.: Os serviços de instalação e configuração físicas podem ser contratados separadamente junto à IBM. Atividade 5 - Implementação de Coleta Sem Agente a. configurar o Agente para encaminhar fluxos de SYSLOG ao OA sob orientação da IBM; e b. acessar o Portal e confirmar o Agente dentro de três dias úteis. Atividade 6 - Implementação do On-Site Aggregator (OA) Tarefa 1 - Configurar o OA a. fornecer à IBM um endereço de IP externo para o OA; b. fornecer o hardware para a plataforma OA com base nas recomendações e exigências da IBM; c. manter atualizados a licença e os contratos de suporte e manutenção referentes ao hardware no qual o OA foi instalado; d. instalar o software OA fornecido pela IBM no hardware fornecido pelo Cliente, seguindo as orientações da IBM; e. configurar um endereço de IP externo e ajustes associados no OA; f. fornecer à IBM o endereço de IP, nome do host, plataforma da máquina, versão do aplicativo e fuso horário do Agente referentes ao OA; e g. para plataformas existentes, adquirir e instalar as atualizações de hardware solicitadas pela IBM. Tarefa 2 - Instalar o OA a. responsabilizar-se pela instalação física e cabeamento do OA; e b. programar o suporte ao vivo com um especialista em implantação IBM. Obs.: os serviços de instalação física e cabeamento podem ser contratados separadamente junto à IBM. Atividade 7 - Teste e Verificação a. responsabilizar-se pelo desenvolvimento de todos os planos específicos de teste de aceitação; b. responsabilizar-se pela execução dos testes de aceitação dos aplicativos e da conectividade de rede; e c. reconhecer que os testes de aceitação adicionais realizados pelo Cliente, bem como a ausência dos mesmos, não impedem a IBM de mudar o status do Agente para ativo nos SOCs para fins de suporte e gerenciamento contínuos. Atividade 8 - Ativação dos Serviços O Cliente não tem responsabilidades adicionais no que se refere a esta atividade. 3.6 Coleta e Arquivamento A IBM utiliza o Sistema de Proteção X-Force para coletar, organizar, arquivar e recuperar dados de eventos e registros de segurança. O Portal oferece ao Cliente visualização 24h dos Serviços, incluindo acesso on-line a registros brutos coletados e armazenados dentro da infraestrutura do Sistema de Proteção X-Force. Os dados dos eventos e registros de segurança permanecerão no Portal por um ano para fins de visualização on-line. Transcorrido um ano, os dados serão transferidos para o armazenamento off-line (se aplicável). Os Serviços oferecem até cinco GB de espaço de armazenamento para cada ano que durar o contrato. No primeiro dia do contrato, a IBM disponibilizará o espaço de armazenamento total baseado na vigência do contrato (5 GB x n, onde n equivale à vigência do contrato). É possível adquirir espaço de armazenamento adicional mediante o pagamento de taxa adicional, conforme especificado na Programação. INTC Página 13 de 19

14 3.6.1 Responsabilidades da IBM em Relação à Coleta e ao Arquivamento a. coletar dados de registros e eventos gerados pelo Agente gerenciado conforme tais dados chegam à infraestrutura do MSS IBM; b. controlar os fluxos de dados de registros e eventos gerados pelo Agente gerenciado quando tais dados ultrapassarem a marca de 100 eventos por segundo ("EPS"); c. identificar com exclusividade os dados de registros e eventos coletados; d. arquivar os dados coletados no Sistema de Proteção X-Force; e. armazenar até cinco GB de dados de registros e eventos coletados para cada ano que durar o contrato; f. exibir os dados de registros e eventos coletados no Portal por um ano; g. se suportado, normalizar os dados de registros e eventos para melhorar a apresentação no Portal; h. começar a selecionar os dados de registros e eventos coletados usando o método primeiro a entrar, primeiro a sair ("FIFO"): (1) com base nos períodos de retenção definidos pelo Cliente; (2) quando o espaço de armazenamento do Cliente for excedido; ou (3) quando os dados de registros e eventos completarem sete anos. Obs.: não obstante os períodos de retenção definidos pelo Cliente, a IBM não guardará os dados de registros e eventos por períodos superiores a sete anos. Se o Cliente ultrapassar o período de retenção de sete anos a qualquer momento durante o prazo do contrato, a IBM começará a selecionar os dados de registros e eventos coletados usando o método FIFO Responsabilidades do Cliente em Relação à Coleta e ao Arquivamento a. fornecer à IBM períodos de retenção de eventos e registros de segurança que não ultrapassem cinco GB de espaço de armazenamento para cada ano que durar o contrato; b. usar o Portal para revisar e analisar os dados de eventos e registros de segurança; c. usar o Portal para informar-se do espaço disponível para o armazenamento de registros e eventos; d. certificar-se de que haja um contrato de MSS para Gerenciamento de Eventos e Registros de Segurança Standard para cada fonte de eventos e registros de segurança; Obs.: em caso de cancelamento dos Serviços, independentemente do motivo, a IBM deixará de ser responsável pelo armazenamento dos dados de eventos e registros de segurança do Cliente. e. e reconhecer que: (1) todos os dados de registros e eventos serão transmitidos aos SOCs via Internet; (2) a transmissão de dados pela Internet é criptografada usando, sempre que possível, fortes algoritmos de criptografia de padrão industrial; (3) a IBM pode coletar e arquivar somente os dados de registros e eventos que chegam à infraestrutura de MSS IBM com sucesso; (4) a IBM não garante o envio legal de dados de eventos ou registros de segurança para sistemas jurídicos nacionais ou internacionais. A admissibilidade das evidências se baseia nas tecnologias envolvidas e na capacidade do Cliente de comprovar o manuseio apropriado dos dados e a cadeia de custódia de cada conjunto de dados apresentado; (5) a IBM tem o direito de controlar os fluxos de eventos gerados pelo Agente que ultrapassem 100 EPS (se necessário); (6) A IBM começará a excluir dados usando o método FIFO quando os dados de registros e eventos coletados excederem o espaço alocado para o armazenamento; (7) a IBM não armazenará dados de registros e eventos por mais de sete anos; e (8) os períodos de retenção definidos pelo Cliente não podem ultrapassar sete anos. A IBM começará a selecionar os dados por meio do método FIFO assim que os dados de registros e INTC Página 14 de 19

15 3.7 Monitoramento de Saúde e Disponibilidade do OA A IBM monitorará a saúde e a disponibilidade do OA. Esse monitoramento foi criado para ajudar a aumentar a disponibilidade e o tempo de atividade do OA Responsabilidades da IBM em Relação ao Monitoramento de Saúde e Disponibilidade do OA Atividade 1 - Monitoramento com Base em Agente O objetivo desta atividade é monitorar a saúde e o desempenho do OA. a. instalar um software de monitoramento no OA; b. analisar e responder às métricas chave, que podem incluir: (1) capacidade do disco rígido; (2) utilização da CPU; (3) utilização da memória; e (4) disponibilidade do processo; e c. responder aos alertas gerados pelo software de monitoramento. Atividade 2 - Troubleshooting O objetivo desta atividade é fazer pesquisas e investigações caso o OA não aja conforme o esperado ou ao identificar um possível problema de saúde no OA. a. criar um chamado de problema em caso de problema no desempenho do OA ou possível problema na saúde do OA; b. iniciar pesquisas e investigações em relação ao problema documentado; c. se o OA for identificado como possível fonte de um problema relacionado à rede, examinar a configuração e as funcionalidades do OA em busca de problemas em potencial; e d. exibir o chamado de saúde e interrupção do OA no Portal. Atividade 3 - Notificação O objetivo desta atividade é notificar o Cliente,em caso de inacessibilidade do OA através do meio inband padrão,. a. notificar o Cliente caso o OA fique inacessível através do meio in-band padrão,. Tal notificação será feita por telefone usando um procedimento de notificação pré-determinado dentro do prazo estabelecido na seção da presente Descrição do Trabalho intitulada Acordos de Nível de Serviço (SLAs), Monitoramento pró-ativo do sistema ; b. após o início da notificação por telefone, iniciar a investigação de problemas relacionados à configuração ou à funcionalidade do OA; e c. exibir o chamado de saúde e interrupção do OA no Portal Responsabilidades do Cliente em Relação ao Monitoramento de Saúde e Disponibilidade do OA Atividade 1 - Monitoramento com Base em Agente O Cliente não tem responsabilidades adicionais no que se refere a esta atividade. Atividade 2 - Troubleshooting a. participar de sessões de troubleshooting com a IBM (se necessário); INTC Página 15 de 19

16 b. responsabilizar-se por fornecer toda a configuração e troubleshooting remotos caso o Cliente tenha optado por não implementar uma solução OOB ou se, por algum motivo, a solução OOB estiver indisponível; e c. reconhecer que, se o OA não for a fonte de determinado problema, a IBM cessará o troubleshooting. Atividade 3 - Notificação a. fornecer suas rotas de notificação e informações de contato; b. informar a IBM, com três dias úteis de antecedência, em caso de alteração nas informações de contato; e c. garantir que um Contato de Segurança Autorizado ou Contato Designado para Serviços de falha de Agente estará disponível 24h. 3.8 Gerenciamento do OA A IBM fará as atualizações de aplicativos e segurança no OA Responsabilidades da IBM com Relação ao Gerenciamento do OA a. ser a única fornecedora de gerenciamento em nível de software para o OA; b. manter-se a par do status do sistema; c. instalar novas atualizações de aplicativos e conteúdo de segurança no OA conforme forem disponibilizadas; d. instalar patches e atualizações de software de modo a melhorar o desempenho, ativar funcionalidades adicionais ou resolver problemas com aplicativos; e. anunciar, antes das atualizações do OA, uma janela de manutenção que possa requerer a parada da plataforma ou a assistência do Cliente para ser concluída; e f. apresentar com clareza, junto com a notificação da janela de manutenção, os prováveis impactos da manutenção programada no OA e as exigências específicas do Cliente Responsabilidades do Cliente com Relação ao Gerenciamento do OA a. fazer as atualizações de hardware especificadas pela IBM de modo a oferecer suporte ao software e firmware atuais; b. trabalhar junto com a IBM para atualizar o OA (se necessário); c. responsabilizar-se por todas as cobranças associadas às atualizações do hardware; d. manter as licenças, bem como os contratos de suporte e manutenção, atualizadas; e. certificar-se de ter obtido as autorizações necessárias junto aos fornecedores para permitir que a IBM aproveite os contratos de suporte e manutenção pré-existentes em seu nome. Na ausência de tais acordos, a IBM não poderá contatar o fornecedor diretamente para solucionar as questões de suporte; e f. reconhecer que: (1) todas as atualizações serão transmitidas e aplicadas pela Internet; (2) se as autorizações do fornecedor não forem obtidas ou forem canceladas a qualquer momento durante a vigência do contrato, os Serviços e/ou SLAs poderão ser suspensos pela IBM; (3) a não conformidade com as atualizações de software exigidas pela IBM pode resultar na suspensão da prestação dos Serviços e/ou SLAs; e (4) a não conformidade com as atualizações de hardware exigidas pela IBM pode resultar na suspensão da prestação dos Serviços e/ou SLAs. INTC Página 16 de 19

17 3.9 Relatórios de Segurança Ao utilizar o Portal, o Cliente terá acesso às informações e relatórios de Serviços com imagens customizáveis de todas as atividades em nível de empresa, grupo de trabalho e Agente. O Portal também permite agendar os relatórios personalizados Responsabilidades da IBM em Relação aos Relatórios de Segurança A IBM oferecerá acesso às capacidades de relatório do Portal, que incluem: a. o número de SLAs celebrados e cumpridos; b. número, tipos e resumos das solicitações/chamados de Serviços; c. número dos incidentes de segurança detectados, bem como sua prioridade e status; d. lista e resumo dos incidentes de segurança; e. relatórios dos sensores de IDS/IPS que incluem métricas de ataque, ataques impedidos, impacto na vulnerabilidade, contagens/tendências de evento; f. correlação e análise de eventos (conforme o caso); e g. relatórios de firewall que incluem sumário, análise de tráfico, uso de protocolo, IP alvo e utilização de regras (conforme o caso) Responsabilidades do Cliente em Relação aos Relatórios de Segurança a. gerar relatórios relacionados aos Serviços usando o Portal; e b. responsabilizar-se pela programação dos relatórios (se aplicável). 4. Serviços Opcionais Os serviços opcionais selecionados pelo Cliente, assim como as cobranças adicionais por tais serviços, serão especificados na Programação. 4.1 Acesso Out-of-Band (OOB) O acesso OOB é uma característica muito recomendada que ajuda os SOCs quando não há conectividade com o OA. Quando ocorrem tais problemas com a conectividade, os analistas do SOC podem acessar o modem para verificar se o OA está funcionando adequadamente e ajudar a determinar a fonte da interrupção antes de escalar Responsabilidades da IBM em Relação ao Acesso Out-of-Band Mediante solicitação do Cliente e sem cobranças adicionais, a IBM irá: a. oferecer suporte ao vivo, via telefone e , para ajudar o cliente a localizar os documentos aplicáveis do fornecedor que detalham os procedimentos e o cabeamento de instalação física; b. configurar o dispositivo OOB para acessar o OA; ou c. trabalhar junto com o Cliente, de boa fé, para utilizar uma solução OOB pré-existente aprovada pela IBM Responsabilidades do Cliente em Relação ao Acesso Out-of-Band a. no caso de novas soluções OOB: (1) adquirir um dispositivo OOB suportado pela IBM; (2) instalar e conectar fisicamente o dispositivo OOB ao OA; (3) providenciar uma linha telefônica analógica exclusiva para acesso; (4) conectar fisicamente o dispositivo OOB à linha telefônica exclusiva e manter a conexão; (5) responsabilizar-se por todas as despesas associadas ao dispositivo OOB e à linha telefônica; e (6) responsabilizar-se por todas as cobranças associadas ao gerenciamento contínuo da solução OOB; b. no caso de soluções OOB pré-existentes: (1) assegurar-se de que a solução não permita que a IBM acesse dispositivos não gerenciados; INTC Página 17 de 19

18 (2) assegurar-se de que a solução não exija a instalação de software especializado; (3) fornecer à IBM instruções detalhadas para acessar o OA gerenciado; e (4) responsabilizar-se por todos os aspectos do gerenciamento da solução OOB; c. reconhecer que as soluções OOB pré-existentes devem ser aprovadas pela IBM; d. manter atualizados os contratos de suporte e manutenção para o OOB (se necessário); e e. responsabilizar-se por fornecer toda a configuração e troubleshooting remotos caso opte por não implementar uma solução OOB ou se, por algum motivo, a solução OOB estiver indisponível. 4.2 Integração ao Sistema de Chamados Se o Cliente quiser aproveitar os investimentos anteriores em chamados de problema e gerenciamento de caso, a IBM fornecerá uma interface de programa aplicativo ( API ) que permite customizar a integração com os sistemas externos de chamado Responsabilidades da IBM em Relação à Integração ao Sistema de Chamados Mediante solicitação do Cliente e pagamento de taxa adicional especificada na Programação, a IBM fornecerá uma API para permitir a integração customizada aos sistemas de chamado externos Responsabilidades do Cliente em Relação à Integração ao Sistema de Chamados a. responsabilizar-se por todas as cobranças adicionais associadas à integração ao chamado por API; b. utilizar o pacote de API do Portal para facilitar a integração do chamado; c. responsabilizar-se por todas as questões de engenharia e desenvolvimento associadas à integração do chamado; e d. reconhecer que a IBM não oferecerá assistência nem consultoria para a integração do sistema de chamado. 4.3 Entrega de Eventos e Registros de Segurança Mediante solicitação do Cliente, a IBM localizará dados de registros e eventos na infraestrutura do MSS IBM e os disponibilizará para download a partir de um servidor IBM seguro. Quando a quantidade de dados de registros e eventos for considerada grande demais para ser disponibilizada via download, a IBM armazenará os dados em meios criptografados e os enviará a um local escolhido pelo Cliente. A possibilidade de entrega via download será avaliada caso a caso Responsabilidades da IBM em Relação à Entrega de Eventos e Registros de Segurança Mediante solicitação do Cliente e pagamento de taxa adicional especificada na Programação, a IBM irá: a. mediante solicitação do Cliente (via Portal), localizar dados específicos na infraestrutura do MSS IBM e disponibilizá-los para download em servidor IBM seguro; e b. notificar as cobranças adicionais relativas ao tempo e aos materiais utilizados para recuperar e preparar os dados Responsabilidades do Cliente em Relação à Entrega de Eventos e Registros de Segurança a. solicitar a entrega de eventos e registros de segurança via Portal; b. baixar os dados solicitados de um servidor IBM seguro; c. e reconhece que a solicitação de quantidades excessivas de dados talvez exija que tais dados sejam armazenados em meios criptografados e enviados a um local escolhido pelo Cliente; e d. responsabilizar-se por todas as despesas relativas ao tempo e aos materiais, bem como pelos encargos de remessa (se aplicável) associados à entrega do registro. 5. Acordos de Nível de Serviço (SLAs) Os SLAs IBM estabelecem objetivos de tempo de resposta e contramedidas para eventos específicos resultantes dos Serviços. Os SLAs entram em vigor quando o processo de implantação é concluído, o Agente é colocado no modo ativo, e o suporte e gerenciamento do Agente são colocados no modo ativo nos SOCs. Soluções para o SLA são disponibilizadas contanto que o Cliente cumpra com as INTC Página 18 de 19

19 obrigações definidas na presente Descrição do Trabalho e em todos os documentos associados do contrato. 5.1 Disponibilidade dos SLAs Os padrões de SLA descritos abaixo incluem as métricas avaliadas quando da prestação dos Serviços. Salvo declaração explícita abaixo, nenhuma espécie de garantia se aplicará aos Serviços prestados sob a presente Descrição do Trabalho. As únicas compensações para o não cumprimento dos padrões de SLA são especificadas na seção da presente Descrição do Trabalho intitulada Compensações de SLA. a. Monitoramento pró-ativo de sistema a IBM notificará o Cliente,dentro de 30 minutos depois de determinar que o OA está inacessível por conectividade in-band padrão. b. Disponibilidade dos serviços a IBM fornecerá 100% de disponibilidade dos serviços dos SOC. c. Disponibilidade do Portal a IBM oferecerá 99,9% de acessibilidade ao Portal fora dos horários especificados na seção da presente Descrição do Trabalho intitulada "Manutenção Programada e Emergencial do Portal". 5.2 Compensações de SLA Créditos de monitoramento pró-ativo do sistema, disponibilidade dos serviços e disponibilidade do Portal Se a IBM não cumprir com qualquer um desses SLAs, será emitido um crédito para as cobranças aplicáveis referente a um dia da cobrança de monitoramento mensal para o Agente afetado para o qual o respectivo SLA não foi cumprido. Resumo dos SLAs e Compensações Acordos de Nível de Serviço (SLAs) Monitoramento pró-ativo do sistema Disponibilidade dos serviços Disponibilidade do portal Compensações de Disponibilidade Crédito de um dia da cobrança de monitoramento mensal para o OA afetado Crédito de um dia da cobrança de monitoramento mensal para o OA afetado INTC Página 19 de 19