Serviços de Segurança de Infraestrutura IBM - Gerenciamento do Sistema de Detecção e Prevenção Contra Intrusão Somente Monitoramento

Transcrição

1 Serviços de Segurança de Infraestrutura IBM - Gerenciamento do Sistema de Detecção e Prevenção Contra Intrusão Somente Monitoramento INTC Página 1 de 19

2 Índice 1. Escopo dos Serviços Definições Serviços Centros de Operações de Segurança Portal Responsabilidades do Portal da IBM Responsabilidades do Portal da Empresa Contatos de Serviços Responsabilidades da IBM em Relação aos Contatos de Serviços Responsabilidades da Empresa em Relação aos Contatos de Serviços Inteligência de Segurança Responsabilidades de Inteligência de Segurança da IBM Responsabilidades de Inteligência de Segurança da Empresa Implementação e Ativação Responsabilidades da IBM em Relação à Implementação e à Ativação Responsabilidades da Empresa em Relação à Implementação e à Ativação Coleta e Arquivamento Responsabilidades da IBM em Relação à Coleta e ao Arquivamento Responsabilidades da Empresa em Relação à Coleta e ao Arquivamento Análise Automatizada Responsabilidades de Análise Automatizada da IBM Responsabilidades de Análise Automatizada da Empresa Monitoramento e Notificação de Eventos Responsabilidades da IBM em Relação ao Monitoramento e à Notificação de Eventos Responsabilidades da Empresa em Relação ao Monitoramento e à Notificação de Eventos Monitoramento de Funcionamento e Disponibilidade do OA Responsabilidades da IBM com Relação ao Monitoramento de Funcionamento e Disponibilidade de OA Responsabilidades da Empresa com Relação ao Monitoramento de Funcionamento e Disponibilidade de OA INTC Página 2 de 19

3 3.10 Gerenciamento de OA Responsabilidades de Gerenciamento de OA da IBM Responsabilidades de Gerenciamento de OA da Empresa Relatório de Segurança Responsabilidades de Relatórios de Segurança da IBM Responsabilidades de Relatórios de Segurança da Empresa Serviços Opcionais Integração do Sistema de Chamados Responsabilidades da IBM em Integração do Sistema de Chamados Responsabilidades da Empresa em Integração do Sistema de Chamados Entrega de Evento e Log de Segurança Responsabilidades da IBM com Relação à Entrega de Evento e Log de Segurança Responsabilidades da Empresa com Relação à Entrega de Evento e Log de Segurança Acordos de Nível de Serviço Disponibilidade do SLA Compensações do SLA INTC Página 3 de 19

4 Descrição de Serviços Serviços de Segurança de Infraestrutura IBM - Gerenciamento do Sistema de Detecção e Prevenção Contra Intrusão Somente Monitoramento ALÉM DOS TERMOS E CONDIÇÕES ESPECIFICADOS ABAIXO, ESTA DESCRIÇÃO DE SERVIÇOS INCLUI AS DISPOSIÇÕES GERAIS DOS SERVIÇOS DE SEGURANÇA GERENCIADOS PELA IBM ( DISPOSIÇÕES GERAIS ) DISPONÍVEIS EM E INCORPORADAS NESTE DOCUMENTO POR REFERÊNCIA. 1. Escopo dos Serviços Os Serviços de Segurança de Infraestrutura IBM - Gerenciamento do Sistema de Detecção e Prevenção Contra Intrusão Somente Monitoramento (chamado IDS/IPS - Monitorado ou Serviços ) foram elaborados para oferecer monitoramento e alertas de sistemas de detecção de intrusão de rede e prevenção contra intrusão (denominados Agentes ) em diversas plataformas e tecnologias. Esses Agentes não devem ser usados para nenhum outro fim enquanto estiverem sob o gerenciamento da IBM. As características dos Serviços descritos no presente documento dependem da disponibilidade e da compatibilidade dos produtos que estão sendo utilizados e de suas respectivas características. É possível que nem todas as características do produto sejam compatíveis, inclusive no caso de produtos compatíveis. A IBM disponibiliza informações sobre as características compatíveis mediante solicitação, incluindo hardware, software e firmware da IBM e de terceiros. 2. Definições 3. Serviços Condição de Alerta ( AlertCon ) uma métrica de risco global desenvolvida pela IBM utilizando métodos proprietários. O AlertCon baseia-se em diversos fatores, incluindo a quantidade e a severidade de vulnerabilidades conhecidas, os ataques a essas vulnerabilidades, a acessibilidade pública a tais ataques, atividade de worm de propagação em massa e atividade global de ameaças. Os quatro níveis de AlertCon estão descritos no portal Serviços Gerenciados de Segurança da IBM ( MSS da IBM ) (denominado "Portal"). Materiais de Apoio incluem, entre outros, manuais de laboratório, anotações do instrutor, material impresso, metodologias, curso eletrônico e imagens, políticas e procedimentos de estudo de caso, bem como os demais materiais exclusivos de treinamento criados pela IBM ou em seu nome. Quando aplicável, os Materiais de Apoio também podem incluir manuais do participante, exercícios, documentos de laboratório e slides da apresentação fornecidos pela IBM. Sistema de prevenção contra intrusão ( IPS ) um dispositivo ou aplicativo de software de rede de segurança que implementa técnicas de dete cção e prevenção para monitorar atividades de rede em busca de comportamentos maliciosos ou indesejáveis. Esse monitoramento pode identificar e, em alguns casos, bloquear possíveis violações de segurança em tempo real. A tabela a seguir destaca as características mensuráveis dos Serviços. As seções subsequentes fornecem uma descrição de cada característica. Resumo das Características dos Serviços Característica dos Serviços Métrica ou Qtde. Acordos de Nível de Serviço Disponibilidade dos serviços 100% SLA de disponibilidade dos serviços Disponibilidade do Portal de MSS da IBM 99,9% SLA de Disponibilidade do Portal de MSS da IBM INTC Página 4 de 19

5 Contatos de Segurança Autorizados 3 usuários Indisponível Arquivamento de Log/evento Até 7 anos (padrão de 1 ano) Indisponível Identificação de incidente de segurança 100% SLA de identificação de incidente de segurança Notificação de incidente de segurança 15 minutos SLA de notificação de incidente de segurança 3.1 Centros de Operações de Segurança Os Serviços Gerenciados de Segurança da IBM são oferecidos a partir de uma rede de Centros de Operações de Segurança da IBM ( SOCs ). A IBM fornecerá acesso aos SOCs 24 horas por dia, sete dias por semana. 3.2 Portal O Portal oferece acesso a um ambiente (e ferramentas associadas) desenvolvido para monitorar e gerenciar as variações de segurança de sua empresa, por meio da fusão de dados tecnológicos e de serviços de diversos fornecedores e geografias em uma interface comum baseada na web. O Portal também pode ser utilizado para fornecer Materiais de Apoio. Esses Materiais não são vendidos. Eles são licenciados e de propriedade exclusiva da IBM. A IBM concede uma licença de acordo com os termos estabelecidos no Portal. OS MATERIAIS DE APOIO SÃO FORNECIDOS NO ESTADO EM QUE SE ENCONTRAM, SEM GARANTIA OU INDENIZAÇÃO DE QUALQUER TIPO, EXPRESSA OU IMPLÍCITA, POR PARTE DA IBM, INCLUINDO, ENTRE OUTROS, GARANTIAS DE COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM DETERMINADO PROPÓSITO E NÃO VIOLAÇÃO DE DIREITOS DE EXCLUSIVIDADE E DE PROPRIEDADE INTELECTUAL Responsabilidades do Portal da IBM a. fornecerá acesso ao Portal 24 horas por dia, sete dias por semana. O Portal fornecerá: (1) notificação e alerta de inteligência de segurança; (2) informações do incidente de segurança e chamado de serviço; (3) inicialização e atualizações de chamados e fluxos de trabalho; (4) bate-papo ao vivo e colaboração com analistas do SOC; (5) um painel de relatório com base em modelos; (6) acesso a logs e eventos do Agente em tempo real e arquivados; (7) autorização para fazer o download de dados de log; (8) evento de segurança granular e recursos de pesquisa de log; e (9) acesso aos Materiais de Apoio de acordo com os termos estabelecidos no Portal; e b. manterá a disponibilidade do Portal de acordo com as métricas fornecidas nesta Descrição de Serviços, na seção intitulada Acordos de Nível de Serviço, Disponibilidade do Portal Responsabilidades do Portal da Empresa a. utilizar o Portal para executar atividades diárias dos Serviços operacionais; b. garantir que os funcionários com acesso ao Portal cumpram com os Termos de Uso estabelecidos no Portal, incluindo, entre outros, os termos associados aos Materiais de Apoio; c. proteger de forma apropriada suas credenciais de login do Portal (incluindo a não divulgação de tais credenciais a pessoas não autorizadas); d. notificar a IBM imediatamente em caso de suspeita de comprometimento de suas credenciais de login; e e. indenizar e isentar a IBM de quaisquer perdas contraídas pela própria empresa ou por terceiros, como resultado da não proteção das credenciais de login. 3.3 Contatos de Serviços É possível escolher entre os diversos níveis de acesso ao SOC e ao Portal para acomodar as várias funções dentro de sua organização. Contatos de Segurança Autorizados INTC Página 5 de 19

6 Um Contato de Segurança Autorizado é definido como um tomador de decisão responsável por todos os problemas operacionais relacionados aos Serviços Gerenciados de Segurança da IBM. Contatos Designados para os Serviços Um Contato Designado para os Serviços é definido como um tomador de decisão responsável por um subconjunto de problemas operacionais relacionados aos Serviços Gerenciados de Segurança da IBM, a um Agente ou a um grupo de Agentes. A IBM só fará interface com um Contato Designado para o Serviço a respeito das atividades operacionais pertencentes ao subconjunto sob responsabilidade desse contato (por exemplo, contato designado de escalação de incidente de segurança do Agente). Usuários do Portal A IBM oferece diversos níveis de acesso aos usuários do Portal. Esses níveis de acesso podem ser aplicados a um Serviço Gerenciado de Segurança da IBM, a um Agente ou a um grupo de Agentes. Os usuários do Portal serão autenticados por meio de senha estática ou tecnologia de criptografia de chave pública a ser fornecida (por exemplo, token RSA SecureID) com base em seus requisitos Responsabilidades da IBM em Relação aos Contatos de Serviços Contatos de Segurança Autorizados a. permitirá a criação de até três Contatos de Segurança Autorizados; b. fornecerá a cada Contato de Segurança Autorizado: (1) permissões do Portal administrativo a seus Agentes; ( 2) autorização para criar um número ilimitado de Contatos Designados para os Serviços e de usuários do Portal; (3) autorização para delegar responsabilidades aos Contatos Designados para os Serviços; c. estabelecerá interface com os Contatos de Segurança Autorizados a respeito das questões de suporte e notificação relacionadas aos Serviços; e d. verificará a identidade dos Contatos de Segurança Autorizados utilizando um método de autenticação pré-compartilhada com passphrase de desafio. Con tatos Designados para os Serviços A I BM : a. verificará a identidade dos Contatos Designados para os Serviços utilizando um método de autenticação pré-compartilhada com passphrase de desafio; e b. estabelecerá interface somente com os Contatos Designados para os Serviços a respeito do subconjunto de questões operacionais sob responsabilidade desses contatos. para Usuários d o Portal a. fornecerá diversos níveis de acesso ao Portal: (1) recursos de usuário administrativo, incluindo: (a) criação de usuários do Portal; (b) criação e editação de grupos personalizados de Agentes; (c) envio de solicitações de Serviços aos SOCs; (d) comunicação via "bate-papo ao vivo" com analistas do SOC a respeito de incidentes ou chamados específicos, gerados como parte dos Serviços; (e) criação de chamados internos relacionados aos Serviços e designação de tais chamados os usuários do Portal; (f) consulta, visualização e atualização de chamados relacionados aos Serviços; (g) visualização e edição de detalhes do Agente; (h) criação e edição de listas de observação de vulnerabilidade; (i) realização de monitoramento de eventos ao vivo; (j) consulta de eventos de segurança e dados de log; (k) planejamento de downloads de eventos de segurança e dados de log; (l) planejamento e execução de relatórios; (2) recursos de usuário normal, incluindo todos os recursos de um usuário administrativo, para os INTC Página 6 de 19

7 Agentes a quem eles devem ser atribuídos, exceto a criação de usuários do Portal; (3) recursos de usuário restrito, incluindo todos os recursos de um usuário normal, para os Agentes a quem eles devem ser atribuídos, exceto: (a) atualização de chamados; e (b) edição de detalhes dos Agentes; b. fornecerá uma autorização para aplicar níveis de acesso a um Agente ou a grupos de Agentes; c. autenticará usuários do Portal utilizando senha estática; e d. autenticará usuários do Portal utilizando uma tecnologia de criptografia de chave pública a ser fornecida (por exemplo, token RSA SecureID) com base em seus requisitos Responsabilidades da Empresa em Relação aos Contatos de Serviços Contatos de Segurança Autorizados A Emp resa concorda em: a. fornecer à IBM as informações de contato referentes a cada Contato de Segurança Autorizado. Os Contatos de Segurança Autorizados serão responsáveis por: (1) criar Contatos Designados para os Serviços e delegar-lhes responsabilidades e permissões, quando aplicável; (2) criar usuários do Portal; (3) autenticar com os SOCs utilizando uma passphrase de desafio pré-compartilhada; e (4) manter suas informações de contato e caminhos de notificação, além de fornecer tais informações à IBM; b. disponibilizar pelo menos um Contato de Segurança Autorizado 24 horas por dia, 7 dias por semana; c. informar à IBM, no prazo de três dias úteis, sobre alterações nas informações do contato; e d. reconhecer que só é permitido possuir, no máximo, três Contatos de Segurança Autorizados, independentemente do número de serviços IBM ou assinaturas de Agente contratados. Contatos D esignados para os Serviços a. fornecer à IBM as informações de contato e as responsabilidades da função referentes a cada Contato Designado para os Serviços. Tais Contatos Designados para os Serviços serão responsáveis pela autenticação com os SOCs utilizando uma passphrase; e b. reconhecer que talvez seja necessário disponibilizar um Contato Designado para os Serviços 24 horas por dia, 7 dias por semana, com base no subconjunto de responsabilidades do Contato (ou seja, escalação do incidente de segurança do Agente). Usuários do Portal A Empresa concorda: a. que os Usuários do Portal utilizarão o Portal para executar atividades diárias de Serviços operacionais; b. em ser responsável pelo fornecimento de tokens RSA SecureID compatíveis com a IBM (quando aplicável); e c. em reconhecer que os SOCs terão interface somente com Contatos de Segurança Autorizados e Contatos Designado para os Serviços. 3.4 Inteligência de Segurança A inteligência de segurança é fornecida pelo Centro de Análise de Ameaças IBM X-Force. O Centro de Análise de Ameaças X-Force publica o nível de ameaça AlertCon na Internet. O AlertCon descreve as variações progressivas de alerta das condições atuais de ameaça à segurança na Internet. Caso as condições de ameaça à segurança na Internet sejam elevadas ao AlertCon 3, o que indica ataques focados que exigem ação defensiva imediata, a IBM fornecerá acesso em tempo real ao seu resumo de instruções da situação global. Como usuário do Portal, a empresa tem acesso ao Serviço de Análise de Ameaças Hospedado do X-Force. O Serviço de Análise de Ameaças Hospedado do X-Force inclui acesso ao relatório trimestral IBM X-Force Threat Insight ( Threat IQ ).. Utilizando o Portal, é possível criar uma lista de observação de vulnerabilidade com informações de ameaças customizadas. Além disso, cada usuário do Portal pode fazer uma solicitação para receber um de avaliação da Internet todo dia útil. Essa avaliação fornece uma análise das condições das ameaças na Internet conhecidas atualmente, dos dados de métricas de portas da Internet em tempo real e das notícias personalizadas de alertas, orientações e segurança. INTC Página 7 de 19

8 OBSERVAÇÃO: O acesso e o uso da inteligência de segurança fornecidos por meio do Portal (incluindo o IQ de Ameaças e o diário de avaliação da Internet) estão sujeitos aos Termos de Uso estabelecidos no contrato. Quando houver conflito entre os Termos de Uso e os termos deste Acordo, os Termos de Uso do Portal prevalecerão sobre este Acordo. Em aditamento aos Termos de Uso estabelecidos no Portal, a utilização de informações em qualquer link ou website não IBM e de recursos estão sujeitos aos termos de uso desses recursos e dos termos postados em tais links ou websites não IBM Responsabilidades de Inteligência de Segurança da IBM a. fornecerá acesso ao Serviço de Análise de Ameaças Hospedado do X-Forc e ; b. fornecerá um nome de usuário, senha, URL e permissões adequadas para acesso ao Portal; c. exibirá informações de segurança no Portal assim que elas forem disponibilizadas; d. fornecerá, por meio do Portal, inteligência de segurança específica para a lista definida de observação de vulnerabilidade, em caso de configuração por parte da Empresa; e. fornecerá, caso configurado desta forma pela Empresa, de avaliação de segurança na Internet para cada dia útil; f. publicará no Portal um AlertCon de Internet; g. declarará uma emergência de Internet caso o nível diário do AlertCon de Internet atinja AlertCon 3. Nesse caso, a IBM fornecerá acesso em tempo real ao seu resumo de instruções da situação global; h. fornecerá a funcionalidade das características do Portal para que uma lista de observação de vulnerabilidade possa ser criada e mantida; i. fornecerá informações adicionais sobre alertas, orientações ou outros problemas de segurança importantes que a IBM julgar necessários; e j. fornecerá acesso ao IQ de ameaças por meio do Portal Responsabilidades de Inteligência de Segurança da Empresa A Empresa concorda em utilizar o Portal para: a. receber diário de avaliação de segurança da Internet, se desejado; b. criar uma lista de observação de vulnerabilidade, se desejado; c. acessar o IQ de Ameaças; e d. concordar em aderir ao acordo de licenciamento e não encaminhar informações de Serviços às pessoas sem licença apropriada. 3.5 Implementação e Ativação Durante a implementação e ativação, a IBM trabalhará em conjunto com a Empresa para implementar um novo Agente. Observação: As atividades de Implementação e Ativação são realizadas uma vez durante a execução dos serviços. Caso deseje substituir, fazer o upgrade ou mover seu Agente durante o contrato de serviços, a IBM poderá solicitar que o Agente seja reimplementado e reativado (o que é denominado "Reimplementação"). Essas Reimplementações serão fornecidas mediante cobrança adicional, conforme especificado em uma programação aplicável (denominado a programação ). Os encargos de Reimplementação se aplicam apenas a substituições de hardware, upgrades ou movimentações iniciadas pela Empresa Responsabilidades da IBM em Relação à Implementação e à Ativação Atividade 1 - Lanç amento do Projeto O objetivo desta atividade é conduzir a chamada de início do projeto. A IBM enviará um de boas-vindas e conduzirá uma chamada de início de até uma hora para no máximo três pessoas de sua equipe para: a. apresentar o Ponto de Contato de sua Empresa ao especialista de implementação designado da IBM; b. revisar as respectivas responsabilidades de cada parte; c. estabelecer as expectativas de planejamento; e d. iniciar a avaliação dos requisitos e ambiente de sua Empresa. Critérios de Conclusão: Esta atividade será considerada concluída quando a IBM tiver conduzido a chamada de início do projeto. Materiais para Entrega: INTC Página 8 de 19

9 Nenhum Atividade 2 - Requisitos de Acesso à Rede O objetivo desta atividade é estabelecer os requisitos de acesso à rede. a. fornecerá um documento à empresa intitulado Requisitos de Acesso à Rede, detalhando: (1) como a IBM se conectará remotamente à sua rede; (2) requisitos técnicos específicos para permitir essa conectividade remota; Observação: A IBM poderá alterar o documento "Requisitos de Acesso à Rede" quando julgar necessário, ao longo do desempenho dos Serviços. b. se conectará à rede da Empresa por meio da Internet, utilizando os métodos de acesso padrão da IBM; e c. se adequado, utilizará uma rede privada virtual ( VPN ) site-to-site para se conectar à rede da Empresa. A VPN pode ser fornecida pela IBM por um custo adicional a ser especificado na Programação. Critérios de Conclusão: Essa atividade será concluída quando a IBM fornecer o documento de Requisitos de Acesso à Rede para o seu Ponto de Contato. Materiais para Entrega: Documento de Requisitos de Acesso à Rede Atividade 3 - Avaliação O objetivo desta atividade é realizar uma avaliação do seu ambiente atual, e das metas de negócios e tecnologia, para ajudar a desenvolver a estratégia de segurança necessária para o Agente. 1ª Tar efa - Coletar Dados a. fornecerá ao seu Ponto de Contato um formulário de coleta de dados que solicitará que você documente: (1) nomes, informações de contato, funções e responsabilidades dos membros da equipe; (2) requisitos exclusivos do país e do local; (3) sua infraestrutura de rede existente; (4) servidores críticos; (5) número e tipo de usuários finais; e (6) motivadores e/ou dependências chave dos negócios que possam influenciar a entrega e as linhas de tempo dos Serviços. 2ª Tarefa - Avaliar o Ambiente a. utilizará as informações fornecidas no formulário de coleta de dados para avaliar o ambiente existente da Empresa; b. determinará se é necessário um Agregador no Local ( OA ) para coletar dados de log e eventos da rede da Empresa. O gerenciamento e monitoramento do OA é fornecido pela IBM por um custo adicional, conforme especificado no Planejamento; e c. se aplicável, fornecerá recomendações para ajustar a política de um Agente ou layout da rede a fim de melhorar a segurança. Critérios de Conclusão: Esta atividade será concluída quando a IBM tiver avaliado o ambiente da Empresa e o Agente existente (conforme o caso). Materiais para Entrega: Nenhum Atividade 4 - Implementação do Agente O objetivo desta atividade é implementar o Agente. 1ª Tarefa - Configurar o Agente INTC Página 9 de 19

10 a. registrará o Agente com a infraestrutura de MSS da IBM Critérios de Conclusão: Esta atividade será concluída quando o Agente for registrado com a infraestrutura de MSS da IBM. Materiais para Entrega: Nenhum Atividade 5 - Implementação de Agregador no Local O objetivo desta atividade é configurar o agregador no local ("OA"). O OA é um dispositivo que a Empresa fornece e pode ser solicitado pela IBM. Esse dispositivo é implementado no local d a empresa e gerenciado e monitorado pelo MSS da IBM por um custo adicional, conforme especificado na progra mação. As funções básicas do OA são: a. compilar, ou de outra forma unir, os eventos de segurança e dados de log; b. analisar e normalizar formatos de log de atividade de sistema desconhecidos, baseados em texto, para envio à infraestrutura de MSS da IBM; c. comprimir e criptografar os eventos de segurança e dados de log; e d. transmitir os eventos de segurança e dados de log à infraestrutura de MSS da IBM. Os principais recursos do OA são: e. realizar o envio para o spool local, criando filas dos eventos localmente quando não houver conexão disponível à infraestrutura de MSS da IBM; f. realizar transmissão unidirecional de log. A comunicação de OA é realizara por conexões SSL/TCP-443 de saída; g. realizar a limitação de mensagens, se estiver configurada. Isso limita a largura de banda do OA à infraestrutura de MSS da IBM (em mensagens por segundo) para preservar a largura de banda. h. fornecer janelas de transmissão, se configuradas. As janelas de transmissão ativam/desativam a transmissão de eventos à infraestrutura de MSS da IBM durante o intervalo de tempo especificado pela Empresa no Portal; e A IBM recomenda enfaticamente o acesso Fora da Banda ("OOB") ao OA. 1ª Tarefa - Configurar o OA Caso tenha sido considerado como requisito pela IBM ou optado pela Empresa, por um custo adicional especificado na Programação, a IBM: a. oferecerá suporte ao vivo, por telefone e e auxiliará a Empresa com a localização de documentos do fornecedor aplicáveis, detalhando os procedimentos de instalação e configuração para o sistema operacional do OA e o software de OA fornecido pela IBM. Esse suporte deve ser planejado com antecedência a fim de garantir a disponibilidade de um especialista em implementação da IBM; b. fornecerá especificações de hardware para a plataforma do OA; c. fornecerá um software de OA e definições de configurações; d. fornecerá suporte por telefone e para auxiliar na instalação do software de OA fornecido pela IBM na plataforma de hardware fornecida pela Empresa. Esse suporte deve ser planejado com antecedência a fim de garantir a disponibilidade de um especialista em implementação da IBM; e. fornecerá serviços de instalação de software mediante solicitação da Empresa e por um custo adicional especificado na Programação; f. para plataformas existentes: (1) avaliará configurações de hardware existentes, a fim de garantir que elas atendam às especificações da IBM; e (2) identificará upgrades de hardware necessários a serem fornecidos e instalados pela Empresa. 2ª Tarefa - Instalar o OA a. oferecerá suporte ao vivo, por telefone e e auxiliará a Empresa com a localização de documentos do fornecedor aplicáveis, detalhando os procedimentos de instalação física e cabeamento do OA. Esse suporte deve ser planejado com antecedência a fim de garantir a disponibilidade de um especialista em implementação da IBM; b. configurará o OA remotamente para incluir o registro do OA na infraestrutura de MSS da IBM e iniciará a instalação e o processo para assumir o controle do gerenciamento do OA; e INTC Página 10 de 19

11 c. confirmará se a infraestrutura MSS da IBM está recebendo comunicação do OA. Critérios de Conclusão: Esta atividade será concluída quando o OA for instalado e configurado e a IBM tiver confirmado que sua infraestrutura de MSS está recebendo comunicações do OA. Materiais para Entrega: Nenhum Atividade 6 - Teste e Verificação O objetivo dessa atividade é realizar o teste e a verificação dos Serviços. a. verificará a conectividade do Agente com a infraestrutura de MSS da IBM; b. realizará testes de aceitação dos Serviços; c. verificará o fornecimento de dados de log do Agente à infraestrutura de MSS da IBM; d. verificará a disponibilidade e funcionalidade do Agente no Portal; e. realizará o teste de garantia da qualidade do Agente; e f. demonstrará remotamente as características primárias do Portal para até dez dos funcionários da Empresa, durante até uma hora. Critérios de Conclusão: Esta atividade será concluída quando a IBM houver verificado a disponibilidade e funcionalidade do Agente no Portal. Materiais para Entrega: Nenhum Atividade 7 - Ativação dos Serviços O objetivo desta atividade é ativar os Serviços. a. assumirá o suporte dos Serviços; e b. realizará a transição do Agente aos SOCs para suporte contínuo. Critérios de Conclusão: Esta atividade será concluída quando o SOC assumir o suporte do serviço. Materiais para Entrega: Nenhum Responsabilidades da Empresa em Relação à Implementação e à Ativação Atividade 1 - Lançamento do Projeto a. participar da chamada de início do projeto; e b. revisar as respectivas responsabilidades de cada parte. Atividade 2 - Requisitos de Acesso à Rede a. revisar e cumprir com o documento "Requisitos de Acesso à Rede" da IBM, durante a implementação e ao longo do prazo do contrato; e b. ser exclusivamente responsável por quaisquer custos incorridos devido ao fato de que a IBM tenha utilizado uma VPN site-to-site para se conectar à rede da Empresa. Atividade 3 - Avaliação 1ª Tarefa - Coletar Dados a. preencher e devolver à IBM qualquer questionário e/ou formulário de coleta de dados em até cinco dias após o recebimento; b. obter e fornecer informações, dados, consentimentos, decisões e aprovações aplicáveis conforme exigido pela IBM para a implementação dos Serviços, no prazo de dois dias úteis a partir da solicitação da IBM; INTC Página 11 de 19

12 c. trabalhar de boa fé junto com a IBM para avaliar com precisão o ambiente de rede da Empresa; d. fornecer contatos dentro de sua organização, e especificar um caminho de notificação através da organização, caso a IBM precise entrar em contato com a Empresa; e e. informar à IBM, no prazo de três dias úteis, sobre alterações nas informações de contato. 2ª Tarefa - Avaliar o Ambiente a. trabalhar em conjunto com a IBM para implementar um OA para a coleta de dados de log e eventos da rede da Empresa, com base nas recomendações e requisitos da IBM; e b. ser exclusivamente responsável por qualquer encargo mensal adicional de monitoração incorrido devido ao fato de que a IBM utiliza um OA para coletar dados de log e eventos da rede da Empresa. Atividade 4 - Implem entação do Agente Nenhuma responsabilidade adicional é requerida pela Empresa para esta atividade. Atividade 5 - Implementação de Agregador no Local 1ª Tarefa - Configurar o OA a. fornecer à IBM um endereço de IP externo para o OA; b. fornecer o hardware para a plataforma de OA, com base nas recomendações e requerimentos da IBM; c. manter o licenciamento atual e fornecer contratos de suporte e manutenção para hardware em que o OA está instalado; d. instalar o software de OA fornecido pela IBM no hardware fornecido pela Empresa, com orientação da IBM; e. configurar um endereço de IP externo e configurações relacionadas no OA; f. fornecer à IBM o endereço de IP do OA, além do nome do host, plataforma da máquina, versão de aplicativo e fuso horário do Agente; e g. para plataformas existentes, comprar e instalar upgrades de hardware solicitados pela IBM. 2ª Tarefa - Instalar o OA a. responsabilizar-se pela instalação física e pelo cabeamento do OA; e b. agendar o suporte ao vivo com um especialista em implementação da IBM. Atividade 6 - Teste e Verificação a. responsabilizar-se pelo desenvolvimento dos planos de teste de aceitação específicos da Empresa; b. responsabilizar-se pela realização dos testes de aceitação dos aplicativos e da conectividade à rede da Empresa; e c. reconhecer que outros testes de aceitação realizados ou não realizados pela Empresa não impedem a IBM de definir o Agente como "ativo" nos SOCs de suporte e gerenciamento contínuo. Ativ idade 7 - Ativação dos Serviços Nenhuma responsabilidade adicional é requerida pela Empresa para esta atividade. 3.6 Coleta e Arquivamento A IBM utiliza o Sistema de Proteção X-Force para coletar, organizar, arquivar e recuperar dados de eventos e log de segurança. O portal oferece à Empresa a possibilidade de visualizar os Serviços 24 horas por dia e 7 dias por semana, incluindo acesso online a logs brutos coletados e armazenados na infraestrutura do Sistema de Proteção X-Force. Os dados de eventos e logs de segurança ficarão disponíveis no Portal online por um ano. Ao final do período de um ano, os dados serão transicionados para armazenamento offline (se aplicável) Responsabilidades da IBM em Relação à Coleta e ao Arquivamento a. coletará dados de log e eventos gerados pelo Agente gerenciado, assim que os dados chegarem à infraestrutura de MSS da IBM; INTC Página 12 de 19

13 b. regulará fluxos de dados de log e eventos gerados pelo Agente gerenciado quando esses fluxos de dados excederem 100 eventos por segundo ( EPS ); c. identificará, de forma única, dados de log e eventos coletados ; d. arquivará dados coletados no Sistema de Proteção X-Force; e. fornecerá armazenamento de dados de log e eventos por um ano, exceto quando especificado de outra forma pela Empresa; f. exibirá dados de log e eventos coletados no Portal por um ano; g. quando suportado, normalizará os dados de log e eventos para aprimorar sua apresentação no Portal; h. iniciará a limpeza de dados de log e eventos coletados, utilizando o método "primeiro a entrar, primeiro a sair" ( FIFO ): (1) com base no período de retenção padrão (um ano) ou nos períodos de retenção definidos pela Empresa (se for o caso); ou (2) quando a idade dos dados de log e eventos exceder sete anos; Observação: Não obstante os períodos de retenção definidos pela Empresa, a IBM não reterá dados de log e eventos por mais de sete anos. Caso a Empresa exceda o período de retenção de sete anos a qualquer momento durante o prazo do contrato, a IBM iniciará a limpeza dos dados de log e eventos coletados utilizando o método FIFO. i. se considerado adequado, recomendará uma VPN site-to-site para ser utilizada na criptografia do tráfego que não seja criptografado nativamente pelo Agente. Observação: A transmissão de dados pela Internet é criptografada utilizando algoritmos de criptografia de padrão da indústria, fornecidos nativamente pelo Agente apenas quando o Agente (fornecido pela Empresa) possuir a capacidade de fazê-lo Responsabilidades da Empresa em Relação à Coleta e ao Arquivamento a. fornecer à IBM períodos de retenção de eventos e logs de segurança de até sete anos; b. utilizar o Portal para revisar e consultar dados de eventos e logs de segurança; c. utilizar o Portal para manter o reconhecimento de disponibilidade espaço de armazenamento de logs e eventos; d. garantir que um contrato de Serviços ativo seja mantido para cada fonte única de evento e log de segurança; e Observação: Se os Serviços forem encerrados por qualquer motivo, a IBM será isenta de sua obrigação de armazenar os dados de eventos e logs de segurança da Empresa. e. reconhecer que: (1) exceto quando especificado de outra forma, por escrito, pela Empresa, a IBM manterá os dados de log e eventos coletados por um ano civil; (2) todos os dados de log e eventos serão transmitidos aos SOCs por meio da Internet; (3) caso a Empresa não deseje utilizar a VPN site-to-site recomendado pela IBM para os Agentes que não fornecerem algoritmos de criptografia de forma nativa, a transmissão de dados pela Internet não será criptografada; (4) a IBM poderá apenas coletar e arquivar dados de log e eventos que alcançarem a infraestrutura de MSS da IBM com sucesso; (5) a IBM não garante o envio jurídico de quaisquer dados de eventos ou logs de segurança para sistemas jurídicos domésticos ou internacionais. A admissibilidade de prova baseia-se nas tecnologias envolvidas e na capacidade de sua Empresa em provar a manipulação adequada dos dados e a cadeia de custódia para cada conjunto dos dados apresentados; (6) a IBM tem o direito de controlar fluxos de eventos gerados pelo Agente que excedam 100 EPS (caso solicitado); (7) a IBM não armazenará dados de log e eventos por mais de sete anos; e (8) os períodos de retenção definidos pela Empresa não podem exceder sete anos. A IBM iniciará a limpeza dos dados utilizando o método FIFO quando os dados de log e eventos coletados excedem sete anos,independentemente dos períodos de retenção especificados pela Empresa. 3.7 Análise Automatizada Os Agentes são capazes de gerar um alto volume de alarmes em resposta às condições de segurança que eles estão configurados para detectar. O risco de segurança real correspondente a uma condição específica detectada nem INTC Página 13 de 19

14 sempre é óbvio, e não seria prático bloquear todos os dados que possam ser danosos como padrão. O monitoramento adicional e análise desses alarmes são importantes para que o programa possua uma segurança confiável. A IBM desenvolveu e mantém um mecanismo proprietário de análise de inteligência automatizada ( AI ) como parte do Sistema de Proteção X-Force. Eventos de Agentes são enviados para o mecanismo de análise de AI para correlação e identificação, conforme forem coletados. O mecanismo de análise de AI executa as seguintes funções básicas: correlaciona tanto alarmes em tempo real quanto históricos; utiliza técnicas de análise estatísticas e baseadas em regras; Utiliza dados brutos, normalizados e consolidados; e opera alarmes de aplicativos e sistemas operacionais. Os Alertas de AI do Sistema de Proteção X-Force são disponibilizados à Empresa pelo Portal. A IBM enviará à Empresa um de notificação de alerta do Sistema de Proteção X-Force a cada hora, resumindo os alertas de AI, caso a Empresa selecione essa opção no Portal. A análise automatizada e os alertas de AI subsequentes gerados pelo Sistema de Proteção X-Force estão disponíveis apenas nas plataformas especificadas pela IBM Responsabilidades de Análise Automatizada da IBM A IBM enviará dados de eventos coletados para o mecanismo de análise de AI do Sistema de Proteção X-Force para correlação e identificação; Responsabilidades de Análise Automatizada da Empresa A Empresa concorda e reconhece que a análise automatizada está disponível apenas nas plataformas especificadas pela IBM. 3.8 Monitoramento e Notificação de Eventos Os analistas de segurança de MSS da IBM realizarão o monitoramento e a análise de alertas de AI de eventos de intrusão gerados pelo Sistema de Proteção X-Force, resultantes da análise automatizada realizada em eventos de IDS/IPS. Apenas a IBM pode determinar se um evento de segurança pode ser considerado como um incidente de segurança. Eventos identificados serão classificados, priorizados e escalados conforme a IBM considerar adequado. Os alertas que não forem eliminados como alertas benignos são classificados como incidente de segurança ( SI ). Os incidentes de segurança ( SI ) são classificados como uma das três prioridades descritas abaixo: SI Prioridade 1 Investigações que resultarem em classificação de alta prioridade (ou seja, Prioridade 1) exigem medidas defensivas imediatas. SI Prioridade 2 Investigações que resultarem em classificação de prioridade média (ou seja, Prioridade 2) exigem medidas mediante notificação com 12 a 24 horas de antecedência. SI Prioridade 3 Investigações que resultarem em classificação de prioridade baixa (ou seja, Prioridade 3) exigem medidas mediante notificação com 1 a 7 dias de antecedência Responsabilidades da IBM em Relação ao Monitoramento e à Notificação de Eventos a. monitorará alertas de AI do Sistema de Proteção X-Force resultantes de uma análise de AI em tempo real sobre dados de eventos de IDS/IPS; b. realizará uma investigação e análise de alertas de AI; c. solicitará uma modificação da configuração de IDS/IPS do Agente, a ser implementada pela Empresa, caso a política vigente impeça que o SOC processe dados de eventos de forma satisfatória; d. quando possível, eliminará falsos positivos e alertas benignos, classificando-os como incidentes de segurança de comentados ( CSI ); e. identificará alertas que não são eliminados como alertas benignos e os classificará como incidentes de segurança ( SIs ): (1) iniciará os temporizadores de SLA; e (2) priorizará o SI como alto, médio ou baixo; f. utilizando o caminho de notificação padrão fornecido pela Empresa, escalará os SIs para um Contato de Segurança Autorizado ou Contato Designado de Serviços com base nas "melhores práticas" de notificação de INTC Página 14 de 19

15 segurança da IBM, dentro do intervalo de tempo e utilizando o meio (por exemplo, ou telefone) estabelecido na seção desta Descrição de Serviços intitulada Acordos de Nível de Serviço, Notificação de Incidente de Segurança ; g. fornecerá recomendações de correção/contramedida, se for o caso; h. documentará detalhes decsis e SIs no sistema de chamados da IBM; e i. listará os CSIs e SIs no Portal Responsabilidades da Empresa em Relação ao Monitoramento e à Notificação de Eventos a. implementar mudanças solicitadas pelo MSS na política do Agente; b. utilizar o Portal para investigações de eventos de auditoria ou eventos contínuos que não forem considerados como ameaças imediatas; c. fornecer à IBM documentação atual e aprofundada sobre o ambiente da Empresa; d. comunicar à IBM, com três dias de antecedência, mudanças no ambiente da Empresa; e. fornecer as seguintes informações à IBM, e mantê-las atuais através do Portal; (1) informações sobre servidores críticos (por exemplo, nome, plataforma, sistema operacional ( OS ), endereço de protocolo de Internet ( IP ) e tipo de segmento de rede); (2) informações sobre redes monitoradas; (3) informações sobre dispositivos que utilizam tradução de endereço de rede ( NAT ) (por exemplo, nome, plataforma, OS, e tipo de segmento de rede); (4) servidores proxy; e (5) scanners autorizados; f. fornecer e manter atual um caminho de notificação de contato linear, incluindo números de telefone e endereços de ; g. comunicar à IBM, através do Portal, com três dias de antecedência, qualquer mudança nas informações de contato da Empresa; h. fornecer aliases de , conforme necessário, para facilitar a notificação i. garantir um Contato de Segurança Autorizado ou Contato Designado de Serviços listado no caminho de notificação esteja disponível 24 horas por dia, 7 dias por semana; j. visualizar detalhes dos CSIs e SIs através do Portal; k. trabalhar em conjunto com a IBM para otimizar o serviço de monitoramento; l. fornecer feedback sobre os CSIs e SIs através do Portal; e m. reconhece que: (1) quando a IBM escalar um SI, a Empresa se torna exclusivamente responsável por todas as respostas a incidentes de SI e atividades de correção; (2) nem todas as investigações de atividade suspeita resultarão em declaração de um SI; (3) o Monitoramento e Notificação de Eventos se aplica apenas a alertas de AI resultantes de análise automatizada realizada em eventos de IDS/IPS de rede; (4) a falta de feedback pode resultar em menor priorização de atividades persistentes ou recorrentes; e (5) se a Empresa não fizer as modificações solicitadas na política, o SLA de Notificação de Incidente de Segurança estabelecido na seção desta Descrição de Serviço intitulada Acordos de Nível de Serviço será nulo e inválido. 3.9 Monitoramento de Funcionamento e Disponibilidade do OA A IBM monitorará o status de funcionamento e disponibilidade do OA. O monitoramento é desenvolvido para auxiliar no aumento da disponibilidade e do tempo de atividade do OA Responsabilidades da IBM com Relação ao Monitoramento de Funcionamento e Disponibilidade de OA Atividade 1 - Monitoramento Baseado em Agente O objetivo dessa atividade é monitorar o funcionamento e o desempenho do OA. a. instalará o software de monitoramento no OA; b. analisará e responderá as principais métricas, que podem incluir: (1) capacidade do disco rígido; (2) utilização do CPU; (3) utilização da memória; e (4) disponibilidade do processo; e c. responderá a alertas gerados pelo software de monitoramento. INTC Página 15 de 19

16 Atividade 2 - Resolução de Problemas O objetivo dessa atividade é realizar uma pesquisa e investigação caso o OA não as realize conforme o esperado, ou quando um possível problema de funcionamento do OA for identificado. a. criará um chamado de problema em caso de problema no desempenho do OA ou possível problema de funcionamento do OA; b. iniciará uma pesquisa e investigação do problema documentado; c. se o OA for identificado como possível fonte de um problema relacionado à rede, examinará a configuração e funcionalidade do OA em busca de possíveis problemas; e d. exibirá o chamado de funcionamento e indisponibilidade do OA no Portal. Atividade 3 - Notificação O objetivo dessa atividade é notificar a Empresa caso o OA se torne inatingível através de meios padrão por dentro da banda. a. notificará a Empresa caso o OA se torne inatingível por meios padrão por dentro da banda. Essa notificação será feita via telefone, utilizando um procedimento de notificação pré-determinado no intervalo de tempo estabelecido na seção deste Descritivo de Serviços intitulado Acordos de Nível de Serviço, Monitoramento Proativo de Sistema ; b. iniciará a investigação de problemas relacionados à configuração ou funcionalidade do OA, após a iniciação da notificação por telefone; e c. exibirá os chamados de funcionamento e indisponibilidade do OA no Portal Responsabilidades da Empresa com Relação ao Monitoramento de Funcionamento e Disponibilidade de OA Atividade 1 - Monitoramento Baseado em Agente Nenhuma responsabilidade adicional é requerida pela Empresa para esta atividade. Atividade 2 - Reso lução de Problemas a. participar das sessões de resolução de problemas com a IBM (conforme necessário); b. ser responsável por fornecer toda a configuração e resolução de problemas remotas, caso escolha não implementar uma solução de OOB, ou se o OOB estiver indisponível por qualquer razão; e c. reconhecer que, se o OA for descartado como fonte de um determinado problema, nenhuma outra resolução de problemas será realizada pela IBM. de Atividade 3 - Notificação a. fornecer seus caminhos de notificação e informações para contato; b. informar à IBM, no prazo de três dias úteis, sobre alterações nas informações de contato; e c. garantir que um Contato de Segurança Autorizado ou Contato Designado de Serviços para Indisponibilidade Agente esteja disponível 24 horas/dia, 7 dias/semana Gerenciamento de OA A IBM aplicará atualizações de aplicativos e segurança ao OA Responsabilidades de Gerenciamento de OA da IBM a. será o único fornecedor de gerenciamento de OA em nível de software; b. manterá o reconhecimento do status do sistema; c. instalará novas atualizações de aplicativos e conteúdo segurança ao OA, conforme se tornem disponíveis; d. instalará correções e atualizações de software a fim de melhorar o desempenho, permitirá funcionalidades adicionais ou solucionará um problema de aplicativo; e. declarará uma janela de manutenção antes das atualizações de OA que possam exigir tempo de inatividade da plataforma ou auxílio da Empresa na conclusão; e INTC Página 16 de 19

17 f. afirmará de forma clara, na notificação da janela de manutenção, os impactos esperados da manutenção planejada no OA e seus requisitos específicos Responsabilidades de Gerenciamento de OA da Empresa a. realizar upgrades de hardware especificados pela IBM para suportar o software e firmware atuais; b. trabalhar em conjunto com a IBM para realizar atualizações de OA (conforme solicitado); c. responsabilizar-se por todos os encargos associados a upgrades de hardware; d. manter os contratos atuais de licença, suporte e manutenção; e. garantir que os acordos adequados estejam em vigor com seus fornecedores, permitindo que a IBM aproveite contratos de suporte e manutenção existentes em seu nome. Caso esses acordos não estejam em vigor, a IBM não será capaz de entrar em contato com o fornecedor diretamente para solucionar problemas de suporte; e f. reconhece que: (1) todas as atualizações são transmitidas e aplicadas pela Internet; (2) se os acordos do fornecedor não forem obtidos ou forem revocados a qualquer momento durante o período do contrato, os Serviços e/ou SLAs podem ser suspensos pela IBM; (3) a não observância aos upgrades de software solicitados pela IBM poderá resultar em suspensão da entrega dos Serviços e/ou dos SLAs; e (4) a não observância aos upgrades de hardware solicitados pela IBM poderá resultar em suspensão da entrega dos Serviços e/ou dos SLAs Relatório de Segurança Utilizando o Portal, a Empresa terá acesso a informações e relatórios de Serviços com visualizações personalizadas das atividades no nível do empreendimento, grupo de trabalho ou Agente. O Portal também oferece a possibilidade de planejar relatórios personalizados Responsabilidades de Relatórios de Segurança da IBM A IBM fornecerá acesso aos recursos de relatório no Portal, os quais incluem: a. número de SLAs chamadas e cumpridas; b. número, tipos e resumo das solicitações/chamados de Serviços; c. número de incidentes de segurança detectados, prioridade e status; d. listar e resumo dos incidentes de segurança; e. relatórios do Agente de IDS/IPS incluindo métricas de ataques, ataques prevenidos, impacto de vulnerabilidade, contagem/tendências de eventos; e f. correlação e análise de eventos Responsabilidades de Relatórios de Segurança da Empresa a. gerar relatórios relacionados aos Serviços, utilizando o Portal; e b. responsabilizar-se pelo agendamento de relatórios (conforme o caso). 4. Serviços Opcionais Serviços opcionais na Programação. 4.1 Integração do Sistema de Chamados selecionados pela Empresa, e quaisquer cargos adicionais por tais serviços, serão especificados Caso a Empresa deseje aproveitar os investimentos existentes em sistemas de chamados de problemas gerenciamento de caso, a IBM oferecerá uma interface de programa de aplicativo ( API ) que permite integração personalizada com sistemas de chamados externos Responsabilidades da IBM em Integração do Sistema de Chamados Mediante solicitação da Empresa, e por um custo adicional especificado na Programação, a IBM fornecerá uma API para permitir a integração personalizada com sistemas de chamado externos Responsabilidades da Empresa em Integração do Sistema de Chamados INTC Página 17 de 19

18 a. responsabilizar-se por todos os encargos associados à integração de chamados de API; b. utilizar o pacote de API do Portal para facilitar a integração de chamados; c. responsabilizar-se por todos os problemas de engenharia e desenvolvimento associados à integração de chamados; e d. reconhecer que a IBM não oferecerá assistência ou consultoria para a integração do sistema de chamados da Empresa. 4.2 Entrega de Evento e Log de Segurança Mediante solicitação da Empresa, a IBM irá recuperar dados de log e eventos da infraestrutura de MSS da IBM e disponibilizá-los para download em um servidor seguro da IBM. Se a quantidade de dados de log e eventos for considerada pela IBM como excessiva para disponibilização por download, a IBM irá armazenar os dados em uma mídia criptografada e enviá-la para o local especificado pela Empresa. A viabilidade da entrega por download será avaliada caso a caso Responsabilidades da IBM com Relação à Entrega de Evento e Log de Segurança Mediante solicitação da Empresa, e por um custo adicional especificado no Planejamento, a IBM: a. mediante solicitação da Empresa (através do Portal), recuperará dados especificados da infraestrutura de MSS da IBM e os disponibilizará para download para a Empresa em um servidor seguro da IBM; e b. informará a Empresa sobre os custos adicionais por todo o tempo e materiais utilizados para recuperar e preparar os dados Responsabilidades da Empresa com Relação à Entrega de Evento e Log de Segurança a. solicitar a entrega de evento e log de segurança pelo Portal; b. fazer o download dos dados solicitados em um servidor seguro da IBM; c. e reconhecer que as solicitações de recuperação de quantidades excessivas de dados podem exigir que os dados sejam armazenados em uma mídia criptografada e enviados a um local especificado pela Empresa; e d. responsabilizar-se por todos os encargos de tempo e materiais, bem como os encargos de envio (conforme o caso) associados à entrega de log. 5. Acordos de Nível de Serviço Os SLAs da IBM estabelecem os objetivos e as contramedidas do tempo de resposta para eventos específicos resultantes dos Serviços. Os SLAs entram em vigor quando o processo de implementação for concluído, o Agente for definido como "ativo", e o suporte e manutenção do Agente forem transicionados para "ativo" nos SOCs com sucesso. As compensações de SLA estarão disponíveis desde que a Empresa cumpra com as obrigações definidas nesta Descrição de Serviços e em todos os documentos de contrato associados Disponibilidade do SLA Os padrões de SLA descritos abaixo compreendem as métricas medidas para prestação dos Serviços. Salvo explicitamente indicado abaixo, nenhuma garantia de qualquer tipo deve ser aplicada aos Serviços prestados sob esta Descrição de Serviços. As únicas soluções para o não cumprimento dos padrões de SLA estão especificadas nesta Descrição de Serviços, na seção intitulada "Compensações de SLA". a. Identificação de incidentes de segurança a IBM irá identificar todos os eventos considerados como incidentes de segurança de nível de Prioridade 1, 2, e 3, com base nos dados de eventos de IDS/IPS do Agente recebidos pelos SOCs. (1) Incidentes de Prioridade 1: eventos de alto risco que podem causar danos graves aos sistemas ou ambientes da Empresa e exigem medida defensiva imediata. Exemplos de incidentes de Prioridade 1 incluem comprometimentos de sistema ou dados, infecções/propagação de worms e ataques massivos de negação de serviço ( DOS ). (2) Incidentes de Prioridade 2: eventos de risco menor, com potencial de impactarem os sistemas ou ambientes da Empresa e que exigem medidas mediante notificação com antecedência de 12 a 24 horas. Exemplos de incidentes de Prioridade 2 incluem atividade de varredura local não autorizada e ataques direcionados a servidores ou postos de trabalhos específicos. (3) Incidentes de Prioridade 3: eventos de baixo risco ou baixa confiança com o potencial de impactar os sistemas ou ambientes da Empresa. Essa categoria de investigação inclui atividades em uma rede ou servidor que deve ser investigada de forma mais aprofundada dentro de 1 a 7 dias, mas não pode ser INTC Página 18 de 19