SOAR, SIEM und Ticketsystem für ein Security Operations Center Referenznummer der Bekanntmachung: 21-024020058
Bekanntmachung vergebener Aufträge
Ergebnisse des Vergabeverfahrens
Lieferauftrag
Abschnitt I: Öffentlicher Auftraggeber
Postanschrift:[gelöscht]
Ort: Düsseldorf
NUTS-Code: DEA11 Düsseldorf, Kreisfreie Stadt
Postleitzahl: 40476
Land: Deutschland
Kontaktstelle(n):[gelöscht]
E-Mail: [gelöscht]
Fax: [gelöscht]
Internet-Adresse(n):
Hauptadresse: www.it.nrw.de
Abschnitt II: Gegenstand
SOAR, SIEM und Ticketsystem für ein Security Operations Center
Los 1 - Security Orchestration, Automation & Response System
Es wird ein mandantenfähiges und skalierbares Security Orchestration, Automation & Response System (SOAR) entsprechend den Anforderungen gemäß Produktfragenkatalog ausgeschrieben. Zunächst sollen bis zu 18 Personen, bei denen es sich um Mitarbeiter oder Externe handeln kann, mit dem System arbeiten, diese Zahl soll sich aber mittelfristig erhöhen. Darüber hinaus sollen beliebig viele Systeme angebunden werden können, um Automatisierungen und Integrationen etc. zu realisieren, ohne zusätzliche Lizenzen zu benötigen. Gleiches gilt für Service-Accounts für die Zusammenarbeit mit Personen außerhalb des Teams, die entsprechend eingeschränkten Möglichkeiten und Rechte erhalten sollen.
Produktschulung, Softwarepflege/Wartung sowie Support und Integrationsdienstleistungen sind ebenfalls Bestandteil der Ausschreibung.
Details und weitere Anforderungen werden im Produktfragenkatalog aufgeführt.
Los 2 - Ticketsystem für CERT und SOC
Es wird ein auf die Bedürfnisse von Security Teams optimiertes Ticketsystem ausgeschrieben, in dem alle Geschäftsprozesse eines CERT und SOC abgebildet werden können, beispielsweise die Erstellung und Bearbeitung von Security Incidents, Beratungsanfragen, der Prozess der Beauftragung und Dokumentation von Penetrationstests, Forensik-Fälle u.v.m. Das System ersetzt zudem einen E-Mail Client zur Bearbeitung von E-Mails an das Teampostfach weitestgehend, so dass die Korrespondenz zu allen Geschäftsprozessen im Regelfall über das Ticketsystem abgewickelt werden kann. Dies gilt auch für per S/MIME signierte und verschlüsselte E-Mails.
Das System muss zudem mit einem SOAR wie unter Los 1 beschrieben zusammenarbeiten. Zunächst sollen bis zu 18 Personen, bei denen es sich um Mitarbeiter oder Externe handeln kann, mit dem System arbeiten, diese Zahl soll sich aber mittelfristig erhöhen. Produktschulung, Softwarepflege/Wartung sowie Support und Integrationsdienstleistungen sind ebenfalls Bestandteil der Ausschreibung.
Details und weitere Anforderungen werden im Produktfragenkatalog aufgeführt.
Los 3 - Security Analytics Plattform / SIEM
Es wird eine mandantenfähige und vertikal/horizontal skalierbare Security Analytics Plattform (nachfolgend als Security Information & Event Management bezeichnet, abgekürzt SIEM) entsprechend der vorliegenden Anforderungen aus dem Produktfragenkatalog ausgeschrieben, die vollumfänglich On-Premise, also innerhalb der Netze und Rechenzentren von IT.NRW betrieben werden kann. Die Anbindung der Systeme in der ersten Phase (2022) erzeugt schätzungsweise ein unkomprimiertes Logdatenvolumen von 30 GB pro Tag. Im Laufe der nächsten Jahre ist mit einem Anstieg des Logdatenvolumens auf 1TB oder mehr pro Tag zu rechnen.
Produktschulung, Softwarepflege/Wartung sowie Support und Integrations-dienstleistungen sind ebenfalls Bestandteil der Ausschreibung.
Details und weitere Anforderungen werden im Produktfragenkatalog aufgeführt.
Die Anzahl der Nutzer ist nicht limitiert.
Security Orchestration, Automation & Response System
Land NRW vertreten durch den Landesbetrieb Information und Technik NRW Mauerstraße 51 40476 Düsseldorf
Es wird ein mandantenfähiges und skalierbares Security Orchestration, Automation & Response System (SOAR) entsprechend den Anforderungen gemäß Produktfragenkatalog ausgeschrieben. Zunächst sollen bis zu 18 Personen, bei denen es sich um Mitarbeiter oder Externe handeln kann, mit dem System arbeiten, diese Zahl soll sich aber mittelfristig erhöhen. Darüber hinaus sollen beliebig viele Systeme angebunden werden können, um Automatisierungen und Integrationen etc. zu realisieren, ohne zusätzliche Lizenzen zu benötigen. Gleiches gilt für Service-Accounts für die Zusammenarbeit mit Personen außerhalb des Teams, die entsprechend eingeschränkten Möglichkeiten und Rechte erhalten sollen.
Produktschulung, Softwarepflege/Wartung sowie Support und Integrations-dienstleistungen sind ebenfalls Bestandteil der Ausschreibung.
Details und weitere Anforderungen werden im Produktfragenkatalog aufgeführt
Im Zuge des Aufbaus eines SOC soll ein SOAR-System, ein auf die speziellen Bedürfnisse eines CERT zugeschnittenes Ticketsystem sowie ein SIEM beschafft und aufgebaut werden.
Die SOAR Plattform soll das Computer Emergency Response Team Nordrhein-Westfalen (CERT NRW) sowie das SOC befähigen, Vorgänge und Workflows im CERT NRW/SOC teilweise bis vollständig in Form von Playbooks zu standardisieren und zu automatisieren, mit Ergebnissen/Daten aus verschiedenen Systemen und Automationen anzureichern, Sicherheitsvorfälle zu triagieren und dabei mit einer Vielzahl an Systemen zusammen zu arbeiten, z.B. einem Ticketsystem, einem SIEM und einem Schwachstellenmanagementsystem.
Das Ticketsystem soll alle Geschäftsvorfälle des CERT NRW und des SOC (nicht nur Security Incidents) in dafür eigens definierbaren Ticket-Typen, Eingabemasken und Workflows abbilden und die E-Mail-Korrespondenz zu allen Geschäftsprozessen abbilden, so dass das Team im Regelfall auf die Nutzung eines E-Mail-Clients verzichten kann.
Die Arbeitsabläufe der jeweiligen Geschäftsprozesse können im System selbst modelliert und abgebildet und bei Bedarf mithilfe von Playbooks eines angeschlossenen SOAR-Systems (teil-)automatisiert werden.
Das SIEM soll das CERT NRW sowie das SOC befähigen, Informationssicherheitsereignisse in Form von Logdaten in nahezu Echtzeit sowie rückwirkend zu analysieren, zu korrelieren, Informationssicherheitsvorfälle zu erkennen, zu bewerten und weitere Maßnahmen z.B. mithilfe des SOAR aus Los 1 umzusetzen. Neben einer umfangreichen mitgelieferten Bibliothek an Regeln für diverse Use-Cases muss das Produkt die Erstellung eigener Regeln / Use-Cases unterstützen und eine effiziente, schnelle rückwirkende Suche im Datenbestand nach z.B. so genannten Indicators of Compromise ermöglichen. Darüber hinaus soll das Produkt Anomalien mithilfe von Machine Learning erkennen, die Hinweis auf einen Informationssicherheitsvorfall sein können, z.B. anomales Nutzungsverhalten sowie Anomalien im Netzwerkverkehr, z.B. auf Basis von Netflow/IPFix-Daten oder Zeek-Logs. Auch diese Funktionen müssen vollumfänglich On-Premise einsetzbar sein.
Ticketsystem für CERT und SOC
Land NRW vertreten durch den Landesbetrieb Information und Technik NRW Mauerstraße 51 40476 Düsseldorf
Es wird ein auf die Bedürfnisse von Security Teams optimiertes Ticketsystem ausgeschrieben, in dem alle Geschäftsprozesse eines CERT und SOC abgebildet werden können, beispielsweise die Erstellung und Bearbeitung von Security Incidents, Beratungsanfragen, der Prozess der Beauftragung und Dokumentation von Penetrationstests, Forensik-Fälle u.v.m. Das System ersetzt zudem einen E-Mail Client zur Bearbeitung von E-Mails an das Teampostfach weitestgehend, so dass die Korrespondenz zu allen Geschäftsprozessen im Regelfall über das Ticketsystem abgewickelt werden kann. Dies gilt auch für per S/MIME signierte und verschlüsselte E-Mails.
Das System muss zudem mit einem SOAR wie unter Los 1 beschrieben zusammenarbeiten. Zunächst sollen bis zu 18 Personen, bei denen es sich um Mitarbeiter oder Externe handeln kann, mit dem System arbeiten, diese Zahl soll sich aber mittelfristig erhöhen. Produktschulung, Softwarepflege/Wartung sowie Support und Integrationsdienstleistungen sind ebenfalls Bestandteil der Ausschreibung.
Details und weitere Anforderungen werden im Produktfragenkatalog aufgeführt.
Im Zuge des Aufbaus eines SOC soll ein SOAR-System, ein auf die speziellen Bedürfnisse eines CERT zugeschnittenes Ticketsystem sowie ein SIEM beschafft und aufgebaut werden.
Die SOAR Plattform soll das Computer Emergency Response Team Nordrhein-Westfalen (CERT NRW) sowie das SOC befähigen, Vorgänge und Workflows im CERT NRW/SOC teilweise bis vollständig in Form von Playbooks zu standardisieren und zu automatisieren, mit Ergebnissen/Daten aus verschiedenen Systemen und Automationen anzureichern, Sicherheitsvorfälle zu triagieren und dabei mit einer Vielzahl an Systemen zusammen zu arbeiten, z.B. einem Ticketsystem, einem SIEM und einem Schwachstellenmanagementsystem.
Das Ticketsystem soll alle Geschäftsvorfälle des CERT NRW und des SOC (nicht nur Security Incidents) in dafür eigens definierbaren Ticket-Typen, Eingabemasken und Workflows abbilden und die E-Mail-Korrespondenz zu allen Geschäftsprozessen abbilden, so dass das Team im Regelfall auf die Nutzung eines E-Mail-Clients verzichten kann.
Die Arbeitsabläufe der jeweiligen Geschäftsprozesse können im System selbst modelliert und abgebildet und bei Bedarf mithilfe von Playbooks eines angeschlossenen SOAR-Systems (teil-)automatisiert werden.
Das SIEM soll das CERT NRW sowie das SOC befähigen, Informationssicherheitsereignisse in Form von Logdaten in nahezu Echtzeit sowie rückwirkend zu analysieren, zu korrelieren, Informationssicherheitsvorfälle zu erkennen, zu bewerten und weitere Maßnahmen z.B. mithilfe des SOAR aus Los 1 umzusetzen. Neben einer umfangreichen mitgelieferten Bibliothek an Regeln für diverse Use-Cases muss das Produkt die Erstellung eigener Regeln / Use-Cases unterstützen und eine effiziente, schnelle rückwirkende Suche im Datenbestand nach z.B. so genannten Indicators of Compromise ermöglichen. Darüber hinaus soll das Produkt Anomalien mithilfe von Machine Learning erkennen, die Hinweis auf einen Informationssicherheitsvorfall sein können, z.B. anomales Nutzungsverhalten sowie Anomalien im Netzwerkverkehr, z.B. auf Basis von Netflow/IPFix-Daten oder Zeek-Logs. Auch diese Funktionen müssen vollumfänglich On-Premise einsetzbar sein.
Der Auftrag für Los 2 wurde nicht vergeben, da kein Angebot die Anforderungen erfüllt hat.
Security Analytics Plattform / SIEM
Land NRW vertreten durch den Landesbetrieb Information und Technik NRW Mauerstraße 51 40476 Düsseldorf
Es wird eine mandantenfähige und vertikal/horizontal skalierbare Security Analytics Plattform (nachfolgend als Security Information & Event Management bezeichnet, abgekürzt SIEM) entsprechend der vorliegenden Anforderungen aus dem Produktfragenkatalog ausgeschrieben, die vollumfänglich On-Premise, also innerhalb der Netze und Rechenzentren von IT.NRW betrieben werden kann. Die Anbindung der Systeme in der ersten Phase (2022) erzeugt schätzungsweise ein unkomprimiertes Logdatenvolumen von 30 GB pro Tag. Im Laufe der nächsten Jahre ist mit einem Anstieg des Logdatenvolumens auf 1TB oder mehr pro Tag zu rechnen.
Produktschulung, Softwarepflege/Wartung sowie Support und Integrations-dienstleistungen sind ebenfalls Bestandteil der Ausschreibung.
Details und weitere Anforderungen werden im Produktfragenkatalog aufgeführt.
Die Anzahl der Nutzer ist nicht limitiert.
Im Zuge des Aufbaus eines SOC soll ein SOAR-System, ein auf die speziellen Bedürfnisse eines CERT zugeschnittenes Ticketsystem sowie ein SIEM beschafft und aufgebaut werden.
Die SOAR Plattform soll das Computer Emergency Response Team Nordrhein-Westfalen (CERT NRW) sowie das SOC befähigen, Vorgänge und Workflows im CERT NRW/SOC teilweise bis vollständig in Form von Playbooks zu standardisieren und zu automatisieren, mit Ergebnissen/Daten aus verschiedenen Systemen und Automationen anzureichern, Sicherheitsvorfälle zu triagieren und dabei mit einer Vielzahl an Systemen zusammen zu arbeiten, z.B. einem Ticketsystem, einem SIEM und einem Schwachstellenmanagementsystem.
Das Ticketsystem soll alle Geschäftsvorfälle des CERT NRW und des SOC (nicht nur Security Incidents) in dafür eigens definierbaren Ticket-Typen, Eingabemasken und Workflows abbilden und die E-Mail-Korrespondenz zu allen Geschäftsprozessen abbilden, so dass das Team im Regelfall auf die Nutzung eines E-Mail-Clients verzichten kann.
Die Arbeitsabläufe der jeweiligen Geschäftsprozesse können im System selbst modelliert und abgebildet und bei Bedarf mithilfe von Playbooks eines angeschlossenen SOAR-Systems (teil-)automatisiert werden.
Das SIEM soll das CERT NRW sowie das SOC befähigen, Informationssicherheitsereignisse in Form von Logdaten in nahezu Echtzeit sowie rückwirkend zu analysieren, zu korrelieren, Informationssicherheitsvorfälle zu erkennen, zu bewerten und weitere Maßnahmen z.B. mithilfe des SOAR aus Los 1 umzusetzen. Neben einer umfangreichen mitgelieferten Bibliothek an Regeln für diverse Use-Cases muss das Produkt die Erstellung eigener Regeln / Use-Cases unterstützen und eine effiziente, schnelle rückwirkende Suche im Datenbestand nach z.B. so genannten Indicators of Compromise ermöglichen. Darüber hinaus soll das Produkt Anomalien mithilfe von Machine Learning erkennen, die Hinweis auf einen Informationssicherheitsvorfall sein können, z.B. anomales Nutzungsverhalten sowie Anomalien im Netzwerkverkehr, z.B. auf Basis von Netflow/IPFix-Daten oder Zeek-Logs. Auch diese Funktionen müssen vollumfänglich On-Premise einsetzbar sein.
Abschnitt IV: Verfahren
Abschnitt V: Auftragsvergabe
SOAR, SIEM und Ticketsystem für ein Security Operations Center
Postanschrift:[gelöscht]
Ort: Herford
NUTS-Code: DEA11 Düsseldorf, Kreisfreie Stadt
Postleitzahl: 32051
Land: Deutschland
E-Mail: [gelöscht]
Internet-Adresse: http://www.dts-systeme.de
Abschnitt V: Auftragsvergabe
SOAR, SIEM und Ticketsystem für ein Security Operations Center
Abschnitt V: Auftragsvergabe
SOAR, SIEM und Ticketsystem für ein Security Operations Center
Postanschrift:[gelöscht]
Ort: Bad Homburg
NUTS-Code: DEA11 Düsseldorf, Kreisfreie Stadt
Postleitzahl: 61352
Land: Deutschland
E-Mail: [gelöscht]
Internet-Adresse: https://hello.global.ntt/de-de
Abschnitt VI: Weitere Angaben
Bekanntmachungs-ID: CXPNYDRDFXF
Postanschrift:[gelöscht]
Ort: Köln
Postleitzahl: 50667
Land: Deutschland
Fax: [gelöscht]
Gemäß §160 Abs.3 nr.4 GBB ist ein Nachprüfungsantrag unzulässig, soweit mehr als fünfzehn Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, vergangen sind.