Przejdź do treści
Breachroad
Wróć do bloga
Monitoring

Monitoring bezpieczeństwa w MŚP: od czego zacząć

Nie potrzebujesz SOC-a za miliony, żeby wykrywać ataki. Jak średnia firma buduje monitoring: co logować, na co alarmować i kiedy sięgnąć po pomoc.

KR
Karol Rapacz
21 czerwca 2026 · 12 min czytania
Monitoring bezpieczeństwa w MŚP: od czego zacząć

Większość ataków, które analizujemy, nie była „niewykrywalna”. Ślady były w logach — nieudane i udane logowania z egzotycznych adresów, uruchamianie dziwnych narzędzi, nagły ruch wychodzący. Problem w tym, że nikt na te logi nie patrzył, bo „monitoring bezpieczeństwa” kojarzy się z SOC-iem na trzy zmiany i budżetem korporacji. Tymczasem między „nic” a „SOC 24/7” jest długa skala rozwiązań osiągalnych dla średniej firmy. Ten tekst pokazuje, jak po niej sensownie iść.

Po co monitoring, skoro mamy zabezpieczenia

Prewencja (firewalle, MFA, aktualizacje) zmniejsza liczbę udanych ataków, ale nigdy do zera. Statystyki branżowe od lat pokazują ten sam problem: czas od włamania do wykrycia liczy się w tygodniach i miesiącach — a im dłużej atakujący siedzi w sieci, tym drożej. Przy ransomware między wejściem a zaszyfrowaniem mija zwykle od kilku dni do kilku tygodni: to okno, w którym dobry monitoring zamienia katastrofę w incydent do opanowania.

Monitoring to też wymóg formalny: NIS2 każe wykrywać i zgłaszać incydenty w konkretnych terminach (24/72 godziny), RODO wymaga stwierdzenia naruszenia „bez zbędnej zwłoki”, a ubezpieczyciele coraz częściej pytają o EDR i logi wprost w ankiecie polisowej.

Krok 1: logi, które musisz mieć (zanim kupisz cokolwiek)

Zanim padnie słowo „SIEM”, uporządkuj źródła danych. Minimum dla typowej firmy:

  • Tożsamość — logowania do Microsoft 365 / Google Workspace, VPN i systemów krytycznych: skąd, kiedy, czy z MFA, nieudane próby.
  • Stacje i serwery — zdarzenia systemowe, uruchamiane procesy (na Windows: rozszerzone audytowanie lub Sysmon), zmiany kont i uprawnień.
  • Sieć — logi firewalla i DNS: dokąd łączy się Twoja sieć; to często najtańszy sposób wykrycia komunikacji ze złośliwą infrastrukturą.
  • Aplikacje krytyczne — logi dostępu i błędów tam, gdzie leżą pieniądze i dane klientów.
  • Chmura — dzienniki audytowe (kto zmienił konfigurację, kto nadał uprawnienia); błędy konfiguracji chmury opisujemy tutaj.

Dwie zasady techniczne: logi muszą lecieć poza maszynę, którą opisują (atakujący czyści lokalne dzienniki w pierwszej kolejności), a retencja powinna wynosić minimum 90 dni, lepiej 6–12 miesięcy — bo incydenty wykrywa się z opóźnieniem.

Krok 2: EDR — najlepszy pierwszy zakup

Jeśli masz budżet na jedno narzędzie, kup EDR (Endpoint Detection and Response) na stacje i serwery. W odróżnieniu od klasycznego antywirusa EDR widzi zachowania (procesy, połączenia, zmiany w systemie), wykrywa techniki znane z realnych ataków i pozwala zdalnie odizolować zainfekowaną maszynę jednym kliknięciem. W większości incydentów, przy których pomagamy, to właśnie alert EDR był pierwszym sygnałem — o ile ktoś go przeczytał.

I tu dochodzimy do sedna: narzędzie bez człowieka nie jest monitoringiem. Alert o 2:00 w nocy, którego nikt nie widzi do 9:00, dał atakującemu siedem godzin przewagi.

Krok 3: alerty, które ktoś naprawdę obsłuży

Zamiast zbierać wszystko „na zapas”, zacznij od krótkiej listy alertów o wysokiej wartości i niskim szumie:

  1. logowanie do konta uprzywilejowanego z nowego kraju lub nietypowej pory,
  2. wyłączenie/odinstalowanie EDR lub antywirusa na maszynie,
  3. utworzenie nowego konta administratora (domena, M365, chmura),
  4. dodanie reguły przekierowania poczty na adres zewnętrzny (klasyka po phishingu),
  5. masowe operacje na plikach / wykrycie znanych narzędzi atakujących,
  6. logowanie na VPN bez MFA lub seria nieudanych prób MFA (możliwy MFA fatigue),
  7. nagły wzrost ruchu wychodzącego z serwera (możliwa eksfiltracja).

Dla każdego alertu ustal: kto go dostaje, w jakim czasie ma zareagować i co robi najpierw (playbook na jedną stronę wystarczy). Dziesięć alertów obsługiwanych w godzinę bije na głowę tysiąc alertów ignorowanych.

Krok 4: SIEM, XDR czy usługa zewnętrzna?

Gdy podstawy działają, wybór ścieżki zależy od zasobów:

Własny SIEM/XDR. Dziś sensowną centralizację logów da się zbudować na narzędziach wbudowanych w ekosystem (np. Microsoft Sentinel przy M365) albo open source (Wazuh, Elastic). Koszt licencji bywa umiarkowany — prawdziwym kosztem jest człowiek: ktoś musi stroić reguły, przeglądać alerty i utrzymywać całość. Bez co najmniej połowy etatu na to zadanie SIEM zamienia się w drogie archiwum.

MDR / SOC-as-a-Service. Zewnętrzny zespół monitoruje Twoje EDR i logi 24/7, odzywa się przy realnych incydentach i pomaga w reakcji. Dla firm bez własnego zespołu bezpieczeństwa to zwykle najlepszy stosunek ochrony do ceny — płacisz za czujność, nie za narzędzie. Na co uważać przy wyborze: gwarantowane czasy reakcji (SLA), zakres reagowania (czy tylko „informujemy”, czy także izolują maszynę), język komunikacji i to, czy raporty rozumie ktoś poza działem IT.

Model hybrydowy. Alerty krytyczne obsługuje usługa zewnętrzna, przeglądy i kontekst biznesowy zostają u Ciebie. Ten model oferujemy w ramach pakietów wsparcia bezpieczeństwa — monitoring połączony z retestami i doradztwem.

Krok 5: przetestuj, czy to działa

Monitoring nieprzetestowany to monitoring hipotetyczny. Trzy sposoby weryfikacji, od najprostszego:

  • ćwiczenie „purple team” light: uruchomcie kontrolowanie kilka technik (np. zrzut poświadczeń w labie, nietypowe logowanie przez VPN) i sprawdźcie, czy alerty przyszły i kto zareagował,
  • test penetracyjny z oceną wykrywania: pentester działa, a Wy mierzycie, co zobaczył monitoring — tak prowadzimy testy, jeśli klient chce ocenić także detekcję,
  • przegląd po incydencie: każdy realny incydent (nawet drobny) kończy się pytaniem „które alerty zadziałały, a które powinny były”.

Najczęstsze pytania (FAQ)

Ile kosztuje sensowny monitoring dla firmy 50–200 osób? Rząd wielkości: EDR to zwykle kilkadziesiąt złotych za stanowisko miesięcznie; usługa MDR — od kilku do kilkunastu tysięcy złotych miesięcznie zależnie od liczby urządzeń i SLA; własny SIEM — licencje od zera (open source) wzwyż plus realny koszt czasu inżyniera. Dla porównania: mediana kosztu incydentu ransomware w MŚP to setki tysięcy złotych.

Czy nie wystarczy antywirus z konsolą? Konsola AV pokaże wykryte złośliwe pliki, ale współczesne ataki w dużej mierze używają legalnych narzędzi (PowerShell, PsExec, konta administracyjne) — tego AV nie flaguje. EDR analizuje zachowania, nie tylko sygnatury, i daje możliwość reakcji (izolacja hosta), nie tylko informacji.

Co logować w pierwszej kolejności, jeśli budżet jest bliski zeru? Trzy rzeczy niemal za darmo: pełne logi logowań w M365/Google Workspace (i alerty o regułach przekierowań), logi VPN/firewalla wysyłane na osobną maszynę oraz darmowy Sysmon + centralne zbieranie zdarzeń Windows. To pokrywa zaskakująco dużą część realnych scenariuszy ataku.

Czy NIS2 wymaga od nas SOC 24/7? Nie wprost — wymaga zdolności wykrywania i obsługi incydentów oraz raportowania w terminach 24/72 h. Da się to spełnić usługą MDR albo dobrze zorganizowanym dyżurem, bez budowy własnego SOC. Kluczowe jest udokumentowanie procesu i dowody, że działa.

Mamy logi, ale nikt nie ma czasu na alerty. Co dalej? To najczęstszy stan i uczciwa odpowiedź brzmi: oddaj pierwszą linię na zewnątrz. Wewnętrznie zostaw decyzje (co izolujemy, kogo informujemy) i kontekst biznesowy. Porozmawiajmy — pomożemy dobrać model do wielkości zespołu, także jako element stałego wsparcia bezpieczeństwa.

Podsumowanie

Monitoring bezpieczeństwa w MŚP nie zaczyna się od zakupu SIEM-a, tylko od trzech decyzji: które logi zbieramy centralnie, na które sygnały alarmujemy i kto na nie reaguje w jakim czasie. EDR plus krótka lista dobrych alertów plus ktoś, kto je czyta — to poziom, który wykrywa większość realnych ataków zanim staną się katastrofą. Resztę można dokładać etapami, w rytmie budżetu i dojrzałości zespołu.

Udostępnij artykuł

Usługi Umów konsultację