Kritische Warnungen bleiben nicht mehr liegen
Die automatisierte Erkennung in Defender XDR läuft rund um die Uhr. Unsere Analysten bewerten jede Warnung zu Bürozeiten nach definierten Playbooks und melden sich bei dir, bevor du nachfragen musst.
Das ODCUS Security Operations Center ist für Schweizer KMU mit 20 bis 150 Mitarbeitenden gebaut, die kein 24/7-SOC brauchen: Die Microsoft-Automatisierung wacht rund um die Uhr über deinen Tenant, unsere Analysten bewerten und reagieren zu Bürozeiten mit vertraglichen Reaktionszeiten. Du bekommst monatlich einen Bericht, den auch deine Geschäftsleitung versteht.
30 Minuten, kostenlos. Danach weisst du, was in deinem M365 heute unbeobachtet bleibt und wie du die Monitoring-Fragen deiner Cyber-Versicherung beantwortest.
Das Problem
Teams, SharePoint, Exchange und OneDrive tragen dein Tagesgeschäft. Genau dort setzen Phishing und kompromittierte Identitäten an. Microsoft Defender erkennt vieles davon und schlägt Alarm. Nur bewertet in vielen KMU niemand diese Alarme, und Vorfälle bleiben in unserer Erfahrung oft wochenlang unbemerkt.
Bisher hattest du die Wahl zwischen zwei Extremen: einem 24/7-SOC mit Enterprise-Preisschild, gebaut für Banken und Spitäler, und gar nichts. Für ein Unternehmen mit 20 bis 150 Mitarbeitenden passt beides nicht. Das Security Operations Center von ODCUS füllt diese Lücke.
Leistungen
Wir verbinden uns mit deinem Defender XDR-Tenant und übernehmen Überwachung und Reaktion auf Sicherheitsvorfälle in Microsoft 365.
Die automatisierte Erkennung in Defender XDR läuft rund um die Uhr. Unsere Analysten bewerten jede Warnung zu Bürozeiten nach definierten Playbooks und melden sich bei dir, bevor du nachfragen musst.
Zu Bürozeiten übernehmen unsere Analysten innerhalb der vertraglichen Reaktionszeit und begrenzen die Ausbreitung. Nachts stoppen automatisierte Playbooks den Angriff, bis wir am Morgen übernehmen. Die Reaktionszeiten stehen im Vertrag.
Welche Sofortmassnahmen wir direkt ausführen dürfen, legst du im Onboarding fest, etwa das Sperren eines kompromittierten Kontos. Alles andere kommt als konkrete, priorisierte Empfehlung zu dir oder deinem IT-Partner. Die Kontrolle über deinen Tenant bleibt bei dir.
Monatlicher Service Delivery Report plus quartalsweises Service-Meeting. Ein Bericht, den du der Geschäftsleitung zeigen und als Monitoring-Nachweis für deine Cyber-Versicherung verwenden kannst.
Technologie
Das Security Operations Center basiert auf dem nativen Microsoft-Sicherheitsstack. Deine Sicherheitsdaten bleiben im Microsoft-Stack, ohne Drittanbieter-SIEM und ohne zusätzliche Datenabflüsse.
Zentrale Überwachungsplattform für Endpoints, Identitäten, E-Mail und Cloud Apps.
Log-Aggregation, Threat Intelligence und automatisierte Reaktionen auf Basis von Analytics Rules.
Identitätssignale, Conditional Access und Risikoerkennung für Benutzerkonten.
Schutz für Geräte und E-Mail. Anti-Phishing, Safe Links, EDR, ASR-Regeln.
Datenfluss im Security Operations Center
Für wen
Wir sagen dir offen, ob dieses Modell zu deinem Betrieb passt. Das spart dir Zeit und uns auch.
In diesen Fällen brauchst du ein 24/7-SOC. Das sagen wir dir im Erstgespräch offen und nennen dir passende Alternativen.
Onboarding
Strukturiertes Onboarding stellt sicher, dass das Security Operations Center auf deine M365-Umgebung abgestimmt ist, bevor es in den Vollbetrieb geht.
2 Wochen
M365 Tenant Review und Risikoanalyse. Aufbau der Cross-Tenant-Verbindung zwischen deiner Umgebung und dem ODCUS Security Operations Center.
1 Monat
Funktionstest der Incident-Überwachung. Wir lernen deine Organisation kennen und starten die Zusammenarbeit mit deinem IT-Team.
1 Monat
Konfigurationsanpassungen und Feinabstimmung der Defender-Erkennung auf deine spezifische M365-Umgebung.
Ab Monat 3
Vollständiger SOC-Betrieb mit monatlichem Reporting, quartalsweisen Service-Meetings und laufender Optimierung.
Preise
Du bezahlst für dein Risikoprofil, nicht für eine Nachtschicht. Das Risikolevel wird durch einen M365 Tenant Review ermittelt. Ein tieferes Risikolevel bedeutet einen tieferen Monatspreis und ist durch Konfigurationsverbesserungen erreichbar.
Alle Preise in CHF, exkl. MwSt. Mindestlaufzeit 12 Monate. Das Risikolevel wird per Tenant Review bestimmt (CHF 990). Fragen zum Pricing? Kontakt ODCUS.
Betrieben von ODCUS AG
Das Security Operations Center für Microsoft 365 ist ein Service von ODCUS AG, einer Schweizer IT-Sicherheitsberatung spezialisiert auf Cybersicherheit, ISMS und Compliance für kleine und mittlere Unternehmen.
Mehr über ODCUS erfahrenFAQ
Weil die wenigsten KMU eines brauchen. Ein 24/7-SOC ist für Betriebe gebaut, bei denen jede Minute Ausfall direkten Schaden verursacht: Spitäler oder Produktion im Schichtbetrieb. Ein Büro-KMU bezahlt dort eine menschliche Nachtschicht mit, die es kaum je braucht. Unser Modell trennt deshalb zwei Ebenen. Die automatisierte Erkennung und Abwehr in Microsoft Defender XDR und Sentinel läuft rund um die Uhr, zum Beispiel das automatische Unterbrechen einer riskanten Anmeldung. Unsere Analysten bewerten die Lage zu Bürozeiten (Mo–Fr 08:00–17:30) mit vertraglichen Reaktionszeiten und übernehmen die Behebung. Wenn dein Betrieb eine 24/7-Reaktion durch Menschen braucht, sagen wir dir das im Erstgespräch offen. Dann ist dieses SOC nicht das richtige Angebot für dich.
Die einmalige Onboarding-Gebühr beginnt bei CHF 8'230 und entfällt, wenn du dich für eine Mindestlaufzeit von 4 Jahren entscheidest. Der vollständige Onboarding-Prozess dauert 2 bis 3 Monate und gliedert sich in vier Phasen. Im technischen Onboarding (2 Wochen) führen wir den M365 Tenant Review durch, bestimmen dein Risikolevel und richten die Cross-Tenant-Synchronisation zwischen deinem Microsoft Defender XDR und unserem Security Operations Center ein. In der Crawl Phase (1 Monat) testen wir die Incident-Überwachung im Echtbetrieb und starten die Zusammenarbeit mit deinem internen IT-Team. In der Walk Phase (1 weiterer Monat) feinjustieren wir die Defender-Erkennungsregeln auf deine konkrete M365-Umgebung. Ab dem 3. Monat läuft das Security Operations Center im Vollbetrieb (Run Phase) mit monatlichen Service Delivery Reports und quartalsweisen Service-Meetings.
Microsoft Defender XDR erkennt und blockiert auch nachts und am Wochenende. Automatische Abwehrmechanismen wie das Unterbrechen einer riskanten Anmeldung oder das Isolieren eines auffälligen Geräts laufen unabhängig von Bürozeiten in deinem Tenant. Unsere Analysten übernehmen am nächsten Arbeitstag ab 08:00 Uhr mit vollem Kontext, prüfen die Entscheidungen der Automatisierung, untersuchen den Vorfall und leiten die Behebung ein. Innerhalb der Bürozeiten gelten die vertraglichen Reaktionszeiten: 30 Minuten bei kritischen Vorfällen, 2 Stunden bei hohen, 4 Stunden bei mittleren. Für den Fall, dass du selbst nachts etwas bemerkst, vereinbaren wir eine Eskalationskette mit deinem internen Notfallkontakt, damit die Übergabe am Morgen ohne Reibungsverlust läuft.
Per M365 Tenant Review (CHF 990 einmalig). Wir analysieren die aktuelle Konfiguration deines Microsoft 365 Tenants über alle relevanten Sicherheitsdomänen: Identitäten in Microsoft Entra ID (MFA, Conditional Access, privilegierte Konten), Endpoint-Schutz (Defender for Endpoint, Intune Device Management), E-Mail-Sicherheit (Defender for Office 365, DLP), Datenklassifizierung (Microsoft Purview) und Cloud-App-Aktivitäten (Defender for Cloud Apps). Auf Basis dieser Analyse stufen wir deinen Tenant in eines von drei Risikolevels ein: Niedrig (CHF 1'850/Monat), Moderat (CHF 2'450/Monat) oder Hoch (CHF 3'650/Monat). Ein tieferes Risikolevel bedeutet einen tieferen Monatspreis und ist häufig allein durch Konfigurationsverbesserungen erreichbar, ohne dass du zusätzliche Lizenzen kaufen musst. Der Review ist eine Standortbestimmung deiner aktuellen Konfiguration, kein Zeugnis über die Arbeit deines IT-Teams. Der Review-Bericht ist auch dann nützlich, wenn du dich gegen den SOC-Betrieb entscheidest.
Mindestens Microsoft 365 Business Standard. Für Risikolevel Niedrig und Moderat reicht Business Standard zusammen mit den nativen Defender-Funktionen (Defender for Office 365, Microsoft Entra ID mit MFA und Conditional Access, Microsoft Purview Basispolicies). Für Risikolevel Hoch ist Microsoft 365 Business Premium oder eine entsprechende E5-Lizenz vorausgesetzt, weil dort Intune Device Management und Defender for Endpoint (EDR-Agent auf Geräten) zum Einsatz kommen, die in Business Standard nicht enthalten sind. Wenn du aktuell nur Microsoft 365 Apps for Business oder Microsoft 365 Business Basic einsetzt, gehört das Lizenz-Upgrade in die Run Phase und kann gemeinsam mit deinem Microsoft-Reseller geplant werden. Beim Tenant Review prüfen wir auch die Lizenzpassung und sagen dir, was minimal nötig wäre.
Nein, nicht auf deine Geschäftsdaten. Die Anbindung läuft über eine Cross-Tenant-Synchronisation zwischen deinem Microsoft Defender XDR und unserem Security Operations Center. Was wir sehen: Security-Signale, Incident-Metadaten, Anomalie-Erkennungen und Telemetrie aus Defender for Endpoint, Defender for Office 365, Microsoft Entra ID und Defender for Cloud Apps. Was wir nicht sehen: den Inhalt deiner Dateien in OneDrive oder SharePoint, den Text deiner E-Mails, den Verlauf deiner Teams-Chats. Bei einem konkreten Vorfall, der die Untersuchung von Mail-Inhalten erfordert (etwa Phishing-Forensik), erfolgt das immer in deinem Tenant und mit deiner expliziten Freigabe. Der Vertrag untersteht Schweizer Recht. Sämtliche Daten bleiben in deinem Microsoft 365 Tenant, und wir extrahieren nichts in unsere eigene Infrastruktur.
Die reguläre Mindestlaufzeit beträgt 12 Monate ab Start der Run Phase. Danach verlängert sich der Vertrag automatisch um jeweils 12 Monate, kündbar mit 3 Monaten Vorlauf zum Vertragsende. Bei einer Laufzeit von 4 Jahren oder mehr entfällt die einmalige Onboarding-Gebühr von CHF 8'230. Die 4-Jahres-Variante rechnet sich, weil das Onboarding mit Tenant Review, Konfigurations-Hardening und Cross-Tenant-Setup einen erheblichen Initialaufwand bedeutet. Falls dein Sicherheitsbedarf während der Laufzeit steigt (zum Beispiel durch Wachstum oder neue regulatorische Anforderungen), lässt sich das Risikolevel jederzeit anpassen, ohne dass ein neuer Vertrag nötig ist.
Das Security Operations Center läuft auf der Microsoft-Cloud, nicht auf eigener Infrastruktur bei ODCUS. Microsoft Defender XDR und Microsoft Sentinel überwachen deinen Tenant ohne unser direktes Eingreifen rund um die Uhr. Was wir liefern, ist die kontinuierliche Auswertung und Reaktion auf die Signale. Sollte ein einzelner ODCUS-Mitarbeiter ausfallen, übernimmt ein vereinbarter Stellvertreter mit dokumentiertem Onboarding-Handover. Für den seltenen Fall, dass ODCUS als Unternehmen ausfallen würde (z.B. längere Geschäftsunterbrechung), bleibt dein Microsoft 365 Tenant unverändert in deinem Besitz und unter deiner Kontrolle. Du kannst die Cross-Tenant-Verbindung jederzeit selbst trennen, und alle SOC-Konfigurationen (Analytics Rules, Playbooks, Detection Logic) werden im Tenant Review dokumentiert übergeben, damit ein anderer Provider sie übernehmen könnte.
Nächster Schritt
30 Minuten mit dem ODCUS-Team. Du erfährst, welche Risiken in deinem M365 aktuell unbeobachtet sind und welche SOC-Grösse zu deinem Unternehmen passt. Kostenlos und unverbindlich.
info@odcus.com · +41 43 217 86 70 · Schweiz