Een Security Operations Center (SOC) is al lang niet meer alleen voor de hele grote jongens. Steeds meer uiteenlopende organisaties kiezen ervoor samen te werken met een Security Operations Center. Maar wat is een SOC precies? En wat levert het op?

Wat is een SOC – Security Operations Center?

Wat is een SOC? Een Security Operations Center (SOC) is de cyberversie van een alarmcentrale (PAC). Waar een alarmcentrale in actie komt bij de detectie van een inbreker, komt een SOC dat bij digitale dreiging. Een Security Operations Center is bemand: SOC-experts monitoren de digitale infrastructuur van een organisatie en komen in actie bij een veiligheidsincident.

In dit continu veranderende threatlandschap is de kans dat een organisatie nooit te maken krijgt met een aanval tegenwoordig – helaas – nihil. Maar: dat betekent dus niet dat u gegarandeerd schade ondervindt aan zo’n aanval. Een aanval die op tijd is ontdekt door een SOC, is ook op tijd tegengegaan.
 

Hoe werkt een SOC – Security Operations Center?

Een Security Operations Center maakt altijd gebruik van software. In de praktijk komt SIEM-software het vaakst en al het langst voor. Dat is software die gegevens verzamelt vanuit de IT-infrastructuur van een organisatie. De instellingen van deze software bepalen hoeveel informatie u krijgt. Sommige organisaties kiezen ervoor enkel netwerken te monitoren, anderen kiezen voor SIEM-instellingen die de gehele infrastructuur dekt.

SOC-experts verwerken de informatie die uit de SIEM-software komt. Zij interpreteren de gebeurtenissen en bepalen of er sprake is van een incident. Afhankelijk van de afspraken die u met een SOC maakt, krijgt u rapporten over deze meldingen en komt de SOC in actie bij een calamiteit.

Tegenwoordig zien we ook steeds vaker een SOC met EDR. Dit is software die niet de gehele infrastructuur in de gaten houdt, maar gefocust is op de endpoints. Ook is een SOC met zowel een SIEM als EDR een combinatie die we steeds vaker tegenkomen in de praktijk.
 

Wat doet een SOC – Security Operations Center?

We hebben globaal een beeld gegeven van wat u mag verwachten van een Security Operations Center. We gaan nu dieper in op hoe een Security Operations Center concreet in de praktijk werkt. Wat mag u allemaal verwachten van een SOC?
 

1. Actieve Monitoring

Security Operations Centers houden netwerken en infrastructuren actief in de gaten. Threats komen zo op tijd aan het licht, waardoor de oplossing vaak sneller is toegepast is dan de schade. Die actieve monitoring bestaat uit een combinatie van tooling en mankracht. SOC-experts zetten SIEM (of EDR) software in om data te verzamelen. Vervolgens analyseren ze zelf de meldingen die de software genereert.
 

2. Kwalificatie van meldingen

Een goede SOC mist niets. Om dat voor elkaar te krijgen, is het belangrijk dat de software breed data verzamelt. Het gevolg daarvan is dat er soms ook een melding binnen komt die geen dreiging, maar goed te verklaren gedrag van een gebruiker is. SOC-experts nemen al deze meldingen onder de loep.

False positives verdwijnen in de prullenbak en de geldige meldingen krijgen een kwalificatie. Hoe groot is de dreiging? Hoe is het ontstaan? Wat moet er gebeuren voor een oplossing? En hoe snel moet die oplossing komen? Bij elke melding krijgt een klant advies wat hij kan doen om in het vervolg dit soort meldingen te voorkomen.
 

3. Threat Response

Na de kwalificatie van meldingen, vindt de threat response plaats. De SOC-experts komen in actie om de gekwalificeerde (potentiële) threats te beperken. Bijvoorbeeld door endpoints uit te zetten (of isoleren), bestanden te verwijderen, processen beëindigen, etc. De meest urgente meldingen krijgen uiteraard als eerste aandacht. Daarnaast is het doel om ingrepen altijd zo klein mogelijk te houden, zodat het geen tot weinig impact heeft op de processen binnen uw organisatie.
 

4. Eventueel herstelwerk

Het doel van een SOC is altijd ingrijpen voordat er schade is. Natuurlijk is dat niet in alle gevallen mogelijk: dan is het beperken van schade vooral prioriteit. Naderhand is er altijd wat herstelwerk nodig om het netwerk weer terug in zijn originele staat te krijgen. Denk bij dit herstelwerk aan het terughalen van verloren data, herconfiguraties, reboots of het installeren van back-ups.
 

5. Logs beheren & onderzoeken

De data waar we het eerder over hadden, hebben in de praktijk de naam “logs”. Deze logs omvatten alle activiteiten op het netwerk: niet alleen de verdachte activiteiten. Het is belangrijk om alle activiteiten te loggen, want dat vormt de “baseline” van al het verkeer. De software én de SOC-expert leert zo wat normaal gedrag is binnen een organisatie en wat niet. Dat maakt het detecteren – en afhandelen – van threats eenvoudiger.

Daarnaast geven logs ook de mogelijkheid na een incident te achterhalen hoe het incident heeft kunnen gebeuren. Dit helpt bij preventie in de toekomst.
 

6. Inzicht in doeltreffende securitymaatregelen

We blijven erbij: goede cyber security heeft niets te maken met zoveel mogelijk maatregelen. Waarom met kanonnen op muggen schieten? Een SOC geeft goed inzicht in hoe het eraan toe gaat binnen de infrastructuur van een organisatie. Met die gegevens zijn SOC-experts in staat nog beter advies te geven over de securitymaatregelen die organisaties écht verder helpen.
 

Verschillen tussen Security Operations Centers

Ondanks dat elk Security Operations Center hetzelfde doel heeft – namelijk threats op tijd detecteren – is niet elke SOC hetzelfde. Bijvoorbeeld: bij de ene SOC betaalt u per log en bij de ander (bijvoorbeeld die van IP4Sure) betaalt u per log producing asset. Zo zijn er nog meer verschillen. Hoe dat precies zit? In dit artikel helpen we u bij het kiezen van een SOC die het beste bij uw organisatie past.

In gesprek over de IP4Sure SOC-dienst?

Meer lezen over de Security Operations Center van IP4Sure? Of heeft u vragen en zou u meer informatie willen over Security Operation Centers? Bekijk hier de pagina over de IP4Sure SOC, of neem vrijblijvend contact met ons op.

Wat is SIEM? 

SIEM is een afkorting die staat voor “Security Information and Event Management”. Het is software die gebeurtenissen op de digitale infrastructuur bundelt in één omgeving. De SIEM analyseert deze gebeurtenissen op afwijkingen. Is er een activiteit die niet normaal of gebruikelijk is? Dan ontstaat er een melding. 

SIEM software wordt vaak gecombineerd met een SOC (Security Operations Center). SOC-analisten – cyber security experts die de SIEM monitoren – zien zo in een oogopslag dat er een incident is. Maar: afwijkend gedrag hoeft nog geen potentiële cyberaanval te betekenen. Daarom analyseren de security experts elk incident nauwkeurig op false positives. 

Wat kan een SIEM allemaal? 

Nogmaals: een SIEM geeft zicht op de gebeurtenissen binnen een digitale infrastructuur, binnen een cyber security context. Het grootste doel is een beginnende cyberaanval of datadiefstal op tijd ontdekken. De software draagt hieraan bij door:

• Logs (gebeurtenissen) te verzamelen vanuit de digitale infrastructuur.
• Een voorselectie maken voor de SOC-analisten: welke gebeurtenissen zijn verdacht?
• Een reactie geven op incidenten door een melding te geven. 
• Tegenwoordig soms zelfs automatisch. 

Daarnaast creëert de software vooral overzicht. Digitale infrastructuren zijn tegenwoordig doorgaans zó uitgebreid, dat het haast niet mogelijk is om alles te overzien. SIEM software bundelt de gegevens van alle onderdelen en maakt de zwakkere onderdelen zichtbaar.

Wat is een SIEM nog meer?

Een SIEM is niet alleen software die potentiële aanvallen detecteert en u helpt op tijd in te grijpen. De software is voor meer handig. Zo zetten security experts een SIEM ook in om misconfiguraties op te sporen en deze te verhelpen. Het is tenslotte een bron aan informatie. 

Cyber security experts zetten die informatie ook in om – wanneer er een dreiging is – soortgelijke meldingen in de toekomst te voorkomen. Dan onderzoeken ze de logs in de software om verbanden te leggen. En om zo maatregelen te treffen. Op die manier is het mogelijk te bouwen aan een infrastructuur die zodanig veilig is, dat er zelden nog meldingen van security incidenten nodig gaan zijn.

Een SIEM gebruiken

Samengevat helpt SIEM software bij het voorkomen van cyberaanvallen én bij het verbeteren van de algehele cyberweerbaarheid. Steeds meer organisaties stellen niet meer de vraag of ze er een willen, maar hoe. 

Het is vooral belangrijk dat een SOC- of security expert de software beheert. Het liefst meerdere. Met name grote organisaties kiezen er wel eens voor hun SIEM te laten beheren door een interne SOC. Een Security Operations Center dat ze zelf hebben opgericht. Dit kost vaak wat moeite, maar dan is alles wel intern geregeld. 

Het is tegenwoordig alleen steeds moeilijker om de juiste mensen te vinden. Dat maakt dat organisaties nu ook kijken naar externe SOCs. Deze hebben security experts in dienst die SOC-incidenten zo specialistisch mogelijk afhandelen. Vaak doet het niet af aan het hebben van een interne SOC. De constructie is alleen net wat anders. Daarnaast is een externe SOC ook toegankelijker voor kleinere organisaties die geen groot security team hebben.

Ook slim: kijk even welke SIEM software bij uw organisatie past. Er zijn verschillende aanbieders op de markt en niet elke SOC gebruikt dezelfde SIEM. Het SOC van IP4Sure gebruikt InsightIDR van Rapid7.

Een SIEM kiezen en implementeren: de conclusie

Het belangrijkste is vooral dat u de SIEM laat beheren door experts die daar ervaring mee hebben. Dan haalt u écht de voordelen uit de software. Het is tenslotte specialistisch werk. Wanneer uw organisatie al een security team in dienst heeft, is een eigen SOC een optie om te exploreren. 

Is het cyber security team klein? Of helemaal niet aanwezig? Dan is een externe SOC sowieso de beste oplossing.

Meer weten over dit onderwerp? 

We schrijven zoveel mogelijk over cyber security om zo te bouwen aan een uitgebreide bron aan informatie. Lees dus zeker onze andere artikelen. En stelt u liever gerichte vragen aan een van onze security specialisten? Neem dan vrijblijvend contact met ons op.

Tegenwoordig houdt veel apparatuur loggegevens bij. Dat is maar goed ook, want het is data die de cyberweerbaarheid van organisaties kan verhogen. Maar: wat zijn loggegevens? En wat doen we ermee?

Bij een inbraak zonder camerabeelden is het knap lastig de dader nog te vinden. Wie kans wil maken op gerechtigheid, moet creatief zijn. Hetzelfde geldt bij een digitale inbraak: zonder registraties van gebeurtenissen is het spoorzoeken een stuk lastiger.

Wat zijn loggegevens?

“Loggegevens” is een verzamelnaam voor data van activiteiten op apparaten. Bovenstaand voorbeeld legt in een notendop het securitynut van loggegevens uit. Al zetten cyber security experts logs vooral in om te achterhalen hoe cyberincidenten hebben kunnen gebeuren. We willen herhaling voorkomen.
 

Wat voor aanvallen zijn te achterhalen?

Door loggegevens slim te analyseren (daar gaan we later op in) is het mogelijk de bron van elke cyberaanval te achterhalen. Of nog beter: de cyberaanval real-time detecteren. Logs zijn een goudmijn aan informatie. Het is niet voor niets dat steeds meer organisaties hun logs laten analyseren door securityspecialisten.
 

Verbanden leggen met loggegevens

Loggegevens van één apparaat geeft informatie, maar logs van alle apparaten combineren maakt het pas echt mogelijk verbanden te leggen. Het doel van aanvallers is vaak toegang krijgen tot het netwerk. Ze beperken zich dus meestal niet tot één apparaat. Het combineren van logs maakt het mogelijk alle acties – in dit geval van de hacker – binnen de digitale infrastructuur te herleiden.
 

Honderden, duizenden & miljoenen logs

Het combineren van logs geeft inzicht. Dat is alleen helemaal niet zo simpel. Eén apparaat (log-producing asset) produceert dagelijks al een grote hoeveelheid loggegevens. Laat staan de gehele digitale infrastructuur bij elkaar. Dat zijn ongekend veel logs. Onmogelijk om handmatig door te spitten dus.
 

Orde in de chaos

Om deze rimboe aan informatie te verwerken en te vergelijken, is er software nodig. Binnen de cyber security gebruiken we doorgaans SIEM-software. Deze software zorgt ervoor dat de data in het juiste format (die verschilt per log-producing asset!) in de database komt.

Vaak heeft zo’n SIEM ook nog een dashboard waarin alle data visueel zichtbaar is. Dat geeft overzicht en inzicht. Als de logs van de hele IT-omgeving gekoppeld zijn aan de software is er in de SIEM informatie over de hele infrastructuur op te zoeken. Ook geeft een SIEM een melding van verdachte activiteit als van te voren gedefinieerd is wat onder verdacht valt.
 

Van inzicht naar meerwaarde

Het hebben van inzicht garandeert nog geen meerwaarde. Iemand moet de informatie eerst interpreteren, goed snappen en er actie op zetten. Een Security Operations Center vertaalt de informatie uit een SIEM door tot concrete handelingen. Security experts signaleren of grijpen zelfs in bij security incidenten.

Aanpassingen die dergelijke meldingen in het vervolg voorkomen, verhogen vervolgens op de lange termijn de cyberweerbaarheid.
 

Toepassing van logs buiten de cyber security

Inzicht in de activiteiten op een infrastructuur levert nog meer kansen op. En nee, we hebben het niet over medewerkers bespioneren. Al kunnen het wel wat zeggen over hoe vaak collega’s bepaalde toepassingen gebruiken. Misschien is er meer bandbreedte voor nodig dan gedacht? Of misschien zijn er in het vervolg juist minder licenties nodig?

En biedt uw organisatie vaak IT-support op afstand? Dan helpen logs helpdeskmedewerkers bronnen van moeilijk te herleiden problemen te achterhalen. Sommige IT-bedrijven zijn hun klanten zelfs voor door contact met ze op te nemen, nog voordat hun apparaat symptomen vertoont.
 

Loggegevens: zet ze in

Of de toepassing nu binnen de support of juist cyber security ligt: loganalyse achterhaalt snel oorzaken en oplossingen. Vragen over hoe wij loggegevens inzetten? Of over de SIEM-software die wij daarvoor gebruiken? Of onze SOC-dienst in zijn algemeen? Neem vrijblijvend contact met ons op.

Een SOC die deels geautomatiseerd in actie komt bij incidenten: tegenwoordig bestaat het. EDR software is het geniale brein hierachter. Maar is een SOC met SIEM daardoor wel of niet ondergeschikt geraakt?

SOC met EDR op de markt

Wie de laatste tijd oriënteert voor een SOC is waarschijnlijk ook een aantal Security Operations Centers die werken met EDR tegen gekomen. Een andere soort security software dan de SIEM. Is het einde van het SIEM tijdperk in zicht dankzij de geautomatiseerde EDR software? Of zit het anders?
 

Security Operations Center

Voor wie nu denkt: “SOC? EDR? SIEM?” eerst even een korte uitleg. Een Security Operations Center is te vergelijken met een alarmcentrale. Het SOC krijgt alleen niet via sensoren en camerabeelden meldingen, maar via software. Van oudsher is SIEM-software dé dataleverancier van een SOC. Geen data betekent tenslotte geen meldingen.

Is er verdachte activiteit gaande? Dan brengt een SOC u op de hoogte. Alle informatie die de software ondertussen heeft verzameld, is in te zetten voor onderzoek naar oorzaak én herstelopties.

Dit artikel legt alle afkortingen binnen de MDR (ja, die afkorting ook) uit.
 

SIEM en EDR zijn verschillend

Endpoint Detection & Response is niet een SIEM met meer opties. Nee, een SIEM en EDR verschillen inhoudelijk juist ontzettend van elkaar. Het is daarom belangrijk om te weten dat u van een SOC met EDR andere dingen mag verwachten dan een SOC met SIEM. Hoe dat zit? Dat leggen we uit door de SIEM- en EDR-software naast elkaar te leggen.
 

SIEM

Laten we beginnen bij de klassieker: de SIEM. Deze software houdt uw volledige infrastructuur in de gaten. Het verzamelt logs vanuit uw infrastructuur, die het SOC dan vervolgens weer analyseert en kwalificeert. U kiest zelf waar u meldingen van krijgt. Denk bijvoorbeeld aan (te) veel mislukte inlogpogingen op een apparaat, lateral movement of een honeypot file die is geopend.

Een SIEM is niet in staat zomaar geautomatiseerd in actie te komen. De software “spuugt” enkel informatie uit waar het SOC-team vervolgens zelf een response op moeten geven.

Overigens: omdat de SIEM-software al enige tijd meegaat, is inmiddels niet elke SIEM meer hetzelfde. Hoe dat zit leest u hier.
 

EDR

De naam zegt het al: Endpoint Detection & Response richt zicht op de beveiliging van Endpoints (apparaten). De meeste EDR-oplossingen zitten heel diep in het systeem en zien daardoor alles. Raakt een apparaat geïnfecteerd? Dan biedt EDR inzicht én komt in actie.

Niet alleen door het apparaat terug te zetten naar een moment waarop het nog niet geïnfecteerd was (rollback). Het onderzoekt  automatisch op wat voor endpoints de – bijvoorbeeld – ransomware nog meer draait. Om vervolgens – via een tijdlijn – te achterhalen bij welke machine de besmetting begonnen is. EDR is zelfs in staat een apparaat te isoleren om verspreiding van de besmetting tegen te gaan.

EDR detecteert én handelt dus. In tegenstelling tot een SIEM. Er zit alleen een grote maar aan: EDR beperkt zich tot endpoints. Devices. Het heeft dus géén zicht op de rest van de digitale infrastructuur (clouddiensten, netwerkapparatuur, databases, applicaties, etc.).

 

De verschillen tussen SIEM en EDR

We maken dingen niet onnodig ingewikkeld. In het kort hieronder dus een zeer bondig tabelletje die de belangrijkste verschillen – en overeenkomst – tussen SIEM en EDR weergeeft. (Smartphonegebruikers kunnen het tabel naar rechts scrollen om de inhoud te zien)

Onderzoek na een threat

Beide softwareopties maken het mogelijk onderzoek te doen naar incidenten. Is er iets gebeurd? Dan kan het SOC-team in de logs terugkijken naar wat zich heeft voorgevallen. Dat stelt technische teams in staat n.a.v. dat inzicht oplossingen aan te brengen die dergelijke incidenten in de toekomst voorkomen.

Uiteraard geldt wederom dat de logs van EDR-software zich beperken tot devices.
 

SOC: met SIEM of met EDR?

Een SIEM is niet ondergeschikt aan EDR en EDR is ook niet ondergeschikt aan SIEM. Ze hebben beiden hun voor en nadelen, waardoor het per organisatie een afweging is welke software het beste past.

De meeste organisaties zien voordelen in de automatische herstelopties van EDR. Bij ransomware kan de snelle reactiesnelheid van EDR soms net het verschil maken. Maar de afweging is dan wel: zijn de risico’s van de blinde vlekken in de rest van de infrastructuur te accepteren?

In het geval dat dat niet zo is, dan is een SIEM die een stuk meer inzicht geeft meer geschikt. Al beperkt het zich niet tot een “of of” verhaal.
 

SOC met SIEM én EDR

Sommige cyber security bedrijven – waaronder IP4Sure – bieden zowel SIEM als EDR als optie aan. Doordat de SOC-experts getraind zijn in allebei de softwareopties, is het ook een optie te genieten van de voordelen van zowel SIEM als EDR.

Dat betekent: inzicht in héél de infrastructuur én geautomatiseerde response op endpoint-niveau.

Er zijn dus drie opties:

• Een SOC met SIEM;
• Een SOC met EDR;
• Een SOC met SIEM én EDR;

Meer informatie over Managed Detection & Response?

Vragen naar aanleiding van een van onze blogs? Stuur deze vrijblijvend via het contactformulier naar ons op. Onze SOC-specialisten nemen dan contact met u op.

Google op cyber security monitoring of Detection & Reponse en de afkortingen SOC en MDR dienen zich aan. En SIEM. En EDR. En IDR. En- We kunnen zo nog wel even doorgaan.

Het cyber security jargon is een lekker ingewikkelde wirwar aan afkortingen. Bovenstaande hebben veel met elkaar gemeen, overlappen onderling én zijn verschillend van elkaar. Reden genoeg om het even simpel onder elkaar te zetten en begrijpelijk te maken.
 

Waarom zoveel afkortingen?

Wie cyber security afkortingen als SOC en MDR probeert te begrijpen, komt er vervolgens nog véél meer tegen. Het gevolg? Verwarring. Logisch: die afkortingen en termen zijn er ook in overvloed. Het snel veranderende threatlandschap zorgt voor meer dreigingen en dus nóg meer oplossingen.

Allemaal met eigen naam – eh – afkorting.

Of het nu gaat om een product of een dienst: cyber security innovators doen hun best met zo goed mogelijke termen te komen. Vaak een variatie op variatie:  MFA (Multi Factor Authentication) is een betere versie van 2FA (Two Factor Authentication).

Daarnaast houden wij techneuten van zo specifiek en dekkend mogelijke termen.  Marketing heeft er ook nog baat bij: die moedigen vernieuwende termen alleen maar aan. Hoe gaaf als securitybedrijf X bekend staat als “Uitvinder van XYZ”?

Tsja, dan rollen die termen als IDR, EDR en XDR er vanzelf uit.
 

Wat betekenen MDR, SOC, SIEM, IDR, EDR en XDR?

In dit artikel gaan we niet in op alle afkortingen binnen de cyber security markt. Ze zijn lang niet allemaal even relevant (of aangeslagen). We leggen daarom enkel de meest voorkomende (en dus relevantere) termen binnen de Detection & Response uit:
 

Wat is MDR (Managed Detection & Response)?

Van collega’s die in phishing trappen tot kwetsbaarheden in software: er kan altijd iets gebeuren waardoor uw organisatie alsnog slachtoffer is van een aanval. Met Managed Detection & Response blijven die aanvallen niet meer onder de radar.

MDR-services detecteren aanvallen en verdachte activiteiten op tijd. Daarvoor zijn doorgaans twee componenten nodig: software die de incidenten detecteert (o.a. SIEM, EDR) en experts die – vaak vanuit een SOC – de data uit de software analyseert en een response geeft.

Het “Managed” gedeelte van MDR is zo belangrijk omdat detectiesoftware – soms veel – false positives geven. Met een MDR service worden die false positives van te voren geautomatiseerd tot een minimum beperkt of handmatig door een SOC zelfs geëlimineerd. De response – een melding of zelfs een tegenactie – is dan dus altijd legitiem.

Organisaties halen het meeste uit een MDR met SOC. Dit omdat écht adequate analyse van incidenten specialistische kennis vergt: security kennis én IT-kennis.
 

Wat is een SOC (Security Operations Center)?

Security Operations Center: dat is waar SOC als afkorting voor staat. Het is een cyber security meldkamer: de experts binnen een SOC richten zich op het monitoren, het kwalificeren, analyseren en het vervolgens melden van security incidenten.

Het verschilt per SOC, maar over het algemeen zijn er afspraken te maken over de afhandeling van incidenten. Een zo’n afspraak is dat het SOC alleen de detectie, kwalificatie en communicatie van incidenten verzorgt. Een andere afspraak is dat het SOC de incidenten ook verhelpt.

Een Security Operations Center zorgt dus altijd voor detectie en kwalificatie en melding, maar niet per definitie voor actie. Dat hangt af van de afspraken die er met het SOC-team zijn gemaakt.

Een SOC gebruikt van oudsher SIEM-software, maar tegenwoordig is EDR ook de SOC-wereld in geslopen.
 

Wat is SIEM/IDR?

SIEM staat voor Security Information & Event Management. Het concept van SIEM-software stamt uit begin 2000. Nu komt de term IDR (Incident Detection & Response) soms ook voorbij als het om SIEM-software gaat.

Van de cloud tot aan software: moderne SIEMs hebben alles in het vizier. Een SIEM verzamelt namelijk gegevens (logs) over de volledige IT-omgeving. Wordt er ergens ingelogd? De SIEM weet het. Faalt een inlogpoging? De SIEM weet het.

SOCs gebruiken SIEM-software om incidenten te herkennen. De SOC-experts vertellen de SIEM als het ware wat “normaal” baseline gedrag is binnen de omgeving. Vervolgens ontvangen ze alerts bij alles wat afwijkt van die baseline. Al dat afwijkende kan een aanval zijn. Het SOC analyseert die alerts.

Let op: een SIEM detecteert alleen. Het is dus geen Detection & Response, maar een belangrijk onderdeel ervan. Er is in principe altijd een SOC nodig voor de response.
 

Wat is EDR/EPP?

Vroeger kenden we alleen EPP (Endpoint Protection Platform: firewall in combinatie met o.a. de klassieke antivirus voor op apparaten), maar nu is er ook EDR. EDR staat voor – u raadt het al – Endpoint Detection & Response. Het verschil tussen EPP en EDR?

EPP richt zich enkel op het opzetten van een schild (preventie). Zo’n schild houdt alleen nooit alles tegen. Dan is EDR handig: want die software richt zich juist op het detecteren én verhelpen van binnengekomen dreigingen op een apparaat. Bijvoorbeeld door een besmette laptop automatisch terug te zetten naar een moment waarop het nog niet geïnfecteerd was.

Sommige software is EPP en EDR in één. SentinelOne is daar een goed voorbeeld van.

Let op: EPP en EDR richten zich dus alleen op de beveiliging endpoints (apparaten). SOCs die alleen EDR gebruiken, geven dus geen inzicht of bescherming in de verdere IT-omgeving.
 

Wat is XDR?

XDR duikt op meer en meer plekken op. XDR is nog zodanig opkomend, dat de definitie wisselt per organisatie die het erover heeft. Over het algemeen is er één rode draad te vinden in die definities: XDR staat voor een holistische aanpak van Detection & Reponse. Het hoofddoel van XDR: dreigingsdetectie nog nauwkeuriger maken om de operationele efficiëntie te verhogen.

Wat dat inhoudt? We maken het simpel: het combineert de krachten van SIEM-software en EDR-software. We vertelden net dat SIEM inzicht geeft in de gehele IT-infrastructuur, maar niet geautomatiseerd ingrijpt bij aanvallen. EDR-software kan ingrijpen wanneer een apparaat geïnfecteerd is, maar beperkt zich echt enkel tot apparaten.

Wanneer organisaties het hebben over XDR, dan bedoelen ze vaak dat ze een MDR oplossing bieden waarbij ze – bijvoorbeeld – zowel SIEM als EDR gebruiken. Door meerdere technologieën samen in te zetten, zijn apparaten voorzien van autoherstelopties én heeft u inzicht over de gehele IT-infrastructuur.

Niet alle security-bedrijven noemen deze aanpak overigens XDR. Dus kijk in uw zoektocht ook naar termen als “holistische aanpak” of “SOC met SIEM én EDR”.
 

Tot slot: SOAR

We kunnen dit artikel niet afsluiten zonder “Security Orchestration, Automation & Response” genoemd te hebben. Net als EDR is SOAR in staat bij een incident tot actie over te gaan: maar dan wél over de gehele IT-infrastructuur. Van het resetten van firewalls tot het in quarantaine zetten van users.

SOAR is vrij nieuw op de markt en nog niet geschikt voor elke organisatie. Vragen over SOAR? Neem vrijblijvend contact op.
 

Meer informatie over Managed Detection & Response?

Stuur uw vragen over MDR vrijblijvend via het contactformulier naar ons op. Onze SOC-specialisten nemen dan contact met u op.

“Op maat” klinkt altijd beter dan pre-built. In veel gevallen gaat dat ook op. Maar is het echt van noodzaak dat een SOC álle use cases op maat bouwt?

In dit artikel gaan we dieper in op de verschillen tussen use cases op maat en pre-built use cases. Ze hebben beiden hun eigen voor- en nadelen. Niet elke SOC biedt beide opties aan, dus het is handig te weten wat bij de securitybehoeften van uw organisatie past.

Lees hier meer over het kiezen van een SOC.
 

Wat zijn use cases?

Allereerst: wat zijn use cases precies? In het kort zijn dit instellingen waarmee de SOC bepaalt wanneer en waarvan er een melding komt. Zo zou veel accounts die tegelijkertijd in proberen te loggen op een apparaat een use-case kunnen zijn: dit is (in de meeste contexten) verdachte activiteit. Dan is een melding interessant.

Vaak stelt een SOC samen met u vast wat – voor uw organisatie – relevante use cases zouden zijn.
 

Custom use cases

Zoals de naam al doet vermoeden, zijn custom use cases volledig op maat gemaakt. De SOC neemt hierbij de moeite om “vanaf 0” een use-case te programmeren en werkend te krijgen in de SIEM-software. Jarenlang waren custom use cases de enige optie bij SOC-diensten.

Dat is prima wanneer u hele specifieke (niche) use cases verlangt: dan is maatwerk altijd het geld waard. Maar wat als uw securitybehoeften generieker van aard zijn? Of wat als u een grote hoeveelheid use cases nodig hebt? Bij SOCs met een traditioneel model betaalt u ook in die gevallen maatwerktarieven.
 

Pre-built use cases

Elke organisatie heeft in grote lijnen andere securitybehoeften. Dat betekent alleen niet dat elke organisatie compleet verschillende use cases verlangt. In de praktijk is er altijd overlap. Daar spelen de pre-built use cases op in: sommige SOCs gebruiken SIEM-software waarin deze vooraf zijn ingebouwd.

Op die manier hoeven klanten geen maatwerk tarieven te betalen voor een wiel dat vaker uitgevonden is. De use cases liggen al klaar. Bij een aantal SOCs betaalt u zelfs niets extra voor alle pre-built use cases. Zo kiest u bij de IP4Sure SOC onbeperkt uit de pre-built use cases.
 

Wat is voor mij geschikt?

Pre-built use cases zijn ideaal voor de securitybehoeften die vaker voorkomen. Maatwerk is handig voor specifieke eisen. Helder. Maar hoe weet u of er pre-built use cases zijn van de meldingen die u nodig hebt? We hebben een document opgesteld met daarin een groot aantal pre-built use cases die de IP4Sure SOC aanbiedt. Zo ziet u in vogelvlucht voor welke use cases er dus geen onnodig maatwerk nodig is.

Interessant om te weten: Rapid7 (de maker van onze SIEM-software) onderzoekt de werkwijze van hackers om daar pre-built use cases op te baseren. Deze use-cases detecteren acties uit de beginfase van een aanval. Hiermee is onze SOC in staat hackers vaak sneller in een vroeg stadium te betrappen.
 

Implementatietijd

Een andere factor waaraan u kan meten wat bij u past, is de duur van de implementatie. Logischerwijs kost maatwerk tijd. In sommige gevallen kan het weken of zelfs maanden duren tot een SOC u volledig van dienst is. Dat terwijl SOCs die gebruik maken van pre-built use cases soms al binnen 2 dagen geïmplementeerd zijn.
 

Dus: pre-built of custom?

Tegenwoordig is dit niet altijd meer een “of” vraag. Ja, er zijn nog traditionele SOCs die enkel custom use cases bieden, maar er zijn inmiddels ook SOCs die beiden doen. Het een sluit het ander dus niet uit. Kiest u voor een SOC met pre-built use cases, maar heeft u in de toekomst toch maatwerk nodig? De IP4Sure SOC combineert pre-built regelmatig met custom.
 

Meer inzicht, en minder concessies

Nu maatwerk niet overal meer de standaard is, zijn concessies ook minder vaak nodig. Bij maatwerk gaan de tarieven tenslotte al snel woekeren, waardoor het niet mogelijk is een heleboel use cases te laten bouwen. Pre-built use cases geven voor hetzelfde geld een stuk meer inzicht.
 

In gesprek over de IP4Sure SOC?

Neem vrijblijvend contact met u op om te onderzoeken of de IP4Sure SOC bij u past. Mail of bel ook gerust voor andere vragen over cybersecurity.

Een SIEM die al een lange tijd geen security incidenten meldt: dat zou een veilig gevoel moeten geven. Toch? Geen incidenten, geen gevaar. In de praktijk zien we soms dat een SIEM zonder meldingen juist onrust geeft. Want hoe kan het zo stil zijn?

Werkt de SIEM software nog wel? Of hebben we gewoon geen SIEM nodig omdat onze security blijkbaar op orde is? Zijn we nu onnodig geld aan het uitgeven? Het zijn allemaal vragen die op kunnen komen. Logisch, want het is belangrijk om security budgetten goed te besteden én zeker te weten dat het allemaal werkt.

Geen meldingen? Dan bent u goed bezig

Toch is een gebrek aan meldingen meestal een goed teken. Zeker wanneer u het monitoren van meldingen overlaat aan een gespecialiseerde SOC, is het hebben van geen meldingen een bevestiging dat u uw security op orde is. Dat er écht geen incidenten zijn binnen de dekkingsgraad van uw SIEM.

Mijn SIEM geeft geen meldingen meer: is er toch iets aan de hand?

Het is nooit de bedoeling dat u twijfelt over uw SIEM. Het volgende kan het geval zijn:

1. De SIEM software is niet dekkend geconfigureerd

Maakt u gebruik van SIEM software zonder een SOC-dienst? Dan is het goed te achterhalen of uw SIEM (nog) wel dekkend is geconfigureerd. Zijn er systemen bijgekomen die u misschien nog niet monitort? Misschien staan er instellingen verkeerd? Misschien wordt de data niet meer succesvol gelezen (een goede SIEM oplossing heeft de mogelijkheid alarmen te configureren wanneer dit het geval is). Neem in deze gevallen zeker contact op met de leverancier van uw SIEM-software.

Ben ook alert op de dekkingsgraad van uw SIEM. Wat voor use cases gebruikt u? Verwacht geen meldingen van onderdelen die niet gedekt zijn door uw SIEM-software.

2. Er zijn echt geen meldingen

Werkt u samen met een goede SOC? Dan is de kans groot dat er echt geen meldingen zijn. De securityexperts die de SIEM monitoren zetten tenslotte alleen de “echte” meldingen door en filteren de “false positives” er voor u uit. Zij houden voor u in de gaten of alles goed is ingesteld. Meldingen die ontstaan zijn door een fout van een gebruiker of het systeem dat nog moet leren wel gedrag wel/niet mag krijgt u als eindgebruiker nooit te zien.

Of een tijdelijk gebrek aan meldingen een reden is te stoppen met een SIEM/SOC? Nee. Een incident kan altijd opduiken. Dan is het belangrijk dat u er op tijd van op de hoogte bent en er meteen mee aan de slag kan.

Bovendien heeft u dan de informatie voorhanden om te herleiden wat er nu precies gebeurd is. Schakelt u een SIEM in nadat het incident heeft plaats gevonden, dan mist u uiteraard deze cruciale informatie.

Overweeg een SOC-dienst

Een Security Operations Center (SOC) ontzorgt u volledig. Zo bouwt een SOC een alarm in die af gaat wanneer er een x aantal tijd geen data meer is ontvangen door uw SIEM. Een gebrek aan data betekent namelijk dat er iets mis is met de service. Bij de SIEM-software die IP4Sure SOC gebruikt – InsightIDR – zit deze alarmfunctie standaard ingebouwd.

Met een SOC hoeft u ook geen false positives door te spitten, want die filteren wij er al uit. U ontvangt rapportages waarin de échte incidenten staan. En zijn er geen incidenten? Dan dienen de rapportages als een interactiemoment dat bevestigt dat alles goed is. En dan is alles ook écht goed. IP4Sure gebruikt SIEM-software waar standaard al meer dan 100 use cases in zitten. De dekkingsgraad en het overzicht over uw infrastructuur is dus ontzettend groot.

Zit er verschil tussen de ene en de andere Managed SIEM/SOC? En hoe kiest u er een die bij uw organisatie past? In dit artikel geven we tips bij het kiezen van een SOC-dienst.

“Data is de nieuwe olie” is een uitspraak die steeds vaker te horen is. Data is goud waard. En hoe meer data, hoe beter. Cybercriminelen hebben logischerwijs al hun pijlen gericht op organisaties die veel data verwerken. Met veel geduld doorzoeken ze uw netwerken en systemen, op zoek naar een ingang. En vinden ze die? Dan slaan ze toe. Soms zonder dat u het zelf door hebt.
 

Een SOC meldt calamiteiten

Daarom is het zeker nu belangrijk precies te weten wat er zich allemaal afspeelt binnen de digitale infrastructuur van uw organisatie. Met een Managed SIEM – ook bekend als SOC – hebt u precies in de gaten wat er gebeurt binnen uw systemen en netwerken. En is er een calamiteit? Dan is het op tijd bekend.
 

Wat is een SIEM?

De afkorting SIEM staat voor “Security Information & Event Management”. Daarmee is SIEM een tool die alle verdachte activiteiten op uw netwerk en systeem traceert en registreert. De tool helpt actief met het creëren van inzicht in alle gebeurtenissen binnen uw digitale infrastructuur. En dat inzicht? Dat helpt u weer met het versterken van uw IT Security.

Het ding is alleen: wie interpreteert die gebeurtenissen? En wie komt in actie bij een verdachte activiteit?

Veel bedrijven hebben geen of een kleine security afdeling. Ideaal gezien zetten deze experts hun kennis en kunde in om de security architectuur binnen uw bedrijf actief te verbeteren. Want eerlijk: wilt u dat uw getalenteerde medewerkers al hun tijd steken in het interpreteren van de informatie die een SIEM levert?
 

Een Managed SIEM, ook wel een SOC

Precies om die reden is een externe Managed SIEM – of SOC-dienst – een ideale uitkomst. Zo hoeft u zichzelf niet bezig te houden met het interpreteren van de logs, maar doen externe security experts dat. Zij kijken wat voor activiteiten er plaats vinden, halen de false postives eruit en maken pas een melding bij daadwerkelijke security incidenten. Zo hoeft uw team zich niet bezig te houden met valse meldingen, maar komen ze alleen in actie bij het echte werk.

En heeft u helemaal geen eigen security team? Dan is het ook mogelijk dat de externe SOC de incidenten direct zelf oplost.

De voordelen van een Managed SIEM/SOC:

• Inzicht in security incidenten
• Daarmee de mogelijk (pro)actief in te grijpen
• Daardoor een lager risico op datalekken en cyberaanvallen
• Kortom: een snelle diagnose en oplossing

Het SOC van IP4Sure biedt nog een extra voordeel: we geven advies in het verbeteren van uw netwerk. Valt ons iets op? Dan helpen we u met het verhelpen van deze kwetsbaarheden. Zo hebt u niet alleen inzicht, maar verbetert uw security gaandeweg aanzienlijk. Door de efficiënte SIEM-software die we gebruiken (InsightIDR), is onze SOC nog altijd goedkoper dan de meeste traditionele SOCs.
 

6 zaken om op te letten bij de keuze van een Managed SIEM/SOC-dienst

1. In hoeverre ontlast de SOC/Managed SIEM?

Zeker wanneer u zelf geen (grote) security afdeling hebt binnen uw bedrijf, is het belangrijk na te gaan in hoeverre de SOC-dienst u ontzorgt. Hoe ver gaat de Managed SIEM in het maken van een risico-inventarisatie per incident? Zetten ze meldingen door, of geven ze ook advies bij de oplossing ervan? Of wilt u dat de Managed SIEM zelf in actie komt bij elk incident en het incident response compleet uit handen neemt?
 

2. Hoe kundig zijn de security experts die de SIEM monitoren?

Aanvullend op het eerste punt, is het interessant om op de hoogte te zijn van de achtergrond die de specialisten van de Managed SIEM hebben. Zeker wanneer u veel verwacht van een SOC-dienst, is het belangrijk dat u te maken hebt met experts die goed op de hoogte zijn van hoe hackers en cybercriminelen kwetsbaarheden uitbuiten. Alleen zo is keer op keer effectief optreden haalbaar.
 

3. Wat wilt u in de SOC-rapporten terug lezen?

Wilt u graag enkel rapporten met incidenten waarbij de false positives eruit gefilterd zijn ontvangen? Of hebt u liever concrete hulp bij het oplossen van de security problemen? Het is goed om te weten hoe ver de SOC-dienst gaat in de communicatie. Ga na wat u verwacht van een SOC en wat bij uw organisatie past.
 

4. Denkt de SOC-dienst mee over lange termijn oplossingen?

Komen bepaalde kwetsbaarheden of fouten regelmatig terug? Dan kan het prettig zijn dat het SOC/Managed SIEM advies geeft over het structureel verbeteren van uw cyber security. Wilt u deze ondersteuning? Ga dan altijd bij de SOC-dienst waarmee u om de tafel gaat na of ze deze service bieden.
 

5.Op wat voor manier houdt de SOC/Managed SIEM verder contact?

Niet elke SOC-dienst heeft de mogelijkheid persoonlijk contact met u te houden. Houdt u van een laagdrempelige benadering en vindt u het belangrijk regelmatig te kunnen bellen met een vraag? Ga dan altijd na of dit mogelijk is.
 

6. Is alles maatwerk of zijn er ook pre-built use cases?

In hoeverre is het SOC wendbaar genoeg om mee te gaan in uw specifieke én niet-specifieke wensen? Niet elke organisatie vindt dezelfde zaken belangrijk. Dus welke resultaten wilt u ontvangen? Sommige Managed SIEMs bieden al veel pre-built use cases. Hierdoor is maatwerk minder vaak nodig, wat kosten en tijd bespaart.
 

De SOC-dienst van IP4Sure

Kenmerkend voor onze Managed SIEM/SOC zijn de cyber security professionals die niet alleen optreden bij incidenten, maar ook meedenken met oplossingen voor de lange termijn. Pragmatisch, laagdrempelig en persoonlijk: dat is waar wij voor staan. Meer weten over onze SOC-dienst? Lees hier verder of neem vrijblijvend contact met ons op voor meer informatie.