Direct hulp nodig? Bel of app ons noodnummer.

040-2095020

SOC

  • 9 nov, 2020

Een SIEM die geen meldingen geeft: dit is wat u moet weten

Een SIEM die al een lange tijd geen security incidenten meldt: dat zou een veilig gevoel moeten geven. Toch? Geen incidenten, geen gevaar. In de praktijk zien we soms dat een SIEM zonder meldingen juist onrust geeft. Want hoe kan het zo stil zijn?

Werkt de SIEM software nog wel? Of hebben we gewoon geen SIEM nodig omdat onze security blijkbaar op orde is? Zijn we nu onnodig geld aan het uitgeven? Het zijn allemaal vragen die op kunnen komen. Logisch, want het is belangrijk om security budgetten goed te besteden én zeker te weten dat het allemaal werkt.

Geen meldingen? Dan bent u goed bezig

Toch is een gebrek aan meldingen meestal een goed teken. Zeker wanneer u het monitoren van meldingen overlaat aan een gespecialiseerde SOC, is het hebben van geen meldingen een bevestiging dat u uw security op orde is. Dat er écht geen incidenten zijn binnen de dekkingsgraad van uw SIEM.

Mijn SIEM geeft geen meldingen meer: is er toch iets aan de hand?

Het is nooit de bedoeling dat u twijfelt over uw SIEM. Het volgende kan het geval zijn:

1. De SIEM software is niet dekkend geconfigureerd

Maakt u gebruik van SIEM software zonder een SOC-dienst? Dan is het goed te achterhalen of uw SIEM (nog) wel dekkend is geconfigureerd. Zijn er systemen bijgekomen die u misschien nog niet monitort? Misschien staan er instellingen verkeerd? Misschien wordt de data niet meer succesvol gelezen (een goede SIEM oplossing heeft de mogelijkheid alarmen te configureren wanneer dit het geval is). Neem in deze gevallen zeker contact op met de leverancier van uw SIEM-software.

Ben ook alert op de dekkingsgraad van uw SIEM. Wat voor use cases gebruikt u? Verwacht geen meldingen van onderdelen die niet gedekt zijn door uw SIEM-software.

2. Er zijn echt geen meldingen

Werkt u samen met een goede SOC? Dan is de kans groot dat er echt geen meldingen zijn. De securityexperts die de SIEM monitoren zetten tenslotte alleen de “echte” meldingen door en filteren de “false positives” er voor u uit. Zij houden voor u in de gaten of alles goed is ingesteld. Meldingen die ontstaan zijn door een fout van een gebruiker of het systeem dat nog moet leren wel gedrag wel/niet mag krijgt u als eindgebruiker nooit te zien.

Of een tijdelijk gebrek aan meldingen een reden is te stoppen met een SIEM/SOC? Nee. Een incident kan altijd opduiken. Dan is het belangrijk dat u er op tijd van op de hoogte bent en er meteen mee aan de slag kan.

Bovendien heeft u dan de informatie voorhanden om te herleiden wat er nu precies gebeurd is. Schakelt u een SIEM in nadat het incident heeft plaats gevonden, dan mist u uiteraard deze cruciale informatie.

Overweeg een SOC-dienst

Een Security Operations Center (SOC) ontzorgt u volledig. Zo bouwt een SOC een alarm in die af gaat wanneer er een x aantal tijd geen data meer is ontvangen door uw SIEM. Een gebrek aan data betekent namelijk dat er iets mis is met de service. Bij de SIEM-software die IP4Sure SOC gebruikt – InsightIDR – zit deze alarmfunctie standaard ingebouwd.

Met een SOC hoeft u ook geen false positives door te spitten, want die filteren wij er al uit. U ontvangt rapportages waarin de échte incidenten staan. En zijn er geen incidenten? Dan dienen de rapportages als een interactiemoment dat bevestigt dat alles goed is. En dan is alles ook écht goed. IP4Sure gebruikt SIEM-software waar standaard al meer dan 100 use cases in zitten. De dekkingsgraad en het overzicht over uw infrastructuur is dus ontzettend groot.

Inschrijven nieuwsbrief

Lees ook...

Website security

  • 1 okt, 2024

Wat is security.txt en waarom is het handig?

Sommige beveiligingsmaatregelen kosten zo weinig moeite of geld, dat het enkel een kwestie van doen is. Security.txt is daar één…

Lees verder

AI

  • 26 aug, 2024

Dead Internet Theory & cybersecurity: chat u met een mens of met AI?

We scrollen allemaal door LinkedIn, Instagram, Reddit of Facebook. We lezen artikelen, lezen comments, bekijken videos en kletsen misschien zelfs…

Lees verder

SOC

  • 20 aug, 2024

Wat is MDR: een voorbeeld uit de praktijk

Detection & Response kent intussen een hoop afkortingen. In dit artikel duiken we dieper in MDR: Managed Detection & Reponse….

Lees verder

Human Factor

  • 17 jul, 2024

Nederlandse (en Engelse) podcasts over hacken en cybersecurity

Welke cybersecurity podcasts zijn nu echt het luisteren waard? Of het nu voor onderweg is of voor in de vrije…

Lees verder

Uw cyber security bespreken en advies ontvangen?

Afspraak maken

Vragen over cyber security? Bel ons vrijblijvend op:

Afspraak maken

"*" geeft vereiste velden aan

Naam*
Privacy policy*