Wat is SIEM?
SIEM is een afkorting die staat voor “Security Information and Event Management”. Het is software die gebeurtenissen op de digitale infrastructuur bundelt in één omgeving. De SIEM analyseert deze gebeurtenissen op afwijkingen. Is er een activiteit die niet normaal of gebruikelijk is? Dan ontstaat er een melding.
SIEM software wordt vaak gecombineerd met een SOC (Security Operations Center). SOC-analisten – cyber security experts die de SIEM monitoren – zien zo in een oogopslag dat er een incident is. Maar: afwijkend gedrag hoeft nog geen potentiële cyberaanval te betekenen. Daarom analyseren de security experts elk incident nauwkeurig op false positives.
Wat kan een SIEM allemaal?
Nogmaals: een SIEM geeft zicht op de gebeurtenissen binnen een digitale infrastructuur, binnen een cyber security context. Het grootste doel is een beginnende cyberaanval of datadiefstal op tijd ontdekken. De software draagt hieraan bij door:
- Logs (gebeurtenissen) te verzamelen vanuit de digitale infrastructuur.
- Een voorselectie maken voor de SOC-analisten: welke gebeurtenissen zijn verdacht?
- Een reactie geven op incidenten door een melding te geven.
- Tegenwoordig soms zelfs automatisch.
Daarnaast creëert de software vooral overzicht. Digitale infrastructuren zijn tegenwoordig doorgaans zó uitgebreid, dat het haast niet mogelijk is om alles te overzien. SIEM software bundelt de gegevens van alle onderdelen en maakt de zwakkere onderdelen zichtbaar.
Wat is een SIEM nog meer?
Een SIEM is niet alleen software die potentiële aanvallen detecteert en u helpt op tijd in te grijpen. De software is voor meer handig. Zo zetten security experts een SIEM ook in om misconfiguraties op te sporen en deze te verhelpen. Het is tenslotte een bron aan informatie.
Cyber security experts zetten die informatie ook in om – wanneer er een dreiging is – soortgelijke meldingen in de toekomst te voorkomen. Dan onderzoeken ze de logs in de software om verbanden te leggen. En om zo maatregelen te treffen. Op die manier is het mogelijk te bouwen aan een infrastructuur die zodanig veilig is, dat er zelden nog meldingen van security incidenten nodig gaan zijn.
Een SIEM gebruiken
Samengevat helpt SIEM software bij het voorkomen van cyberaanvallen én bij het verbeteren van de algehele cyberweerbaarheid. Steeds meer organisaties stellen niet meer de vraag of ze er een willen, maar hoe.
Het is vooral belangrijk dat een SOC- of security expert de software beheert. Het liefst meerdere. Met name grote organisaties kiezen er wel eens voor hun SIEM te laten beheren door een interne SOC. Een Security Operations Center dat ze zelf hebben opgericht. Dit kost vaak wat moeite, maar dan is alles wel intern geregeld.
Het is tegenwoordig alleen steeds moeilijker om de juiste mensen te vinden. Dat maakt dat organisaties nu ook kijken naar externe SOCs. Deze hebben security experts in dienst die SOC-incidenten zo specialistisch mogelijk afhandelen. Vaak doet het niet af aan het hebben van een interne SOC. De constructie is alleen net wat anders. Daarnaast is een externe SOC ook toegankelijker voor kleinere organisaties die geen groot security team hebben.
Ook slim: kijk even welke SIEM software bij uw organisatie past. Er zijn verschillende aanbieders op de markt en niet elke SOC gebruikt dezelfde SIEM. Het SOC van IP4Sure gebruikt InsightIDR van Rapid7.
Een SIEM kiezen en implementeren: de conclusie
Het belangrijkste is vooral dat u de SIEM laat beheren door experts die daar ervaring mee hebben. Dan haalt u écht de voordelen uit de software. Het is tenslotte specialistisch werk. Wanneer uw organisatie al een security team in dienst heeft, is een eigen SOC een optie om te exploreren.
Is het cyber security team klein? Of helemaal niet aanwezig? Dan is een externe SOC sowieso de beste oplossing.
Meer weten over dit onderwerp?
We schrijven zoveel mogelijk over cyber security om zo te bouwen aan een uitgebreide bron aan informatie. Lees dus zeker onze andere artikelen. En stelt u liever gerichte vragen aan een van onze security specialisten? Neem dan vrijblijvend contact met ons op.
