SIEM

Uw organisatie heeft een SIEM-platform, maar er wordt nog onvoldoende mee gedaan. Of u denkt na over de implementatie van een SIEM-platform en heeft onvoldoende expertise in huis om het verder uit te werken.

Wij kunnen helpen!

  • We ondersteunen bij het opzetten van een SIEM-project of nemen, als dat gewenst is, het project volledig uit handen.
  • We verzorgen de technische implementatie en inrichting van een SIEM-platform, inclusief (maatwerk) koppelingen met al uw bestaande systemen en visualisaties.
  • We leiden personeel op om het SIEM-platform te beheren of desgewenst zelfs om het platform verder door te ontwikkelen toegespitst op uw organisatie.

Wat is SIEM?

SIEM staat voor Security Information and Event Management. In een SIEM-platform worden de logs van alle systemen binnen het security management landschap verzameld en geanalyseerd. Het sleutelwoord is correlatie: door gebeurtenissen (uit verschillende systemen) met elkaar in verband te brengen ontstaat nieuwe informatie die helpt incidenten te ontdekken en te voorkomen.

Waarom is een SIEM-platform nodig?

Als organisatie neem je de geijkte voorzorgsmaatregelen om te voorkomen dat de ICT-infrastructuur wordt gecompromitteerd. Maar hoe weet je of deze maatregelen afdoende zijn? Kun je met zekerheid zeggen dat er zich op dit moment geen ongenode gasten in het netwerk bevinden?

Traditioneel worden er voor security management normenkaders en best practices gehanteerd zoals de ISO 27001 en 2, PCI, NIST, SANS, VIR, BIR, NOREA, BASEL, SOX etc. Deze normenkaders zijn veelal compliance gedreven en ons inziens een papieren exercitie. Het is onmogelijk om aan de hand hiervan over alle security controls en maatregelen te rapporteren, laat staan in de werkelijkheid en pro-actief.

Security management is betekenisloos zonder pro-actieve monitoring. Alle preventies ten spijt zullen incidenten zich voordoen. Dan kun je er maar beter zeker van zijn dat je ze zult detecteren, zodat je passende maatregelen kunt nemen en weet hoe je moet handelen om schade te beperken. Een goed geïmplementeerd SIEM-platform is een krachtig hulpmiddel voor security management.

Hoe pakken wij SIEM-projecten aan?

Elke organisatie is anders en daardoor ook elk SIEM-project. Bij de ene organisatie is de website cruciaal, voor de andere is het een intern informatiesysteem. De aanpak van het project is echter altijd dezelfde en bestaat uit deze stappen:

  • Opstellen use-cases
  • Requirements, productselectie & basis-implementatie
  • Aansluiten van de voedende databronnen
  • Ontwikkelen van maatwerk koppelingen en dataverrijking (organisatie- en dreigings context)
  • Analyseren van de security data in relatie tot de use-cases
  • Bouwen van de correlaties en bijbehorende rapportages
  • Koppelen van relevante dreigingsinformatie bronnen
  • Trainen van security-analisten, -beheerders en -ontwikkelaars
  • Begeleiden van een nieuw of bestaand SOC
  • Begeleiden van pro-actief ‘real-time’ security management