SIEM en SOC

Inhoud

Heeft uw organisatie een IT-landschap waarvan u de beveiligingsstatus in kaart wil brengen? Wilt u altijd zo adequaat mogelijk kunnen reageren op gedetecteerde beveiligingsmeldingen- en dreigingen?  Dan biedt NFIR u een schaalbare, beheersbare en  betaalbare oplossing met haar Security Information and Event Management (SIEM) en de implementatie van een Security Operation Centre (SOC).  Ons SIEM bieden wij aan als een volledig geautomatiseerde oplossing, waarbij u geen data meer zelf hoeft te interpreteren. De output zijn meldingen waar uw IT afdeling maatregelen op kan nemen. Lees op deze pagina hoe wij u volledig ontzorgen en welke resultaten u zult behalen bij het implementeren van onze SIEM en SOC oplossing   

In 5 stappen naar een weerbare online omgeving

Momenteel heeft u in uw netwerk al diverse apparaten die informatie opslaan. Vaak zijn de bestaande dashboards van bijvoorbeeld firewalls veel te ingewikkeld om te interpreteren of uw medewerker heeft er geen tijd voor. Laat daarom de security-monitoring specialisten van NFIR deze loggegevens geautomatiseerd verwerken op basis van use-cases die we gezamenlijk bepalen. Naast rule based verwerking van loginformatie, werkt NFIR ook met machine learning om patronen te ontdekken die kunnen wijzen op verdacht verkeer. Door op deze manier netwerk activiteiten te monitoren, bent u snel op de hoogte van verdachte activiteiten en kunt u adequaat ingrijpen. Voor een secure en overzichtelijke aanpak werken wij met een stappenplan.

1. Use-cases vaststellen 

Als startpunt van de use-case ontwikkeling gaan wij uit van het inperken van het risico op het compromitteren van informatie door criminelen voor geldgewin door afpersing. Denk hierbij aan het toenemende verschijnsel ‘ransomware’ alsook aan de ex-filtratie van geclassificeerde informatie. Criminelen omzeilen detectie-maatregelen die duiden op het opbouwen van zo’n aanval. Dit vraagt om inzicht in het detecteren van deze opbouwende activiteiten, deze activiteiten worden in de cyber security markt ook wel gekoppeld aan de ‘Cyber Security Kill Chain’. Zie ondergaand een weergave van de bij deze chain gebruikelijk stappen die ondernomen kunnen worden en kunnen resulteren tot een succesvolle aanval. De stappen in deze ‘chain’ zijn als aanvalsscenario uitgewerkt, het is echter ook mogelijk dat andere paden worden gebruikt die leiden tot een variëteit aan scenario’s. De vertaling naar use-cases blijft dan ook een constante ontwikkeling waar NFIR zich op richt op basis van de constante kennis toevoer vanuit diverse ervaringen.  

Als startpunt wordt een vereenvoudiging gehanteerd met de volgende aanvalsstappen: 

  1. Ontdekken van omgevingen, kwetsbaarheden
  2. Pogingen tot account misbruik en/of het aanpassen van rechten 
  3. Malware installeren/configureren
  4. Communicatie passend bij aanvallen 
  5. ‘Catch-all’, voor analyse 

2. Ontwerp 

In deze stap werken wij de aansluiting van de logbronnen uit, op basis van een ontwerp. De logbronnen dienen via het netwerk op een integere wijze te worden verzameld.  Bij het aansluiten wordt dan ook gebruik gemaakt van secure configuraties.

3. Implementatie 

Na vaststelling van het ontwerp wordt de implementatie verzorgd inclusief het testen van binnenkomst en aggregeren van logging. Het resultaat is een 

werkende omgeving inclusief het genereren van inzicht op basis van de use-cases. 

4. Monitoren/oplevering 

Het monitoren en tunen van de use-cases inclusief het op maandelijkse basis rapporteren van bevindingen ter optimalisatie. In deze fase wordt met name gewerkt aan het optimaliseren van de use-cases.  

5. Maandelijkse service  

Na realisatie van de initiële use-cases wordt een maandelijkse rapportage verzorgd op basis van de ontwikkelingen binnen uw organisatie. Uit deze rapportage kunnen verschillende acties volgen. Denk hierbij aan het introduceren van nieuwe of aangepaste logsources voor verdere optimalisatie of een nadere detaillering van de use-cases. Deze activiteiten worden meegenomen op basis van de ingegeven scope en geprioriteerd in overleg met u. Aan NFIR zijde wordt specialistische expertise per maand meegenomen. Daarnaast wordt overleg gevoerd over de prioritering en activiteiten die nodig zijn door een service manager.

Welk resultaat wordt bereikt met onze SIEM/SOC oplossing?

Het eindresultaat omvat: 

  • Continu security toezicht op uw dienstverlening scope netwerk, servers, laptops, pc’s en firewall  
  • Directe alarmering bij verdacht of malafide verkeer en na analyse direct acteren met gepaste maatregelen 
  • Hackers worden direct „gespot”  
  • Malware wordt geïdentificeerd voordat het zich heeft kunnen nestelen en verspreiden in uw netwerk, naar uw klanten of nog verder.
  • Toezicht op bewust dan wel onbewust ongeoorloofd gebruik van uw netwerk (door eigen medewerkers, externen of op het netwerk toegelaten organisaties). 
  • Bij Data breaches wordt het betreffende IP-verkeer digitaal vastgelegd, zodat u bij een onderzoek van de autoriteit persoonsgegevens altijd beschikt over de gevraagde informatie. 
  • Malicious acties worden gestopt op alle endpoints. Maandrapportage, maandelijkse besprekingen met servicemanager. 

 

Security Monitoring laten implementeren?

Security Information and Event Management (SIEM) en Security Operation Center (SOC) samen verwerkt in NFIR Insights,
onze volledig geautomatiseerde oplossing waarbij u zelf geen data meer interpreteert.

SIEM is een in real-time werkend systeem om veiligheidsincidenten te beheren. Deze systemen zorgen ervoor dat de security intelligence bij één organisatie wordt geconcentreerd en elke beveiliger direct kan reageren op eventuele incidenten. De geïntegreerde SIEM (Security Information and Event
Management) software helpen security professionals het beheer van bedreigingen en incidenten, waarmee ze zorgen voor een veiligere werkomgeving.
SIEM wordt vooral gebruikt om netwerk- en security incidenten te analyseren en te voorkomen. Het systeem biedt dankzij de monitoring van logbestanden een compleet overzicht van alles wat er in uw netwerk gebeurt.

 Een SOC (Security Operation Centre) is een security centrum en verzamelpunt vanuit alle beveiligingssystemen in een bedrijf. Deze collectieve informatie wordt vervolgens gebruikt voor analyse en om gerichte acties te ondernemen ter voorkoming van een security incident.   

In geval van een cyberaanval van buitenaf, zijn informatie en analyses over de impact, effectiviteit en kans op herhaling uiteraard belangrijk. Met een SOC bent u in staat de samenhang en informatie-uitwisseling te bevorderen tussen alle betrokken partijen. 

NFIR helpt organisaties aan specialistische security-kennis. Wij zijn uw security partner voor implementatie en beheer van incidentbeheer-systemen. 

 

De visie van NFIR op security monitoring is dat deze dienst niet langer moet zijn voorbehouden aan de allergrootste bedrijven in Nederland met veel security kennis. De security monitoring dienst van NFIR biedt om die reden een zeer betaalbare en gemakkelijk te interpreteren oplossing voor het MKB (bedrijven met 50 tot 500 medewerkers).

De overheid verlangt met de AVG-wetgeving dat u passende maatregelen neemt om persoonsinformatie te beschermen, daar waar u verantwoordelijke of verwerker bent. Beschermen begint met de netwerk activiteiten monitoren.

Nee, Ons SIEM bieden wij aan als een volledig geautomatiseerde oplossing, waarbij u geen data meer zelf hoeft te interpreteren. De output zijn meldingen waar uw IT afdeling maatregelen op kan nemen.U krijgt kritische meldingen direct via email of sms binnen en u kunt daarop zelf actie ondernemen. Indien gewenst kunnen onze Security Monitoring specialisten uw organisatie ondersteunen bij het nemen van deze acties. Daarnaast kunnen wij u ook ontzorgen bij het interpreteren van de (complexere) meldingen. Als het echt verkeerd gaat, kunnen wij u op elke locatie ondersteunen met onze Incident Response teams. 

Samen met u wordt de scope van de monitoring bepaald en use cases vastgesteld. Aan de van use cases worden logbronnen aangesloten.   

Het eindresultaat omvat: 

  • Continu security toezicht op uw dienstverlening scope netwerk, servers, laptops, pc’s en firewall  
  • Directe alarmering bij verdacht of malafide verkeer en na analyse direct acteren met gepaste maatregelen 
  • Hackers worden direct „gespot”  
  • Malware wordt geïdentificeerd voordat het zich heeft kunnen nestelen en verspreiden in uw netwerk, naar uw klanten of nog verder. 
  • Toezicht op bewust dan wel onbewust ongeoorloofd gebruik van uw netwerk (door eigen medewerkers, externen of op het netwerk toegelaten organisaties. 
  • Bij Data breaches wordt het betreffende IP-verkeer digitaal vastgelegd, zodat u bij een onderzoek van de autoriteit persoonsgegevens altijd beschikt over de gevraagde informatie. 
  • Malicious acties worden gestopt op alle endpoints. Maandrapportage, maandelijkse

Het SIEM proces bestaat uit 5 fasen:

  1. Use cases vaststellen
  2. Ontwerp
  3. Implementatie
  4. Monitoren/oplevering 
  5. Maandelijkse service

Een firewall geeft enkel aan dat er een risico is gedetecteerd. Voor uw organisatie is het belangrijk om het risico in te perken. Daarbij is het van belang om de signalen op de juiste manier te interpreteren, zodat u actie kunt ondernemen. De dashboards van firewalls zijn vaak zeer complex en moeilijk interpreteerbaar. Wij werken met heldere dashboards en ondersteunen u bij het interpreteren ervan en geven aan welke actie van u gewenst is om het risico te elimineren.