SIEM in het SOC

SIEM in het SOC

DearBytesBlogSIEM in het SOC

woensdag 6 mei 2015

Het security operations center (SOC) is het bewakingscentrum voor de organisatie. Hier monitort en bewaakt men continu of de kritieke assets van de organisatie geen gevaar lopen. Van systemen die communiceren met slechte IP-adressen tot een interne medewerker die (buiten het beleid om) gevoelige informatie ontvreemdt. Ieder SOC is anders ingericht. Sommige zijn 24/7 ingericht, andere maar voor 4 uur per dag. Per organisatie kan een SOC ook verschillende doelstellingen hebben. Een bank zal meer prioriteit leggen op de beschikbaarheid van de diensten dan een verzekeraar; een DDoS raakt immers de klant eerder bij een bank dan bij een verzekeraar. Maar één ding geldt voor ieder SOC: Tijd is cruciaal.

De juiste informatie op het juiste moment

Als een incident plaatsvindt dan moet een SOC adequaat en efficiënt de juiste informatie verzamelen en analyseren. Een SOC moet een puzzel gaan leggen waarvan nog niet bekend is hoe deze eruit gaat zien. Daarnaast moet men ook nog eens op zoek gaan naar alle puzzelstukjes, want deze zullen zich op verschillende plekken bevinden.

SIEM versnelt en vereenvoudigt

Zeker in deze tijd waar een aanval soms maar minuten duurt, is tijd cruciaal. Een SIEM kan daarom een SOC enorm helpen in het versnellen en vereenvoudigen van de analyse. Een SIEM stelt een SOC medewerker in staat om niet alleen te worden gealarmeerd als een vooraf gedefinieerde actie plaatsvindt, maar ook om snel onderzoek te kunnen uitvoeren. De SIEM verzamelt namelijk alle events van alle systemen uit de organisatie. Hierdoor heeft een SOC medewerker één console van waaruit bijna alle puzzelstukjes beschikbaar zijn. Dit is in ieder geval voldoende om een goed beeld te vormen.

In plaats van 15 verschillende consoles te moeten benaderen, met elk een andere interface, biedt een SIEM een centrale collectie via één interface. Alleen al deze consolidatie scheelt een SOC analist veel tijd.

 

SIEM: de spil van het SOC

nieuw SOC_openingEen tweede voordeel is dat ‘in the heat of the moment’ eventlogs soms snel kunnen vollopen. Hierdoor verdwijnen events en raak je een stuk historie en analyse kwijt. Een SIEM is gebouwd om logs voor langere tijd op te slaan. Dit heeft als voordeel dat volgelopen logs en verdwenen events op devices geen effect hebben op een analyse. De data is immers (soms jaren na dato) nog in de SIEM aanwezig.

Een SOC is echter niet alleen incident gedreven. Alleen wachten tot de alarmbellen afgaan en dan reageren is in deze continu veranderde security wereld niet voldoende. Aanvallen worden steeds geavanceerder en blijven steeds vaker onder de radar. Het SOC moet daarom ook op zoektocht gaan naar gebeurtenissen in het eigen netwerk. Een SOC analist kiest een richting om te zoeken naar mogelijk verdachte zaken, afhankelijk van wat er zich in de (security) wereld afspeelt en de kritieke assets binnen de organisatie. De SIEM, als spil in het SOC, biedt hierbij een zeer efficiënt hulpmiddel in deze jacht. Dankzij parsing, normalisatie, verrijking met geolocation en bad actor lijsten kan snel worden gezocht naar verdacht of vreemd verkeer. Daarnaast kan de SIEM ook nog informatie doorsturen naar andere systemen die worden gebruikt voor monitoren of analyse.

Als je als organisatie security hoog in het vaandel hebt staan of een start wilt maken naar het creëren van een SOC, dan is de SIEM een onmisbaar onderdeel van uw organisatie.