Iedere IT-infrastructuur dient beveiligd te worden. Daarvoor realiseren veel organisaties een security architectuur met verschillende componenten zoals firewalls, mail-beveiliging en endpoint protection. Een Security Operations Center (SOC) en Security Information & Event Management (SIEM) kunnen onderdeel uitmaken van die architectuur. In deze blog lees je wat nu precies de verschillen zijn tussen een SOC en SIEM. Waarom kies je voor SIEM? Wat houdt het in om zelf een SOC operatie op te zetten?

Wat doet een Security Operations Center?
Om te beginnen duiken we kort in de functie van een SOC. Dat monitort de IT-omgeving van je organisatie. Vanuit applicaties en apparaten wordt log-informatie verzameld en onderzocht op mogelijke security aanvallen. Door correlatie van gegevens wordt bepaald of er afgeweken wordt van de standaard. De log-informatie is afkomstig van verschillende bronnen zoals servers, firewalls, (web)applicaties, infrastructurele componenten en endpoint protectie systemen. Industriële controlesystemen kunnen daar ook onderdeel van zijn. Het SOC duidt gegevens en verwerkt deze tot relevante informatie over de algehele beveiliging van systemen en apparaten.

Tooling en de analist spelen hierbij een belangrijke rol. De informatie die je verkrijgt geeft je een actueel inzicht van de mate waarin het netwerk veilig is en hoe de systemen en hard- en software in je organisatie functioneren.  Binnen je organisatie werkt het SOC nauw samen met de uitvoerende beheerorganisatie. In sommige gevallen voert die beheerorganisatie ook de SOC dienstverlening uit. Het geeft ze de mogelijkheid om op basis van bevindingen en adviezen uit het SOC de security architectuur en componenten te tunen en aan te passen. Zo wordt  de algehele security operations veiliger. Een SOC stelt jou in staat om voortdurend te leren van de cyber bedreigingen die op je organisatie afkomen.

 

Heb ik een SOC of SIEM nodig?
Om een mooie, stevige kast te kunnen maken heeft een timmerman gereedschap nodig net zoals een SOC een SIEM nodig heeft om security operations goed te kunnen verzorgen. De vraag is dan ook: wie is de professional die de SOC-dienstverlening uitvoert en met welke SIEM gebeurt dat? Indien je zelf SOC diensten wilt uitvoeren, ligt het voor de hand dat je hierbij ook zelf de bijpassende SIEM zoekt. Indien je een SOC dienst afneemt, kiest de dienstverlener meestal de SIEM.

Voordat je een keuze maakt voor een SIEM-oplossing is het belangrijk om dit gereedschap inzichtelijk te hebben. Want niet iedere SOC-dienstverlener ondersteunt alle SIEM-tools.

Hoe besluit ik of ik mijn SOC zelf wil beheren?
Grote organisaties hebben grote IT-afdelingen. Dus kiezen zij soms voor een eigen SOC operations. Het is hierbij van belang dat je de schaalgrote, middelen en mensen hebt om dit goed te kunnen doen. Middelgrote en kleine bedrijven hebben deze middelen vaak niet. Het vasthouden van goed gekwalificeerd IT-personeel blijkt voor velen daarin ook een uitdaging. Het opereren van een SOC is een complexe en specialistische opdracht, die er vaak niet even bij gedaan kan worden. Dat type organisaties zijn vaak geholpen door SOC diensten extern bij een dienstverlener af te nemen.

 Waar moet ik rekening mee houden bij het aanschaffen van een SIEM?
Laten we vooropstellen dat als je ervoor kiest om zelf een SIEM aan te schaffen, je hoogst waarschijnlijk al hebt nagedacht over de inrichting van je SOC-diensten. Je hebt daar de middelen en mensen voor, en nu sta je op het punt de juiste tooling te kiezen. Omdat er een grote variatie aan SIEM-oplossingen in de markt is, is het erg belangrijk deze goed in kaart te brengen en de eigenschappen en leveringsvormen met elkaar te vergelijken. Daarnaast is het belangrijk om aandacht te besteden aan de initiële implementatie. Hoe gaat deze uitgevoerd worden en wie gaat dat doen? Training en support van de SIEM-tool verdienen ook een belangrijke plaats in de keuze voor een leverancier van de SIEM-tooling. Neem voldoende tijd om je goed te (laten) informeren en alle feiten op een rijtje te zetten.

Wat is de volgende stap?
Kun je hier wel wat hulp bij gebruiken? Axians heeft verschillende SIEM-oplossingen  geïmplementeerd voor klanten in overheid en enterprise sectoren. We helpen graag bij het maken van een goed onderbouwde keuze en het opstellen van een ontwerp- en uitvoeringsfase voor de implementatie van een SIEM. Heb je zelf niet de mensen en de middelen om een SOC te beheren? Axians heeft een 24/7 SOC en bedient eveneens vele klanten in het overheid- en enterprise segment voor zowel IT- als OT-omgevingen. We praten graag met je verder om tot een passende oplossing voor jouw organisatie komen. Meer lezen? We vertellen je graag meer op www.axians.nl/security of neem direct contact op met onze specialisten via security@axians.com.