SIEM – dit roept in Nederland in het algemeen de associatie op met een oude en inmiddels weer hippe jongensnaam. In IT en security is het echter een begrip dat ongeveer 15 jaar geleden zijn intrede deed en staat voor Security Information & Event Management.

In begrijpelijk Nederlands betekent SIEM het monitoren van de IT-omgeving om in een vroeg stadium cybercrime te detecteren en hierop te kunnen acteren om erger te voorkomen, Security Monitoring dus. Tevens maakt het uitgebreid loggen van alle activiteit en dat gebruiken voor inzicht en analyse, onlosmakelijk deel uit van SIEM. Gezien de toename in ransomware aanvallen en andere cybercrime is SIEM een cruciaal onderdeel van IT-security en steeds belangrijker geworden in de afgelopen jaren.

Het implementeren van SIEM kan tijdrovend zijn en daarbij maakt de juiste aanpak het verschil hoe snel u een werkende SIEM oplossing heeft. In deze blog geven we 4 tips waar u rekening mee moet houden bij het implementeren van SIEM.

1. Definieer de eisen en wensen

Wat verwacht u van een SIEM? Natuurlijk, het hoofddoel is het monitoren van de security van de IT-omgeving. Maar wat zijn de eisen en wensen? Bij de inventarisatie daarvan moet rekening gehouden worden met deze specifieke zaken:
– Identificeer wat de kroonjuwelen zijn: de belangrijkste data in uw organisatie die de hoogste bescherming moet krijgen. Waar staat deze data?
– Inventariseer welke componenten aangesloten moeten worden, dit is vaak bepalend voor de prijs. Denk bijvoorbeeld aan (SaaS) applicaties, cloud, netwerkcomponenten, bijkantoren, eindgebruikers.
– Denk alvast na welke meldingen het SIEM zou moeten geven en op welke manier.
– Welke compliancy regels zijn van toepassing die het SIEM kan monitoren?

Op 10 maart organiseren we een webinar over SIEM en SOC voor de transport en logistiek. Kijk voor alle informatie op deze pagina. 

2. Kies de juiste software

De volgende stap is een marktverkenning, aan de hand van de wensen en eisen van tip 1. Om een indruk te krijgen van welke SIEM-applicaties er op de markt zijn, is het handig om betrouwbare sites te bezoeken zoals Gartner. Vanuit daar kan een top 5 gemaakt worden die verder wordt onderzocht via de site van de vendor zelf en partners als PQR die advies kunnen geven. Aan het einde van het selectieproces is het aan te raden om een trial te doen.

PQR heeft bijvoorbeeld gekozen voor Rapid7 als SIEM-applicatie en hiermee monitoren we de IT-omgeving van onze SOC-klanten. Rapid7 InsightIDR is een toonaangevende SIEM-oplossing die in het Leaders-kwadrant van Gartner staat. Bovendien is het cloud-based en gehost in de EU, bevat het veel out-of-box koppelingen en meer dan 2000 use-cases, er zijn geen onverwachte verbruikskosten achteraf en maatwerk is eenvoudig te implementeren.

3. Laat de implementatie over aan professionals

Een SIEM-implementatie doet u om cyberaanvallen en hacks te voorkomen of vroegtijdig te ontdekken. Neem een professionele ethical hacker in de arm om de implementatie van het SIEM te doen en laat dit niet over aan een IT-beheerder. Want doordat een ethical hacker vanuit het ‘hackers’ oogpunt kijkt naar de veiligheid van de IT-omgeving, wordt de SIEM-oplossing niet alleen geïnstalleerd, maar is gehard om bestand te zijn tegen criminele hackers. De security professional zal altijd vanuit een breed perspectief advies en ondersteuning bieden bij de implementatie.

Een andere reden om voor een professional te kiezen is dat de inrichting van het SIEM verre van optimaal is en dan bedoelen we specifiek dat er teveel fout-positieven zijn. Zorg er dus bij de implementatie al voor dat de relevante alerts uit het systeem komen, in plaats van alle alerts. Verder is het ook belangrijk dat de SIEM configuratie voldoet aan de regelgeving en compliancy die van toepassing is op uw organisatie. Al die zaken zijn specialistisch werk dat in goede handen is van een security professional.

4. Begin met de basisinrichting en breid deze uit

Sluit alleen de componenten aan die relevant zijn voor security monitoring. Dit lijkt logisch en sluit aan bij de vorige tip, maar verdient toch wel extra aandacht. Onder het mom van ‘voorkomen is beter dan genezen’ is er toch vaak de neiging om dan maar alles aan te sluiten op het SIEM. Maar als er teveel componenten worden gemonitord die niks toevoegen aan het verhogen van de security, dan is er een overload aan informatie en overmatig dataverbruik. Begin dus met een basisinrichting en ga daarna vervolgstappen plannen om uit te breiden.

Na de implementatie

Vanzelfsprekend begint het echte werk met SIEM pas na de implementatie: de logs en alerts moeten beoordeeld worden en zonodig moeten acties worden gepland om de gevaren te mitigeren. Zorg ervoor dat het personeel is getraind met deze nieuwe oplossing, dat de omgeving is overgedragen aan het security team en dat de processen zijn geïntegreerd in de beheerprocessen. Dan begint de waarde van de SIEM-implementatie zich pas te bewijzen: een goed gemonitorde omgeving die verdachte activiteit direct opspoort, zodat erger wordt voorkomen. Iets wat voortdurend aandacht moet krijgen.

SIEM (en SOC!) in drie dagen implementeren

De gemiddelde doorlooptijd van een SIEM implementatie is na het kiezen van de softwareoplossing gemiddeld 8 weken, maar kan ook fors oplopen tot wel 12 maanden. Heeft u niet de tijd om hierop te wachten, praat dan eens met een security expert van PQR.

PQR biedt SIEM as a Service aan, waardoor we na een korte intake vrijwel direct kunnen starten met implementeren. De doorlooptijd van de SIEM implementatie bij PQR is drie dagen. Daarna helpen onze securityspecialisten, waaronder professionele ethical hackers, van het SOC bij het monitoren en actie ondernemen bij mogelijke dreigingen. Onze SIEM-klanten hebben een eigen Security Officer en periodiek ontvangen ze een rapportage en doen we aanbevelingen. Wilt u eens verder praten hierover? Neem dan contact op met uw contactpersoon bij PQR of stuur een email naar info@pqr.nl.

Geplaatst door

Berry Rijnbeek

Lead consultant security competence team, Security Officer