SIEM: 24/7 op aanvallen anticiperen

Demo SIEM-dienstverlening

Wil je weten wat de SIEM-dienstverlening omvat? Bekijk de demo:

Doorlopende dienstverlening

Security Information en Event Management (SIEM) vergroot de cyberveiligheid van instellingen; een operatie waarvoor ze zelf de kennis en tijd vaak niet in huis hebben. SIEM bestaat uit een systeem dat aan één stuk door loggegevens vanuit de ict-infrastructuur verzamelt en analyseert en daarmee aanvallen en verdacht gedrag signaleert en een dienstverlening die bij inbreuken adviseert over mogelijke maatregelen om risico's te verlichten.

SURF heeft de benodigde tijd en soms zeer specialistische kennis om aan de lopende band meldingen te analyseren niet. We besteden deze dienstverlening daarom uit aan Fox-IT, die 24/7 de meldingen monitort en analyseert en ook use casemanagement ondersteunt. Aangesloten instellingen gebruiken de SIEM-dienstverlening via SURFsoc. Lees hier meer over op de SURFsoc-wiki.

Use cases inzetten

Om verdachte situaties te herkennen, gebruikt SIEM use cases. Dit houdt bijvoorbeeld in:

• Virusscanners bewaken: vind snel op specifieke systemen een virusscanner die wordt uitgeschakeld (zoals bij Universiteit Maastricht).
• Identity Management monitoren om ‘privilege escalations’ te herkennen.

Veel use cases kunnen voor iedereen relevant zijn, maar ze zijn ook wel erg specifiek. SURFsoc onderhoudt deze use cases; zo ontlasten we instellingen. Met use case-advies en –management helpen we instellingen met geschikte use cases vinden. We houden daarbij rekening met relevante dreigingsbeelden, het type instelling en specifieke ict-uitrusting en ondersteunen ook bij gebruik. 

Samen met SIEM-gebruikers bekijken we de collectie van use cases regelmatig opnieuw en bepalen of we deze uitbreiden of aanpassen. Zo zorgen we ervoor dat SIEM meegroeit, verandert en up-to-date is. Samen werken we dan aan een standaardisatie tussen alle aangesloten instellingen.