“Op maat” klinkt altijd beter dan pre-built. In veel gevallen gaat dat ook op. Maar is het echt van noodzaak dat een SOC álle use cases op maat bouwt?
In dit artikel gaan we dieper in op de verschillen tussen use cases op maat en pre-built use cases. Ze hebben beiden hun eigen voor- en nadelen. Niet elke SOC biedt beide opties aan, dus het is handig te weten wat bij de securitybehoeften van uw organisatie past.
Lees hier meer over het kiezen van een SOC.
Wat zijn use cases?
Allereerst: wat zijn use cases precies? In het kort zijn dit instellingen waarmee de SOC bepaalt wanneer en waarvan er een melding komt. Zo zou veel accounts die tegelijkertijd in proberen te loggen op een apparaat een use-case kunnen zijn: dit is (in de meeste contexten) verdachte activiteit. Dan is een melding interessant.
Vaak stelt een SOC samen met u vast wat – voor uw organisatie – relevante use cases zouden zijn.
Custom use cases
Zoals de naam al doet vermoeden, zijn custom use cases volledig op maat gemaakt. De SOC neemt hierbij de moeite om “vanaf 0” een use-case te programmeren en werkend te krijgen in de SIEM-software. Jarenlang waren custom use cases de enige optie bij SOC-diensten.
Dat is prima wanneer u hele specifieke (niche) use cases verlangt: dan is maatwerk altijd het geld waard. Maar wat als uw securitybehoeften generieker van aard zijn? Of wat als u een grote hoeveelheid use cases nodig hebt? Bij SOCs met een traditioneel model betaalt u ook in die gevallen maatwerktarieven.
Pre-built use cases
Elke organisatie heeft in grote lijnen andere securitybehoeften. Dat betekent alleen niet dat elke organisatie compleet verschillende use cases verlangt. In de praktijk is er altijd overlap. Daar spelen de pre-built use cases op in: sommige SOCs gebruiken SIEM-software waarin deze vooraf zijn ingebouwd.
Op die manier hoeven klanten geen maatwerk tarieven te betalen voor een wiel dat vaker uitgevonden is. De use cases liggen al klaar. Bij een aantal SOCs betaalt u zelfs niets extra voor alle pre-built use cases. Zo kiest u bij het Cyberlab SOC onbeperkt uit de pre-built use cases.
Wat is voor mij geschikt?
Pre-built use cases zijn ideaal voor de securitybehoeften die vaker voorkomen. Maatwerk is handig voor specifieke eisen. Helder. Maar hoe weet u of er pre-built use cases zijn van de meldingen die u nodig hebt? We hebben een document opgesteld met daarin een groot aantal pre-built use cases die het Cyberlab SOC aanbiedt. Zo ziet u in vogelvlucht voor welke use cases er dus geen onnodig maatwerk nodig is.
Interessant om te weten: Rapid7 (de maker van onze SIEM-software) onderzoekt de werkwijze van hackers om daar pre-built use cases op te baseren. Deze use-cases detecteren acties uit de beginfase van een aanval. Hiermee is onze SOC in staat hackers vaak sneller in een vroeg stadium te betrappen.
Implementatietijd
Een andere factor waaraan u kan meten wat bij u past, is de duur van de implementatie. Logischerwijs kost maatwerk tijd. In sommige gevallen kan het weken of zelfs maanden duren tot een SOC u volledig van dienst is. Dat terwijl SOCs die gebruik maken van pre-built use cases soms al binnen 2 dagen geïmplementeerd zijn.
Dus: pre-built of custom?
Tegenwoordig is dit niet altijd meer een “of” vraag. Ja, er zijn nog traditionele SOCs die enkel custom use cases bieden, maar er zijn inmiddels ook SOCs die beiden doen. Het een sluit het ander dus niet uit. Kiest u voor een SOC met pre-built use cases, maar heeft u in de toekomst toch maatwerk nodig? Het Cyberlab SOC combineert pre-built regelmatig met custom.
Meer inzicht, en minder concessies
Nu maatwerk niet overal meer de standaard is, zijn concessies ook minder vaak nodig. Bij maatwerk gaan de tarieven tenslotte al snel woekeren, waardoor het niet mogelijk is een heleboel use cases te laten bouwen. Pre-built use cases geven voor hetzelfde geld een stuk meer inzicht.
In gesprek over Cyberlab SOC?
Neem vrijblijvend contact met u op om te onderzoeken of het Cyberlab SOC bij u past. Mail of bel ook gerust voor andere vragen over cybersecurity.
