Een SIEM die al een lange tijd geen security incidenten meldt: dat zou een veilig gevoel moeten geven. Toch? Geen incidenten, geen gevaar. In de praktijk zien we soms dat een SIEM zonder meldingen juist onrust geeft. Want hoe kan het zo stil zijn?
Werkt de SIEM software nog wel? Of hebben we gewoon geen SIEM nodig omdat onze security blijkbaar op orde is? Zijn we nu onnodig geld aan het uitgeven? Het zijn allemaal vragen die op kunnen komen. Logisch, want het is belangrijk om security budgetten goed te besteden én zeker te weten dat het allemaal werkt.
Geen meldingen? Dan bent u goed bezig
Toch is een gebrek aan meldingen meestal een goed teken. Zeker wanneer u het monitoren van meldingen overlaat aan een gespecialiseerde SOC, is het hebben van geen meldingen een bevestiging dat u uw security op orde is. Dat er écht geen incidenten zijn binnen de dekkingsgraad van uw SIEM.
Mijn SIEM geeft geen meldingen meer: is er toch iets aan de hand?
Het is nooit de bedoeling dat u twijfelt over uw SIEM. Het volgende kan het geval zijn:
1. De SIEM software is niet dekkend geconfigureerd
Maakt u gebruik van SIEM software zonder een SOC-dienst? Dan is het goed te achterhalen of uw SIEM (nog) wel dekkend is geconfigureerd. Zijn er systemen bijgekomen die u misschien nog niet monitort? Misschien staan er instellingen verkeerd? Misschien wordt de data niet meer succesvol gelezen (een goede SIEM oplossing heeft de mogelijkheid alarmen te configureren wanneer dit het geval is). Neem in deze gevallen zeker contact op met de leverancier van uw SIEM-software.
Ben ook alert op de dekkingsgraad van uw SIEM. Wat voor use cases gebruikt u? Verwacht geen meldingen van onderdelen die niet gedekt zijn door uw SIEM-software.
2. Er zijn echt geen meldingen
Werkt u samen met een goede SOC? Dan is de kans groot dat er echt geen meldingen zijn. De securityexperts die de SIEM monitoren zetten tenslotte alleen de “echte” meldingen door en filteren de “false positives” er voor u uit. Zij houden voor u in de gaten of alles goed is ingesteld. Meldingen die ontstaan zijn door een fout van een gebruiker of het systeem dat nog moet leren wel gedrag wel/niet mag krijgt u als eindgebruiker nooit te zien.
Of een tijdelijk gebrek aan meldingen een reden is te stoppen met een SIEM/SOC? Nee. Een incident kan altijd opduiken. Dan is het belangrijk dat u er op tijd van op de hoogte bent en er meteen mee aan de slag kan.
Bovendien heeft u dan de informatie voorhanden om te herleiden wat er nu precies gebeurd is. Schakelt u een SIEM in nadat het incident heeft plaats gevonden, dan mist u uiteraard deze cruciale informatie.
Overweeg een SOC-dienst
Een Security Operations Center (SOC) ontzorgt u volledig. Zo bouwt een SOC een alarm in die af gaat wanneer er een x aantal tijd geen data meer is ontvangen door uw SIEM. Een gebrek aan data betekent namelijk dat er iets mis is met de service. Bij de SIEM-software die het Cyberlab SOC gebruikt – InsightIDR – zit deze alarmfunctie standaard ingebouwd.
Met een SOC hoeft u ook geen false positives door te spitten, want die filteren wij er al uit. U ontvangt rapportages waarin de échte incidenten staan. En zijn er geen incidenten? Dan dienen de rapportages als een interactiemoment dat bevestigt dat alles goed is. En dan is alles ook écht goed. Cyberlab gebruikt SIEM-software waar standaard al meer dan 100 use cases in zitten. De dekkingsgraad en het overzicht over uw infrastructuur is dus ontzettend groot.
