SIEM in 2015 - wie gebruikt het en is tevreden
Altijd een aandachtig lezer, nu ook maar eens een vraag stellen.
Mijn werkgever overweegt een SIEM aan te schaffen. Het moet de logs van verschillende bronnen bij elkaar brengen en in eenheid analyseren en gekoppeld aan een stel slimmer regels, tot meer inzicht en snellere detectie (en mogelijk) respons van dreigingen leiden. Ik sta zelf welwillend tegenover de aanschaf maar de tools lijken ook wel erg "groot" en soms "complex" en beloven veel. En vooral dat laatste laat toch wel heel veel alarmbellen afgaan.
Zijn er lezers van dit forum die op hun werk zelf een SIEM gebruiken of die weten dat voor de beveiliging van hun bedrijf een SIEM wordt ingezet? En wat zijn de ervaringen? Beheert men de SIEM zelf of is het een dienst die men afneemt? Heeft het opgeleverd wat ervan verwacht werd?
Ben benieuwd naar de ervaringen, hoop dat er reacties komen. Veel dank in elk geval.
Security Information - Simple gezegd de Soll (afsrpaak wat het moet zijn ) en IST (zoals het werkelijk is) moet gelijk op lopen. Het nalopen ophalen van de autoristie-informatie kan hisaten vertonen en de soll's kunnen problemen gegeven hebben bij het opvoeren. In die gevallen loop je er tegenaan dat de beperkingen in het SIEM tool leidend gemaakt worden dan krijg je gewoon een slechtere securityinvulling.
Security Event Monitoring. Het zal met vele events komen die allemaal "verdacht" zijn. Er zijn er dan zo veel dat er eigenlijk niets meer mee gadaan kan worden. Het lastigste is om dat aantal zo lag te krijgen dat je er wat mee kunt en met zo weinig hiaten dat je ook de probleemgevallen vangt. Dat heb ik zelden gezien ondanks alle mooie beloftes.
Ik zeg lekker niet waar ik werk maar ik kan je wel vertellen dat ik jarenlang op zoek ben gegaan naar een Siem en het is er niet van gekomen.
Die dingen werken op zich prima, zeker correlatie is mooi, maar wel afhankelijk van je architectuur.
Uiteindelijk dacht management dat ze niet meer naar logfiles om hoefden te kijken en dat alles mooi uit de siem zou rollen maar dat bleek een misvatting want de siem machine zelf had meer uren aan config en onderhoud nodig als handmatig analyseren van de logs.
Daarbij moesten op alle systemen agents geinstalleerd worden wat op veel verzet stuitte en wij hadden zo het idee dat het aannemelijk was dat bij toekomstige ontwikkelingen de siem wel eens "vergeten" zou kunnen worden (hoe meer eisen hoe minder functionaliteit).
Uiteindelijk zijn we maar gewoon met een light controle programma aan de slag gegaan. Het mooiste is dat inzicht bij de security collega's veel groter is nu en er veel meer onderzocht wordt als dat je alles aan een siem laat.
Een siem kan echt prima werken, maar verwacht geen (automatische) wonderen.
edit: x typo's eruit gehaald.
Het verzamelen van logbestanden (Syslog, Win Events, log files, SNMP etc.) is 1. Het vervolgens juist categoriseren welke (combinatie van) events impact kunnen hebben is 2. Daar is ervaring voor nodig. Maar dat staat of valt bij de opvolging. 24/7 analyse van een security incident geanalyseerd door een SIEM oplossing moet ook direct opgevolgd kunnen worden als iets speelt. Als een SOC niet meteen systemen kan dichtzetten, patchen of wat dan ook, dan zou ik er nog eens over nadenken. Laat je goed voorlichten wat er op de markt te krijgen is. Je hebt een lange adem nodig. En als de implementatie klaar is, dan moet voor elke verandering in je systeem-omgeving opnieuw de impact bepaald worden. Sterkte.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.