www.bringoutthebest.

eu
info@bringoutthebest.eu ,
+316 1925 1955
Bank: NL45 INGB 0008 1921 52
KvK 83404295,
BTW NL003819330B90

Afkortingen domineren het jargon van incident detection en response.

Dit is wat ze betekenen.
Iedere IT-infrastructuur dient beveiligd te worden. Daarvoor realiseren veel organisaties een
security-architectuur met verschillende componenten zoals firewalls, mail-beveiliging en
endpoint protection. Een Security Operations Center (SOC) en Security Information & Event
Management (SIEM) kunnen onderdeel uitmaken van die architectuur. In deze blog lees je
wat nu precies de verschillen zijn tussen een SOC en SIEM. Waarom kies je voor SIEM? Wat
houdt het in om zelf een SOC op te zetten?

SOC en SIEM: wat zijn de verschillen?

SOC staat voor Security Operations Center. Een SOC richt zich meestal niet alleen op security
operations (zoals het beheer van beveiligingsapparaten), maar ook op threat en vulnerability
management, proactieve monitoring en incidentkwalificatie. Maar het kan voor verschillende mensen
verschillende dingen betekenen. Eén ding is echter duidelijk: een SOC is een bedrijfsfunctie die een
combinatie is van mensen, processen en technologie (of je nu interne medewerkers, procedures en
tools gebruikt of het uitbesteedt).

Wat doet een Security Operations Center?

Om te beginnen duiken we kort in de functie van een SOC. Dat monitort de IT-omgeving van je
organisatie. Vanuit applicaties en apparaten wordt log-informatie verzameld en onderzocht op
mogelijke security aanvallen. Door correlatie van gegevens wordt bepaald of er afgeweken wordt van
de standaard. De log-informatie is afkomstig van verschillende bronnen zoals servers, firewalls,
(web)applicaties, infrastructurele componenten en endpoint protectie systemen. Industriële
controlesystemen kunnen daar ook onderdeel van zijn. Het SOC duidt gegevens en verwerkt deze tot
relevante informatie over de algehele beveiliging van systemen en apparaten.

Tooling en de analist spelen hierbij een belangrijke rol. De informatie die je verkrijgt geeft je een
actueel inzicht van de mate waarin het netwerk veilig is en hoe de systemen en hard- en software in
je organisatie functioneren. Binnen je organisatie werkt het SOC nauw samen met de uitvoerende
beheerorganisatie. In sommige gevallen voert die beheerorganisatie ook de SOC-dienstverlening uit.
Het geeft ze de mogelijkheid om op basis van bevindingen en adviezen uit het SOC de security-
architectuur en componenten te tunen en aan te passen. Zo wordt de algehele security operations
veiliger. Een SOC stelt jou in staat om voortdurend te leren van de cyberdreigingen die op je
organisatie afkomen.

SIEM daarentegen staat voor "Security Information and Event Management". Dit maakt niet alleen
gestandaardiseerde verwerking van loggegevens van meerdere beveiligingstools mogelijk, maar ook
uitgebreide monitoring met behulp van aangepaste logbronnen zoals op maat gemaakte applicaties
of nicheproducten die niet door de bredere markt worden gebruikt. Een SIEM is een technologie voor
security operations. Maar het is alleen dat - technologie - het draait zichzelf niet.
Waarom worden ze dan vaak in één adem genoemd? Wij geloven dat dit een verouderde term is dat
langzaam aan het veranderen is. Toen detectie en respons als concept ontstond (ervan uitgaande dat
100% preventie onmogelijk is), was een SIEM effectief de enige manier om zo'n functie te leveren en

p. 1 of 4
dus kozen SOC-teams de SIEM als hun favoriete tool. Na verloop van tijd zijn er echter talloze opties
ontstaan. Zelfs het SOC zelf begint zich op te splitsen in enkele sub functies.

Er zijn drie duidelijke functies:

 SOC - de operationele centra die zorgen voor het beheer van beveiligingsapparaten en het
monitoren van operationele platformen, veranderingen implementeren en ondersteuning en
probleemoplossing bieden.
 CyberSOC - de operationele centra die zorgen voor proactieve monitoring van
beveiligingsincidenten, analyse en triage van meldingsgegevens van verschillende
beveiligingstechnologieën en een initiële incidentrespons bieden (bijvoorbeeld een initiëel
incidentrapport, isolatie van geïnfecteerde machines).
 CERT - dit is het Computer Emergency Response Team. Dit team opereert zowel vanuit
centrale operationele centra (zoals weergegeven op de kaart hieronder) als met mobiele
leden die activiteiten uitvoeren zoals incidentrespons ter plaatse bij
klantlocaties/datacenters. Het CERT heeft verschillende functies:
o Het verstrekken van bedreigings- en kwetsbaarheidsinformatie aan klanten en ook
aan de andere bovengenoemde teams.
o Het bieden van een CSIRT-functie (Computer Security Incident Response Team).
o Het extern monitoren van de digitale risico's van klanten met behulp van
verschillende openbare bronnen en informatie verkregen uit ondergrondse forums /
gesloten websites (bijvoorbeeld wat algemeen bekend staat als het "Dark Web", of
anders gezegd, sites die niet toegankelijk zijn via standaard internetbrowsers).
Nu we de teams kennen, wat zit er dan qua tools bij? We hebben hierboven de SIEM besproken,
maar het is niet langer de enige optie voor het leveren van effectieve detectie en respons. Sterker
nog, veel organisaties beginnen nu met de basis, Endpoint Detection and Response (EDR).

Heb ik een SOC of SIEM nodig?

Om een mooie, stevige kast te kunnen maken heeft een timmerman gereedschap nodig, net zoals
een SOC een SIEM nodig heeft om security operations goed te kunnen verzorgen. De vraag is dan
ook: wie is de professional die de SOC-dienstverlening uitvoert en met welke SIEM gebeurt dat?
Indien je zelf SOC-diensten wilt uitvoeren, ligt het voor de hand dat je hierbij ook zelf de bijpassende
SIEM zoekt. Indien je een SOC-dienst afneemt, kiest de dienstverlener meestal de SIEM. Voordat je
een keuze maakt voor een SIEM-oplossing is het belangrijk om dit gereedschap inzichtelijk te hebben.
Want niet iedere SOC-dienstverlener ondersteunt alle SIEM-tools.

Hoe besluit ik of ik mijn SOC zelf wil beheren?

Grote organisaties hebben grote IT-afdelingen, dus zij kunnen soms voor een eigen SOC kiezen. Het is
hierbij van belang dat je de schaalgrootte, middelen en mensen hebt om dit goed te kunnen doen.
Middelgrote en kleine bedrijven hebben deze middelen vaak niet. Het vasthouden van goed
gekwalificeerd IT-personeel blijkt voor velen daarin ook een uitdaging. Want het opereren van een
SOC is een complexe en specialistische opdracht, die er vaak niet even bij gedaan kan worden. Die
organisaties zijn vaak geholpen door SOC-diensten extern bij een dienstverlener af te nemen.

Waar moet ik rekening mee houden bij het aanschaffen van een SIEM?
Laten we vooropstellen dat als je ervoor kiest om zelf een SIEM aan te schaffen, je hoogst
waarschijnlijk al hebt nagedacht over de inrichting van je SOC-diensten. Je hebt daar de middelen en
mensen voor, en nu sta je op het punt de juiste tooling te kiezen. Omdat er een grote variatie aan
SIEM-oplossingen in de markt is, is het erg belangrijk deze goed in kaart te brengen en de
eigenschappen en leveringsvormen met elkaar te vergelijken. Daarnaast is het belangrijk om
aandacht te besteden aan de initiële implementatie. Hoe gaat deze uitgevoerd worden en wie gaat
dat doen? Training en support van de SIEM-tool verdienen ook een belangrijke plaats in de keuze

p. 2 of 4
voor een leverancier van de SIEM-tooling. Neem voldoende tijd om je goed te (laten) informeren en
alle feiten op een rijtje te zetten.

EDR: Endpoint Detection Response

EDR software monitort endpoints (computers, tablets, mobiele telefoons, enz.), niet het
systeemnetwerk.
Om dit te doen, analyseert EDR software het gebruik van de bewaakte endpoints, met name door
gedragsanalyse. Dit maakt het mogelijk om na een leerfase afwijkend gedrag te herkennen. EDR
software is ook in staat om de exploitatie van security gebreken te monitoren.
Het voordeel van EDR oplossingen is dat ze bedrijven in staat stellen zichzelf te beschermen tegen
zowel bekende (bijvoorbeeld een virus) als onbekende aanvallen door verdacht gedrag te analyseren.
Als aanvulling op EDR, wat betreft het leveren van basisfunctionaliteit voor detectie en respons,
hebben we NDR.

NDR: Network Detection & Response

NDR software biedt uitgebreide zichtbaarheid aan SOC-teams over het hele netwerk, om het gedrag
te detecteren van mogelijk verborgen aanvallers die zich richten op fysieke, virtuele en cloud
infrastructuren. Het vormt een aanvulling op de EDR en SIEM tools.
De NDR aanpak biedt een overzicht en richt zich op de interacties tussen de verschillende
knooppunten van het netwerk. Het verkrijgen van een bredere detectie context kan de volledige
omvang van een aanval onthullen en snellere en meer gerichte response acties mogelijk maken.

XDR: Extended Detection & Response

XDR is een evolutie van EDR en heeft EDR effectief vervangen op de beveiligingsmarkt. Met EDR als
basiscomponent streeft XDR-software ernaar om de eerder besproken benaderingen van EDR en NDR
samen te brengen om beveiligingsteams te helpen bij het oplossen van problemen met
dreigingszichtbaarheid door beveiligingsgegevens van meerdere bronnen te centraliseren,
standaardiseren en correleren. Deze aanpak verhoogt de detectiemogelijkheden in vergelijking met
op zichzelf staande endpoint detection and response-tools (EDR) of netwerkverkeersanalyse (NDR).
Zo biedt XDR volledige zichtbaarheid door gebruik te maken van netwerkgegevens om kwetsbare
(niet-beheerde) endpoints te monitoren die niet zichtbaar zijn voor EDR-tools, terwijl het ook
verdacht netwerkverkeer laat zien in de context van zichtbaar gedrag op verschillende hosts die
mogelijk verband houden met het verdachte netwerkverkeer.
XDR analyseert gegevens van meerdere bronnen (e-mailactiviteit, endpoints, servers, netwerken,
cloudstreams, identiteitstechnologieën zoals AzureAD of andere SSO-providers...) om meldingen te
valideren, waardoor false positives en de algehele hoeveelheid meldingen worden verminderd. Deze
integratie van indicatoren uit meerdere bronnen stelt XDR in staat om de efficiëntie van
beveiligingsteams te verbeteren.

Samengevat:
 EDR: biedt een gedetailleerd inzicht, maar heeft geen dekking voor niet-beheerde endpoints of
endpoints die geen agent kunnen uitvoeren (bijv. printers, serverless cloud-omgevingen).
 NDR: heeft een breed overzicht van het hybride cloudnetwerk en volgt het gebruik van identiteit
in de hele organisatie, maar controleert niet in detail wat er binnen endpoints gebeurt.
 XDR: doorbreekt de grenzen van detectieperimeters, brengt automatisering om onderzoeken te
versnellen en streeft ernaar om het detecteren van geavanceerde aanvallen gemakkelijker te
maken.
 SIEM: kost meer tijd en moeite om op te zetten en te onderhouden dan de bovenstaande
benaderingen, maar biedt cruciale aanpasbaarheid en direct toegankelijke ruwe loggegevens
wanneer nodig.

p. 3 of 4
MDR: Managed Detection Response
De afkorting MDR staat voor managed detection and response. MDR brengt de SOC-functie en de
verschillende bovengenoemde oplossingen samen om een allesomvattende aanpak van
cyberdreigingen mogelijk te maken.

p. 4 of 4