Security coverage. Welke termen moet je kennen?

Security coverage voor je IT-omgeving SIEM, XDR, SOAR, MDR en SOC

Blog #6 in een serie blogs over cybersecurity en digitale beveiliging

SIEM, XDR, SOAR, MDR en SOC: wat betekenen deze termen voor je security coverage en hoe hangen ze samen?

Wanneer je je verdiept in cybersecurity, word je vaak geconfronteerd met afkortingen. Vooral als je nieuw bent in dit domein, kan het lastig zijn ze uit elkaar te houden en hun onderlinge samenhang te begrijpen. In dit blog bespreken we vijf belangrijke technologieën die relevant zijn voor de security coverage, monitoring van je IT-omgeving en de opvolging van alerts. Deze informatie helpt je om weloverwogen beslissingen te nemen over hoe je je cybersecurity optimaal organiseert.

Maar laten we eerst kijken wat SIEM, XDR, SOAR, MDR en SOC inhouden en voor je kunnen betekenen.

SIEM (Security Information and Event Management)

SIEM verzamelt, slaat op en analyseert gegevens om beveiligingsincidenten te identificeren en naleving van wet- en regelgeving te waarborgen. Je kunt loggegevens centraliseren, rapporten genereren en detectieregels ontwikkelen. De uitdagingen van een SIEM zijn de vereiste expertise voor implementatie en beheer, frequente false-positive meldingen en hoge kosten voor installatie en onderhoud.

XDR (Extended Detection & Response)

XDR combineert gegevens uit diverse bronnen om beveiligingsproblemen op te sporen en erop te reageren. XDR integreert verschillende beveiligingsoplossingen, vermindert meldingen door ze te consolideren en biedt uitgebreide mogelijkheden voor threat hunting. Uitdagingen zijn onder andere integratie met bestaande tools en het gemis van logging- en compliancefuncties (om te voldoen aan wet- en regelgeving) zoals bij een SIEM.

SOAR (Security Orchestration, Automation & Response)

SOAR automatiseert incidentafhandeling en betrekt mensen alleen wanneer dat nodig is. Het verrijkt gegevens over incidenten, prioriteert belangrijke meldingen en automatiseert processen via playbooks waarin workflows worden gedefinieerd. Uitdagingen zijn de beperkte capaciteit voor Big Data-analyse, complexe integratievereisten en uitdagende installatie en onderhoud.

MDR (Managed Detection & Response)

MDR biedt een dienst waarbij een extern team helpt de IT-omgeving te monitoren en te reageren op alerts. Voordelen zijn continue bewaking, snelle incidentrespons en deskundige analyse, zonder dat een intern team nodig is. Nadelen zijn de relatief hoge kosten en de afhankelijkheid van een externe partij.

SOC (Security Operations Center)

Een SOC is een centraal team dat verantwoordelijk is voor de monitoring van de IT-omgeving en opvolging van alerts. Een SOC analyseert bedreigingen, reageert op incidenten en waarborgt een veilige IT-omgeving. MDR kan een aanvulling zijn op een intern SOC-team, bijvoorbeeld wanneer interne capaciteit (voor een 24/7-dienst) of expertise (voor diepgaande analyse) ontbreekt.

Samenhang

SIEM, SOAR en XDR vormen de technologische basis voor een uitgebreide beveiligingssuite. De optimale aanpak is om deze technologieën te integreren binnen een samenhangende security architectuur. Een praktische benadering is deze:

Start met SIEM als basis
Begin met een SIEM om gegevens uit diverse bronnen in je IT-omgeving te verzamelen en te analyseren. Een SIEM ondersteunt ook bij naleving van wettelijke vereisten, genereert rapportages en biedt lange termijn opslag van relevante data.
Voeg XDR toe voor geavanceerde detectie en respons
XDR bouwt voort op SIEM door extra detectie- en responsmogelijkheden te bieden op endpoints en cloud omgevingen. Hierdoor worden alerts voorzien van meer context, wat het aantal false positives vermindert en de effectiviteit van het security team verhoogt. Integratie met een bestaande SIEM versnelt de implementatie van XDR door gebruik te maken van centrale beveiligingsgegevens.
Implementeer SOAR voor automatisering en orkestratie
SOAR wordt vaak toegevoegd na SIEM en/of XDR implementatie. Het automatiseert beveiligingsprocessen en coördineert reacties om sneller en effectiever te handelen op incidenten. SOAR maakt gebruik van gegevens van zowel SIEM als XDR om workflows te automatiseren, wat vooral nuttig is bij grote aantallen dagelijkse alerts.

SIEM verzamelt en analyseert loggegevens, XDR verbetert detectie- en responsmogelijkheden en SOAR zorgt voor geautomatiseerde alert afhandeling en orkestratie van beveiligingsreacties. Daarmee zet je een solide basis neer. Het SOC is de centrale plek voor de afhandeling van securitymeldingen. Het SOC kun je eventueel aanvullen met expertise en/of capaciteit vanbuiten je organisatie in de vorm van MDR.

Bepaal eerst je doel

Voordat je beslist welke oplossing je nodig hebt, hoe je je security coverage wilt optimaliseren, is het essentieel om je doel helder te definiëren: wat wil je precies bereiken? Dat kan heel breed zijn. Wil je op tijd voldoen aan wet- en regelgeving, zoals NIS 2? Wil je voorkomen dat je data lekt? Of, meer specifiek, wil je alle laptops monitoren op malafide activiteiten? Zodra je dit duidelijk hebt, kun je verder met je onderzoek welke technologieën of diensten daar het beste bij passen.

Zeker als je hierover in gesprek gaat met leveranciers, is een helder doel onmisbaar. In de wereld van cybersecurity zijn namelijk niet alle definities eenduidig. Neem bijvoorbeeld XDR. Sommige leveranciers zien XDR als een uitbreiding van bestaande MDR-diensten, terwijl andere het beschouwen als een op zichzelf staande oplossing met geavanceerde detectiemogelijkheden. Blijf vragen stellen totdat je volledig begrijpt hoe de oplossing werkt. Alleen dan kun je beoordelen of je jouw doelen zult bereiken, of je het cybersecurity budget optimaal benut en je security coverage up-to-date is en blijft.

In ons volgende blog gaan we dieper in op threat intelligence. Hoe beter je begrijpt welke dreigingen op je afkomen, hoe beter je je er tegen kunt beveiligen.



Weten waar u staat met uw cybersecurity?

Neem contact op en we gaan daarover graag het gesprek met u aan over cybersecurity veilig inrichten.

Johan Mulder

Commercieel Directeur

+31 (0)6 25 321 277
jmulder@ram-it.nl

Managed Detection & Response en Microsoft Defender XDR

Hoe bescherm je de moderne werkplek tegen digitale aanvallen? Met RAM-IT Managed Detection & Response (MDR) monitoren wij uw IT-omgeving 24 uur per dag, 7 dagen per week, 365 dagen per jaar. En bij dreigingen ondernemen we proactief actie vanuit het Nederlandse Security Operations Center (SOC).

Meer weten hoe wij met MDR en Microsoft Defender XDR uw security op peil brengen en houden? Maak een afspraak voor het complete verhaal.

Alles over cybersecurity voor de moderne werkplek in de zorg

Lees al onze blogs over cybersecurity en digitale veiligheid

cybersecurity digitale beveiliging - blog #1

Blog #1 -
Zo herpakt u de controle over uw IT security

Blog #2 -
Cybersecurity begint met veilig inrichten

security monitoring voor betere cybersecurity

Cookie	Duur	Beschrijving
_GRECAPTCHA	5 months 27 days	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duur	Beschrijving
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_RXM43K6F59	2 years	This cookie is installed by Google Analytics.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	10 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Duur	Beschrijving
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Blog #6 – Security coverage voor je IT-omgeving

Blog #6 in een serie blogs over cybersecurity en digitale beveiliging

SIEM, XDR, SOAR, MDR en SOC: wat betekenen deze termen voor je security coverage en hoe hangen ze samen?