Cloud SIEM anno 2020

Er is groen licht, iedereen zit op een lijn: het is tijd om een SIEM-oplossing in te zetten in de organisatie. Het dreigingslandschap vraagt om inzicht in de eigen omgeving en tijdig onderzoek naar afwijkend gedrag. Een van de eerste vraagstukken waar je voor komt te staan is meteen een lastige vraag: Moet dit on-premise gaan gebeuren, of gaan we de cloud in? Er valt voor beide genoeg te zeggen en wat het beste past verschilt per omgeving. DTX houdt zich sinds 2018 bezig met implementaties van de cloud SIEM- variant van Rapid7: InsightIDR.

Wij merken dat een aantal argumenten om niet voor een cloudvariant te kiezen inmiddels genuanceerder zijn of geheel zijn weggenomen ten opzichte van een aantal jaar geleden. Hierdoor denken wij dat voor ondernemend Nederland het gebruik van SIEM toegankelijker is geworden dan ooit tevoren.

Cloud SIEM of On-prem?

We beginnen met een van de meest voor de hand liggende voordelen: het klaarstomen van de SIEM waarmee de aankomende jaren gewerkt gaat worden. De opstartkosten liggen direct hoger als je voor on-premise kiest. Er is krachtige hardware nodig om alle data te verzamelen en hier correlaties op uit te laten voeren. De configuratie en beheer van deze SIEM- pakketten zijn doorgaans een uitdaging op zichzelf en vereist veel scholing van beheerders, bovenop hun bestaande werkpakket.  

 

De Cloud variant hierop is vele malen toegankelijker: Vraag de licentie aan en je SIEM- interface staat gereed. Deze interface is intuïtief en is zonder lange cursustrajecten al effectief in te zetten. Er valt uiteraard genoeg in vast te bijten om goed overweg te kunnen met de geavanceerdere functionaliteiten, maar de instap is erg laag. Intern heb je één of enkele collectors (afhankelijk van je netwerktopologie) nodig welke de data verzamelen. Koppel deze aan je tenant en je hebt je data om mee te werken beschikbaar.  

 

Dan komt het volgende pluspunt om de hoek kijken waar InsightIDR een groot voordeel biedt; er staat direct een heel arsenaal aan inzetbare alerts klaar waar de verzamelde data op getoetst wordt. In de eerste momenten na de uitrol wordt direct de toegevoegde waarde zichtbaar. Denk hierbij aan een aanvaller die zijn sporen probeert te wissen, inloggegevens probeert te achterhalen of misbruikt maakt van accounts die daar niet voor bedoeld zijn.  

 

De data die vervolgens verzameld wordt kan direct ook weer verrijkt worden. Dit omvat bijvoorbeeld IP-adressen die direct worden voorzien van hun geolocatie. Ook zal een URL die door een aanvaller is ingekort om minder verdacht over te komen automatisch verrijkt worden met de volledige URL die erachter verdekt opgesteld zit. Domeinen worden voorzien van WHOIS- informatie, etc. Je beschikt hiermee in een zeer korte periode over zowel bruikbare alerts uit je omgeving welke het onderzoeken waard zijn, aangevuld met meta-informatie die je onderzoek absoluut zullen bespoedigen.  

Cloud geen bezwaar?

Een bezwaar waar we de afgelopen jaren ook een grote afname in hebben waargenomen is het beveilingsbeleid van clouddiensten. Data mocht vaak enkel en alleen on-site bewaard worden. Door de grote adoptie van clouddiensten hebben we gemerkt dat dit steeds minder als een bezwaar gezien wordt. De flexibiliteit, schaalbaarheid en het minimale beheer wordt gezien als een kans, terwijl het duidelijk is geworden dat data veilig in de cloud verwerkt kan worden.  

 

Als je kijkt naar de prijs van een on-premise of cloud SIEM- model is de cloudvariant over de jaren heen steeds aantrekkelijker geworden. DTX heeft een aanzienlijk aantal bedrijven en instellingen kunnen begeleiden in de implementatie van InsightIDR om de grip op hun omgeving drastisch te vergroten. Wanneer er begonnen wordt aan een SIEM- traject, neem dan bovenstaande overwegingen mee in het besluit. 

Wat vinden onze klanten?

“Ten tijde van een onze selectie voor een SIEM zijn we begonnen met de wens om alles on-prem te hebben in ons datacenter maar al snel kwamen we er achter dat een cloud dienst misschien wel beter is. Omdat er al gebruik wordt gemaakt van Office 365 was er voor ons er eigenlijk geen reden om SIEM ook niet in de cloud af te nemen. Wat wel belangrijk voor is voor ons is dat de data wel binnen europa is opgeslagen in de cloud wat het geval is met InsightIDR.” 

Berry Rijnbeek – Security Officer bij PQR

 

 

“De kracht van InsightIDR (SIEM)-voorziening zit er met name in dat InsightIDR (SIEM) ons in staat stelt loginformatie uit het onze gehele IT-landschap “zowel on-premise als onze cloud-diensten” te verzamelen en te analyseren op beveiligingsgebeurtenissen, configuratieafwijkingen en kwetsbaarheden. Dit levert een goed totaalbeeld op van de beveiligingsstatus van ons IT-landschap.”  

Jasper Wassenburg – Manager Security bij Pensioenfonds Horeca en Catering 

 

 

“De prettige samenwerking met DTX zie ik terug in de korte lijntjes, het meedenken en natuurlijk de expertise die ze hebben. Dit zowel gedurende de implementatie als in de fase daarna.”  

Carlo Bloem – Technisch specialist ICT bij Tjongerschans Ziekenhuis 

 

 

“De samenwerking met DTX ervaar ik als zeer aangenaam vanwege de snelheid en de deskundigheid die ze ons bieden en uiteraard het persoonlijke en proactieve contact.” 

Joost Dubbelman – Security Officer bij Voogd & Voogd 

 

 

Related blogs

Automox vs WSUS

Een robuust programma voor het detecteren van bedreigingen moet tenminste bestaan uit technologie voor het detecteren van dreigingen op het netwerk, servers en werkplekken binnen en buiten de organisatie.

Lees verder ...

DTX.nl gebruikt cookies om inzicht te krijgen in het gebruik van de website en deze zo goed mogelijk te laten werken. Daarnaast maken wij gebruik van Google Analytics om uw gebruik van onze website te analyseren. Wij slaan geen persoonlijke gegevens op. Wanneer u doorgaat met het bezoeken van onze website, gaan wij er van uit dat u hier mee instemt.