Hoe goed is uw Security Monitoring?

Wanneer u met security monitoring aan de slag gaat, komen er al snel afkortingen, vaktermen en vragen om de hoek kijken, zoals SIEM, hoe meet je het succes van de monitoring en wat kun je doen om dit succes te vergroten. Consultant Marleen van Emmerik neemt u in een serie blogs aan de hand om u wegwijs te maken in deze materie. Dit is het eerste deel. 

Wat is SIEM?

SIEM staat voor Security Information and Event Management. Een SIEM-oplossing heeft als waarde voor bedrijven dat zij zich bewust worden van uitbuitingen van kwetsbaarheden, dat uitbuitingen zichtbaar worden en dat ze gedetecteerd kunnen worden, zodat bedrijven actie kunnen ondernemen. Een goede SIEM-oplossing detecteert dus voor u de rotte appels in uw netwerk.

Hoe goed is uw SIEM?

Het succes van een SIEM-implementatie is te meten met twee Key Performance Indicators (KPI’s): de False-Positive-Ratio, en de Time-To-Action. Deze KPI’s meten beide hoe snel een analist de rotte appels uit uw netwerk kan halen. Efficiënte tijdsbesteding van een analist betekent immers een veiligere omgeving voor uw bedrijf.

False-Positive-Ratio

Een van de KPI’s is de False-Positive-Ratio: het aantal false positives gedeeld door het totaal aantal uitbuitingen. Waar een true positive daadwerkelijk een uitbuiting is, is een false positive na onderzoek toch geen uitbuiting , maar bijvoorbeeld een configuratiefout of een geaccepteerde workaround. Als een analist eerst de rotte appel uit een zee van mooie Elstars moet vinden, dan gaat er kostbare tijd verloren. Het is dus voor een SIEM zaak om zoveel mogelijk echte uitbuitingen te vinden.

Time-To-Action

Een andere belangrijke KPI is Time-To-Action, dat is de tijd die een analist bezig is met het bestuderen van een mogelijke uitbuiting. Wanneer dit veel tijd in beslag neemt, daalt de waarde van de gemelde uitbuiting aanzienlijk. Want als een analist eerst elke appel moet schillen, om er daarna pas achter te komen of het om een rotte appel gaat, dan gaat er wederom veel kostbare tijd verloren. Het is dus belangrijk voor een SIEM-oplossing om goede en volledige informatie te geven over een uitbuiting.

castle-2070777_1920

SIEM-oplossingen

De meest voorkomende SIEM-oplossingen zijn Splunk, ArcSight van HP en QRadar van IBM en zij doen dit rule-based. Dat wil zeggen dat zij data binnen krijgen en daar regels op los laten om de rotte appels te identificeren. Een regel is bijvoorbeeld: wanneer een systeem data verstuurt naar poort 23 (Telnet), dan is het een uitbuiting. Soms combineren deze oplossingen verschillende regels door een nieuwe regel die luidt: wanneer een uitbuiting uit meerdere regels komt, dan neemt de waarschijnlijkheid van de uitbuiting toe.

Volgende blogs: Verbeter de score op KPI’s

Een mogelijkheid voor het verbeteren van de False-Positive-Ratio en Time-To-Action is het gebruikmaken van Advanced Analytics en betere informatievoorziening voor analisten. Gangbare methoden binnen Advanced Analytics zijn bijvoorbeeld Machine Learning, Predictive Analysis en Pattern Recognition. Meer over advanced analytics en hoe u de informatievoorziening van uw SIEM verbetert, lees je in mijn volgende blog.

Deel dit bericht via:Tweet about this on TwitterShare on LinkedInEmail this to someoneShare on FacebookShare on Google+Pin on PinterestPrint this page

Door de site te te blijven gebruiken, gaat u akkoord met het gebruik van cookies. meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten