Wat is een SIEM?
Een Security Information and Event Management (SIEM)-systeem is het centrale zenuwstelsel van de beveiligingsoperaties van een organisatie. Het verzamelt loggegevens uit het gehele technologielandschap, normaliseert deze naar een gemeenschappelijk formaat, correleert gebeurtenissen om dreigingen te detecteren en biedt het auditspoor dat complianceframeworks vereisen.
Moderne SIEM's zijn geëvolueerd van eenvoudige logaggregatoren tot intelligente platforms die realtime dreigingsdetectie, geautomatiseerde respons, threat hunting en compliancerapportage combineren.
Kernmogelijkheden van SIEM
| Mogelijkheid | Wat het doet | Compliancewaarde |
|---|
| Logverzameling | Logs opnemen van alle IT-systemen via agents, syslog, API's | Centraal auditspoor-bewijs |
| Normalisatie | Diverse logformaten converteren naar een gemeenschappelijk schema | Consistente analyse en rapportage |
| Correlatie | Gebeurtenissen over bronnen matchen om aanvalspatronen te detecteren | Bewijs van dreigingsdetectie |
| Waarschuwingen | Analisten informeren over gedetecteerde dreigingen en anomalieën | Bewijs van incidentdetectie |
| Dashboards | Realtime inzicht in beveiligingshouding | Managementrapportage |
| Onderzoek | Historische gebeurtenissen doorzoeken en analyseren voor forensisch onderzoek | Bewijs van incidentrespons |
| Rapportage | Compliance- en operationele rapporten genereren | Auditbewijspakketten |
| Bewaring | Logs opslaan voor vereiste bewaartermijnen | Regelgevende compliance |
SIEM-architectuur
| Component | Doel | Belangrijke overwegingen |
|---|
| Logverzamelaars/agents | Logs verzamelen van bronsystemen | Agent vs agentless, bandbreedteimpact |
| Logtransport | Logs veilig naar SIEM verzenden | Encryptie in transit, betrouwbaarheid |
| Parsing-engine | Diverse logformaten normaliseren | Ontwikkelinspanning voor aangepaste parsers |
| Correlatie-engine | Detectielogica toepassen op genormaliseerde gebeurtenissen | Regelcomplexiteit, prestaties |
| Opslaglaag | Logs bewaren voor zoeken en compliance | Hot/warm/cold-lagen, kostenoptimalisatie |
| Analytics-engine | ML-gebaseerde anomaliedetectie, UEBA | Vereisten voor trainingsgegevens |
| Responslaag | SOAR-integratie voor geautomatiseerde respons | Ontwikkelinspanning voor draaiboeken |
| Presentatielaag | Dashboards, rapporten, onderzoekstools | Efficiëntie van analistenworkflow |
Essentiële logbronnen
| Logbroncategorie | Voorbeelden | Detectiewaarde |
|---|
| Identiteit en toegang | Active Directory, Entra ID, Okta, SSO-providers | Accountcompromittering, rechtenescalatie |
| Endpoint | EDR-waarschuwingen, Windows Event Logs, syslog | Malware, laterale beweging, gegevensexfiltratie |
| Netwerk | Firewalls, IDS/IPS, DNS, proxy, VPN | Command and control, gegevensexfiltratie |
| Cloudplatforms | AWS CloudTrail, Azure Activity Log, GCP Audit Logs | Misconfiguraties, ongeautoriseerde toegang |
| Applicaties | Webservers, databases, aangepaste applicaties | Aanvallen op applicatieniveau, gegevenstoegang |
| E-mail | E-mailgateway, Microsoft 365/Google Workspace | Phishing, business email compromise |
| Beveiligingstools | Kwetsbaarhedenscanners, DLP, WAF, CASB | Verrijking en correlatiecontext |
Detection engineering
MITRE ATT&CK-dekking
| Tactiek | Prioritaire detecties | Vereiste logbronnen |
|---|
| Initiële toegang | Geklikt op phishinglinks, exploitpogingen | E-mailgateway, WAF, EDR |
| Uitvoering | Verdachte procescreatie, scriptuitvoering | EDR, Windows Event Logs |
| Persistentie | Nieuwe geplande taken, registerwijzigingen, nieuwe accounts | EDR, Active Directory |
| Rechtenescalatie | Wijzigingen in admingroepen, tokenmanipulatie | Active Directory, EDR |
| Verdedigingsontwijking | Log-opschoning, sabotage van beveiligingstools | SIEM-zelfmonitoring, EDR |
| Referentietoegang | Brute force, password spraying, credential dumping | Active Directory, VPN, SSO |
| Laterale beweging | Ongebruikelijk RDP-, SMB-verkeer, misbruik van serviceaccounts | Netwerk, Active Directory, EDR |
| Exfiltratie | Grote gegevensoverdrachten, ongebruikelijke bestemmingen | Netwerk, proxy, DLP |
Typen detectieregels
| Regeltype | Methode | Toepassing |
|---|
| Op handtekening gebaseerd | Bekende patronen matchen (IOC's, hashes, IP's) | Bekende dreigingen, dreigingsinformatie |
| Op drempel gebaseerd | Waarschuwen wanneer gebeurtenisaantal basislijn overschrijdt | Brute force, DDoS, scanning |
| Correlatie | Gebeurtenissen over meerdere bronnen en tijdvensters matchen | Meerfasige aanvallen, laterale beweging |
| Op anomalie gebaseerd | ML detecteert afwijking van vastgestelde basislijnen | Insiderdreigingen, nieuwe aanvallen |
| Gedragsmatig (UEBA) | Gebruikers- en entiteitsgedragsanalyse | Accountcompromittering, rechtenmisbruik |
SIEM vs SOAR vs XDR
| Mogelijkheid | SIEM | SOAR | XDR |
|---|
| Logverzameling en -opslag | Primaire functie | Nee | Beperkt |
| Dreigingsdetectie | Correlatieregels, analytics | Nee (verwerkt SIEM-waarschuwingen) | Ingebouwde detectie |
| Geautomatiseerde respons | Basis (e-mail, ticket) | Primaire functie (draaiboeken) | Ingebouwde responsacties |
| Compliancerapportage | Primaire functie | Nee | Beperkt |
| Onderzoek | Logzoekopdrachten en forensisch onderzoek | Casebeheer | Begeleid onderzoek |
| Bereik | Alle logbronnen | Waarschuwingsresponsworkflows | Endpoint, netwerk, cloud, e-mail |
| Het beste voor | Compliance + detectie + bewaring | Responsautomatisering | Uniforme detectie en respons |
Bewaarvereisten voor logs
| Framework | Minimale bewaring | Opmerkingen |
|---|
| ISO 27001 | Bepaald door organisatie | A.8.15 vereist logbeleid met gedefinieerde bewaring |
| SOC 2 | 1 jaar | CC7.2 — voldoende om onderzoek te ondersteunen |
| NIS2 | Niet expliciet gespecificeerd | Moet incidentonderzoek ondersteunen (Artikel 23) |
| DORA | 5 jaar | ICT-gerelateerde incidentregistraties (Artikel 17) |
| PCI DSS | 1 jaar (3 maanden hot) | Vereiste 10.7 — direct beschikbaar voor analyse |
| AVG | Doelbeperkt | Balans tussen beveiligingsmonitoring en gegevensminimalisatie |
Compliancevereisten
Frameworkmapping
| Vereiste | ISO 27001 | SOC 2 | NIS2 | DORA |
|---|
| Gecentraliseerde logboekregistratie | A.8.15 | CC7.2 | Art. 21(2)(b) | Art. 10 |
| Beveiligingsmonitoring | A.8.16 | CC7.2 | Art. 21(2)(b) | Art. 10 |
| Incidentdetectie | A.5.25 | CC7.3 | Art. 21(2)(b) | Art. 10 |
| Logbescherming | A.8.15 | CC7.2 | Art. 21(2)(d) | Art. 10 |
| Tijdsynchronisatie | A.8.17 | CC7.2 | Art. 21(2)(d) | Art. 10 |
| Auditspoor | A.8.15 | CC7.2 | Art. 23 | Art. 17 |
| Rapportage aan management | A.5.25 | CC7.3 | Art. 20 | Art. 13 |
Auditbewijs
| Bewijstype | Beschrijving | Framework |
|---|
| SIEM-implementatiedocumentatie | Architectuur, logbronnen, dekking | Alle frameworks |
| Logbroninventaris | Alle systemen die logs versturen met status | ISO 27001, SOC 2 |
| Detectieregelcatalogus | Gedocumenteerde regels gekoppeld aan dreigingen | ISO 27001, NIS2, DORA |
| Waarschuwingsresponsprocedures | SOP's voor elk waarschuwingstype | Alle frameworks |
| MTTD/MTTR-meetwaarden | Maandelijkse detectie- en responstijden | SOC 2, NIS2, DORA |
| Logbewaringsconfiguratie | Bewaarbeleid en verificatie | Alle frameworks |
| Incidentonderzoeksrapporten | Afgeronde onderzoeksregistraties | NIS2, DORA |
| SIEM-gezondheidsmonitoring | Uptime, opnamesnelheid, opslaggebruik | ISO 27001, SOC 2 |
SIEM-implementatiemodellen
| Model | Voordelen | Nadelen | Het beste voor |
|---|
| On-premises | Volledige gegevenscontrole, geen egresskosten | Hoge CapEx, onderhoudslast | Gereguleerde sectoren, gegevenssoevereiniteit |
| Cloud-native | Elastische schaalbaarheid, beheerde infrastructuur | Zorgen over gegevensresidentie, egresskosten | Cloud-first organisaties |
| Beheerde SIEM (MDR) | 24/7 expertmonitoring, lagere personeelskosten | Minder aanpassing, leveranciersafhankelijkheid | Mkb, teams zonder SOC-personeel |
| Hybride | Gevoelige gegevens on-prem, schaalbaarheid in cloud | Complexiteit, dubbel beheer | Organisaties met gemengde vereisten |
Veelgemaakte fouten
| Fout | Impact | Oplossing |
|---|
| Alles verzamelen | Waarschuwingsmoeheid, hoge kosten, trage queries | Prioriteer logbronnen op basis van dreigingsmodel |
| Geen detectie-afstemming | 90%+ fout-positiefpercentages | Basislijn vaststellen, afstemmen en continu verbeteren |
| SIEM-gezondheid negeren | Stille loghiaten creëren blinde vlekken | Opnamesnelheden monitoren en waarschuwen bij dalingen |
| Geen responsprocedures | Waarschuwingen zonder actie verspillen de investering | Documenteer en train SOP's voor elk waarschuwingstype |
| Afhankelijkheid van één analist | Geen dekking tijdens afwezigheid | Team kruislings trainen, runbooks documenteren |
| Logbronvalidatie overslaan | Kritieke gebeurtenissen missen | Regelmatig verifiëren dat alle bronnen verwachte gegevens versturen |
| Geen MITRE ATT&CK-mapping | Onbekende detectiehiaten | Bestaande regels koppelen aan ATT&CK en dekkingshiaten identificeren |
Hoe Orbiq SIEM-compliance ondersteunt
Orbiq helpt u beveiligingsmonitoringmaatregelen aan te tonen:
- Bewijsverzameling — Centraliseer SIEM-implementatiebewijs, detectieregeldocumentatie en MTTD/MTTR-meetwaarden
- Continue monitoring — Volg SIEM-dekking en detectie-effectiviteit
- Trust Center — Deel uw beveiligingsmonitoringhouding via uw Trust Center
- Compliancemapping — Koppel SIEM-maatregelen aan ISO 27001, SOC 2, NIS2 en DORA
- Auditgereedheid — Vooraf gebouwde bewijspakketten voor auditorbeoordeling
Verder lezen
