XDR en SIEM samen zorgen voor de meest optimale beveiligingsoplossing. Met SIEM breng je data van binnen en buiten de XDR-oplossing samen in een single pane of glass, waar SOC-teams security monitoring op kunnen uitoefenen. Met XDR en SIEM kun je data verrijken, correleren en hier intelligentie op toepassen.
In deze reeks artikelen gaan we in op XDR en de mogelijkheden hiervan voor jouw organisatie. In de vorige artikelen bespraken we XDR en XDR technologies. In dit artikel bespreken we waarom XDR en SIEM samen de meest complete security oplossing biedt.
XDR en XDR technologies
XDR staat voor Extended Detection and Response. Met de Microsoft XDR oplossing zorg je dat je totale Microsoft omgeving zo goed mogelijk beveiligd is. Daarvoor gebruik je verschillende oplossingen uit de Microsoft Defender Suite, zogenaamde XDR-technologieën.
Wat is SIEM?
SIEM staat voor Security Information and Event Management. Net als XDR helpt SIEM je om bedreigingen te detecteren, te analyseren en erop te reageren – voordat ze schade aan je organisatie kunnen toebrengen. SIEM-technologie verzamelt logboekgegevens uit de Microsoft omgeving, maar ook van bronnen buiten deze omgeving, en geeft de mogelijkheid deze data met elkaar te correleren.
SIEM kun je koppelen met oneindig veel bronnen, zoals IoT, applicaties (bijvoorbeeld een kassasysteem) of netwerkapparatuur. Zo heb je met XDR en SIEM een zo compleet mogelijk beeld van de activiteiten in je volledige IT-infrastructuur.
Een SOC (Security Operations Center) team kan eigenlijk niet zonder een SIEM oplossing. Alles over security gerelateerde activiteiten van de omgeving komen in de SIEM bij elkaar. Een SOC zonder SIEM is als een kok zonder keuken. Zonder het juiste inzicht, is het niet mogelijk om hierop te kunnen acteren.
SIEM als aanvulling op XDR
SIEM is een aanvulling op de XDR-oplossing. Je kunt de Microsoft XDR oplossing namelijk koppelen aan SIEM. Zo ontstaat er een single pane of glass, één omgeving waarbinnen het SOC-team van je organisatie alle veiligheidsinformatie kan bundelen, analyseren en correleren. Het securityteam hoeft zo niet in allerlei logs informatie op te zoeken, maar vindt dit gecentraliseerd op één locatie en kan vanuit deze centrale omgeving ook (geautomatiseerde) acties ondernemen.
Een SIEM oplossing is een verzamelplaats van alle securitylog-data die je verzamelt. Dat is dus ook informatie van buiten de Microsoft of XDR-omgeving. Stel dat je een Cisco ASA firewall gebruikt als organisatie, dan kun je de logdata daarvan koppelen aan de SIEM oplossing. Of, wanneer een hacker de instellingen van het WIFI-netwerk van je organisatie wil aanpassen, gebeurt dat ook buiten de XDR-omgeving. Met een SIEM oplossing kun je dit detecteren, voorkomen en er de nodige actie op ondernemen.
Zo kun je alle data van andere systemen en netwerken koppelen aan wat er in de Microsoft Cloud omgeving gebeurt en beter inspelen op dreigingen.
Detectie en automation
In een SIEM oplossing worden er dus logs doorgestuurd naar een centrale plek. Dit maakt het detecteren van bedreigingen binnen en buiten het XDR-netwerk mogelijk. Bovendien kun je met deze verzamelde data ook centrale dashboards bundelen om relevante informatie visueel te maken. Dit maakt het voor SOC-teams eenvoudiger de informatie te analyseren en actie te ondernemen. Ook voor bijvoorbeeld IT-managers kan zo makkelijk inzichtelijk worden gemaakt wat de huidige staat van een omgeving is.
Die acties kunnen ook (deels) geautomatiseerd worden. Zo kun je er bijvoorbeeld voor kiezen om een login vanaf bepaalde locaties, die als verdacht worden gezien, automatisch te blokkeren.
Microsoft Sentinel
De SIEM oplossing van Microsoft, die wij bij InSpark aan onze klanten leveren, is Microsoft Sentinel.
Het grote voordeel van Microsoft Sentinel is dat dit een cloud-native oplossing is. In potentie kun je met een SIEM oplossing oneindig veel data ontsluiten, dankzij de schaalbaarheid van de cloud. Is je SIEM oplossing niet cloud-native, dan loop je het risico dat je server volloopt en heb je hier al het onderhoudswerk aan. Zo moet je de server continu online houden en kapotte schijven tijdig vervangen.
In een cloud oplossing (zoals Microsoft Sentinel) is dat niet het geval: deze schaalt altijd met je mee en is altijd en overal bereikbaar.
Een ander groot voordeel van Microsoft Sentinel is dat de parsing (de vertaling van verschillende soorten brondata naar dezelfde taal) geautomatiseerd is. Zo hoeft de data uit verschillende bronnen niet eerst handmatig omgezet te worden.
Microsoft Sentinel is een SaaS (Software as a Service) dienst. Dit betekent dat veel zaken, zoals het beveiligen fysieke componenten van de servers en het onderhoud, voor rekening van de cloud-provider komen.
Bovendien zijn veel SIEM oplossingen duur, terwijl Microsoft Sentinel relatief betaalbaar is.
Microsoft Sentinel is een SIEM oplossing. Je kunt dus externe security-bronnen koppelen aan Microsoft Sentinel. Vervolgens kun je aangeven bij welk gedrag je gealarmeerd of genotificeerd wilt worden en kunnen er acties geautomatiseerd worden. Zowel als reactie op een aanval, als orchestration (bijvoorbeeld het registreren van een incident binnen een ITSM-systeem). Met Microsoft Sentinel neem je een complete oplossing af en word je als organisatie zoveel mogelijk ontzien.
Voorbeelden van situaties waarin SIEM nodig is
Een SIEM oplossing is voor vrijwel elke organisatie noodzakelijk. Hier geven we hieronder twee voorbeelden van.
Organisatie met veel locaties en IoT-netwerken
Stel, een organisatie heeft veel verschillende locaties door het hele land. De medewerkers maken allemaal gebruik van een Windows laptop, OneDrive en Sharepoint en de identiteiten leven in het (Azure) Active Directory van Microsoft. Dit kan allemaal beveiligd worden met een XDR-oplossing.
Maar, deze organisatie gebruikt ook camera’s en routers met WIFI-netwerken op de verschillende locaties. Dit is een IoT-netwerk, valt buiten de XDR-oplossing en daar is een SIEM oplossing gewenst.
Als iemand op het WIFI-netwerk van een locatie gegevens vindt van een medewerker en deze gebruikt om in te loggen op Sharepoint, dan komt er op dat moment pas een melding binnen op de XDR oplossing. Terwijl het al eerder gesignaleerd had kunnen worden, op het WIFI-netwerk, door middel van een SIEM oplossing.
Organisatie met fabriekshal
Ander voorbeeld: een fabriek gebruikt een XDR-oplossing voor Microsoft technologie. Maar, in de fabriekshal staan machines die op andere systemen draaien. Deze machines kunnen gehackt worden, zonder dat de XDR-oplossing dat in de gaten heeft. Dat kan bijvoorbeeld doordat er een USB-stick met malware in een machine wordt gestoken.
Met een SIEM oplossing wordt het mogelijk gemaakt om logs vanaf deze fabrieksapparatuur te versturen naar een SIEM oplossing, om vanuit daar detecties en (geautomatiseerde) acties uit te voeren.
SIEM als onmisbaar onderdeel van complete beveiliging
Een SIEM oplossing is dus een onmisbare aanvulling op een XDR-oplossing. Met een SIEM oplossing ben je in staat om een correlatie te leggen tussen verschillende gebeurtenissen op verschillende componenten (zoals endpoints, identiteiten, netwerken, applicaties en meer). Dit zorgt ervoor dat je met XDR én SIEM de meest optimale beveiliging voor je organisatie inricht.
Meer weten over XDR en SIEM?
InSpark is Microsoft Partner en in 2019 verkozen tot Global Security & Compliance partner of the year en in 2018 tot Country Partner of the year. We gebruiken Microsoft Sentinel als SIEM oplossing voor onze klanten. Een betaalbaar en compleet cloud-native product met vele voordelen.
Wil je meer weten over Sentinel en hoe XDR en SIEM ook jouw organisatie veiliger maken? Neem dan contact met ons op.