Hoe werkt het?

We leveren met ons SOC vijf basiselementen die cruciaal zijn voor de beveiliging uw gegevens.

De vijf basiselementen

SIEM (security incident en event management)

Het beschikbaar hebben van accurate logging is van groot belang. Op die manier kan tijdig worden geanticipeerd op inbreuken en kunnen we analyses uitvoeren. Alle logs kunnen vergeleken worden met een wereldwijd overzicht van dreigingen die wordt verkregen middels OTX threat data. Op de OTX zijn 37.000 organisaties aangesloten in meer dan 140 landen. Dagelijks worden er meer dan 3 miljoen threat indicatoren toegevoegd. Hierdoor zijn we altijd als eerste op de hoogte van nieuwe dreigingen en kunnen we die afvangen voordat ze in uw omgeving kunnen binnendringen. Door de monitoring van het SOC zullen verdachte netwerkactiviteiten en afwijkend gedrag snel worden gedetecteerd. We zullen hier indien gewenst actie op ondernemen. Dit kan ook compleet automatisch worden uitgevoerd. Door de verdachte activiteiten direct te blokkeren zal u minder risico lopen op bijvoorbeeld het stagneren van uw bedrijfsvoering.

Onze monitoring maakt inzichtelijk met welke bedreigingen uw ICT-omgeving wordt geconfronteerd. Wij monitoren continue het netwerk op bedreigingen. Met behulp van signature-based en patroonherkenning kunnen de laatste bedreigingen worden gedetecteerd. Cyberaanvallen kunnen in kaart worden gebracht.

Monitoren van gedrag

Door events die door netwerkapparatuur worden geregistreerd en gelogd te verzamelen en te correleren, kan een compleet beeld worden verkregen van de activiteiten op het netwerk. Hierdoor kunnen onregelmatigheden of aanvallen snel worden herkend en worden onderschept. Ook de beschikbaarheid van uw netwerk wordt door ons continu bewaakt en bij een verstoring zullen we direct actie ondernemen.

Het SOC verzamelt loggegevens van NIDS en de HIDS van uw omgeving. Die logging wordt verzameld en gecorreleerd. Hierdoor wordt een compleet beeld van de gebeurtenissen gecreëerd. Door middel van prioriteitentoekenning, wordt bepaald welke gebeurtenissen direct worden gemeld.

Intrusion detectie

In onze tooling zit standaard een Intrusion detectiesysteem opgenomen. Op die manier zijn we snel in staat om bedreigingen te detecteren en actie te ondernemen. We kunnen ook uw eigen IDS koppelen aan ons SOC zodat de beveiliging nog verder toeneemt. Onze oplossing kan ook aangesloten worden op de Amazon en Azure IDS, zodat ook uw cloudomgeving veilig is. Om ervoor te zorgen dat we altijd zijn voorzien van de meest actuele bedreigingen maken we gebruik van een wereldwijde database met bedreigingsinformatie. Daarmee is uw intrusion detectie optimaal ingericht en altijd actueel.

Kwetsbaarheidsanalyses

Het SOC helpt bij het verkrijgen van inzicht of uw gehele IT-infrastructuur is voorzien van de juiste patches en versies. Hiervoor gebruiken we een continue kwetsbaarheidsscan; een scan op kwetsbaarheden in de systemen. Het SOC rapporteert met behulp van de kwetsbaarheidsscan de kwetsbaarheden in het netwerk en op diverse systemen. Dit wordt gedaan door middel van een periodieke scan van deze systemen. Deze kunnen we zo vaak uitvoeren als gewenst en geautomatiseerd ter beschikking stellen. De scan kan op twee manieren worden uitgevoerd:

  1. Authenticated: Dit wil zeggen dat de scan met logingegevens het systeem gaat controleren.
  2. Unauthenticated: Dit wil zeggen dat de scan zonder logingegevens de systemen gaat controleren.

Aan de hand van de periodieke rapportage kan er gestuurd worden om zwakke plekken op te lossen.

Asset verkenning

Wij begrijpen dat de ICT van organisaties steeds ingewikkelder wordt en dat er vaak geen goed en actueel overzicht is van alle aanwezige assets. Wij onderzoeken geautomatiseerd uw gehele netwerk en kunnen precies in kaart brengen welke assets verbonden zijn met het netwerk. Dat weten we vaak al na enige minuten nadat ons SOC is aangesloten op uw netwerk, zowel in de cloud als op locatie.

Onderdelen om aan te sluiten op het SOC

Werkplekken, servers en routers worden standaard aangesloten. Data-sources zoals Firewalls, email- en/of web-gateways, DNS-servers of andere sources worden geanalyseerd en worden in overleg ook aangesloten.

Het aansluiten van een Firewall biedt veel meer inzicht, doordat er gekeken kan worden naar rejected outgoing traffic, succesvolle en niet succesvolle VPN-aanmeldingen en blocked incoming traffic. Als deze informatie wordt gecorreleerd met al bekende informatie in de dienst, kan er een betere validatie van de alarmen plaatsvinden en kan er betere triage plaatsvinden. Onze omgeving is hierin gestandaardiseerd op logging. Indien de logging sterk afwijkt kunnen deze wel worden aangesloten, maar hiervoor zal apart geoffreerd moeten worden.

Een email- en/of web-gateway geeft ons meer informatie over bezochte websites die mogelijk malafi de software verspreiden en of er verdachte email is binnengekomen. Die informatie geeft u ook meer kennis van activiteiten binnen de ICT-omgeving en validatiemogelijkheden.

Het toevoegen van de DNS-server als bron, zorgt ervoor dat we beter inzicht hebben welke hosts in het netwerk bepaalde activiteiten ontplooien waarmee wij ook nog meer inzicht verkrijgen in het netwerk.

In de standaard dienst worden alleen Prio 1-meldingen op best-eff ortbasis doorgemeld. Uitbreiding naar triage en advies van alarmeringen, kortere responstijden en het doormelden van Prio 2- en 3-meldingen is eventueel mogelijk maar vaak niet wenselijk om te veel meldingen te vermijden.
AuditConnect monitort uw omgeving 24/7.

Uw inspanning

Voor een goede werking van de omgeving is het noodzakelijk om in samenwerking toe te werken naar een functionele omgeving. U dient zelf zorg te dragen voor specialistische kennis van de datasources die ontsloten moeten worden op onze dienst. Ten behoeve van de NIDS moet er een spanport op de switch worden geconfi gureerd. Om communicatie tussen de sensor op uw locatie en het AuditConnect Security Operations Center te bewerkstelligen, is er een VPN-verbinding nodig. Aan uw zijde zal u zelf de VPN moeten inregelen. Desgewenst kan AuditConnect hierin ondersteunen.

Functioneel management

Het SOC wordt centraal beheerd. Dit betekent dat wij kunnen zien of de omgeving draait, of er nog voldoende system-resources beschikbaar zijn, of verbindingen actief zijn en of alle logging binnenkomt.

In het geval dat de omgeving niet beschikbaar is, zal er contact worden gezocht met u, teneinde de dienst zo snel mogelijk weer beschikbaar te maken. Indien de hardwaresensor uitvalt, dan zorgt AuditConnect voor een vervangende unit.

Uiteraard zorgen wij er ook centraal vanuit onze SOC voor, dat software-updates voor de sensor geïmplementeerd worden. U heeft daar geen omkijken naar.