Ooit een tijdje terug meegeholpen bij het implementeren van een SIEM oplossing. Ik zeg ook niet bij wie, hoe en welke oplossing (dus helaas).
Het verzamelen van logbestanden (Syslog, Win Events, log files, SNMP etc.) is 1. Het vervolgens juist categoriseren welke (combinatie van) events impact kunnen hebben is 2. Daar is ervaring voor nodig. Maar dat staat of valt bij de opvolging. 24/7 analyse van een security incident geanalyseerd door een SIEM oplossing moet ook direct opgevolgd kunnen worden als iets speelt. Als een SOC niet meteen systemen kan dichtzetten, patchen of wat dan ook, dan zou ik er nog eens over nadenken. Laat je goed voorlichten wat er op de markt te krijgen is. Je hebt een lange adem nodig. En als de implementatie klaar is, dan moet voor elke verandering in je systeem-omgeving opnieuw de impact bepaald worden. Sterkte.