Security Professionals - ipfw add deny all from eindgebruikers to any

SIEM in 2015 - wie gebruikt het en is tevreden

23-10-2015, 17:21 door Tukkerz, 4 reacties
hi,

Altijd een aandachtig lezer, nu ook maar eens een vraag stellen.

Mijn werkgever overweegt een SIEM aan te schaffen. Het moet de logs van verschillende bronnen bij elkaar brengen en in eenheid analyseren en gekoppeld aan een stel slimmer regels, tot meer inzicht en snellere detectie (en mogelijk) respons van dreigingen leiden. Ik sta zelf welwillend tegenover de aanschaf maar de tools lijken ook wel erg "groot" en soms "complex" en beloven veel. En vooral dat laatste laat toch wel heel veel alarmbellen afgaan.

Zijn er lezers van dit forum die op hun werk zelf een SIEM gebruiken of die weten dat voor de beveiliging van hun bedrijf een SIEM wordt ingezet? En wat zijn de ervaringen? Beheert men de SIEM zelf of is het een dienst die men afneemt? Heeft het opgeleverd wat ervan verwacht werd?

Ben benieuwd naar de ervaringen, hoop dat er reacties komen. Veel dank in elk geval.
Reacties (4)
23-10-2015, 18:21 door karma4
SIEM is een proces gedachtengang dat men op orde moet hebben voordat men de tools daarvoor gaat inzetten. Het lijkt met je vraag er op dat het men niet in staat om dat proces op te zetten en dan maar in tools vlucht.

Security Information - Simple gezegd de Soll (afsrpaak wat het moet zijn ) en IST (zoals het werkelijk is) moet gelijk op lopen. Het nalopen ophalen van de autoristie-informatie kan hisaten vertonen en de soll's kunnen problemen gegeven hebben bij het opvoeren. In die gevallen loop je er tegenaan dat de beperkingen in het SIEM tool leidend gemaakt worden dan krijg je gewoon een slechtere securityinvulling.

Security Event Monitoring. Het zal met vele events komen die allemaal "verdacht" zijn. Er zijn er dan zo veel dat er eigenlijk niets meer mee gadaan kan worden. Het lastigste is om dat aantal zo lag te krijgen dat je er wat mee kunt en met zo weinig hiaten dat je ook de probleemgevallen vangt. Dat heb ik zelden gezien ondanks alle mooie beloftes.
23-10-2015, 22:32 door BaseMent - Bijgewerkt: 23-10-2015, 22:34
brrrr.

Ik zeg lekker niet waar ik werk maar ik kan je wel vertellen dat ik jarenlang op zoek ben gegaan naar een Siem en het is er niet van gekomen.
Die dingen werken op zich prima, zeker correlatie is mooi, maar wel afhankelijk van je architectuur.
Uiteindelijk dacht management dat ze niet meer naar logfiles om hoefden te kijken en dat alles mooi uit de siem zou rollen maar dat bleek een misvatting want de siem machine zelf had meer uren aan config en onderhoud nodig als handmatig analyseren van de logs.
Daarbij moesten op alle systemen agents geinstalleerd worden wat op veel verzet stuitte en wij hadden zo het idee dat het aannemelijk was dat bij toekomstige ontwikkelingen de siem wel eens "vergeten" zou kunnen worden (hoe meer eisen hoe minder functionaliteit).
Uiteindelijk zijn we maar gewoon met een light controle programma aan de slag gegaan. Het mooiste is dat inzicht bij de security collega's veel groter is nu en er veel meer onderzocht wordt als dat je alles aan een siem laat.

Een siem kan echt prima werken, maar verwacht geen (automatische) wonderen.

edit: x typo's eruit gehaald.
23-10-2015, 23:36 door Anoniem
Ooit een tijdje terug meegeholpen bij het implementeren van een SIEM oplossing. Ik zeg ook niet bij wie, hoe en welke oplossing (dus helaas).

Het verzamelen van logbestanden (Syslog, Win Events, log files, SNMP etc.) is 1. Het vervolgens juist categoriseren welke (combinatie van) events impact kunnen hebben is 2. Daar is ervaring voor nodig. Maar dat staat of valt bij de opvolging. 24/7 analyse van een security incident geanalyseerd door een SIEM oplossing moet ook direct opgevolgd kunnen worden als iets speelt. Als een SOC niet meteen systemen kan dichtzetten, patchen of wat dan ook, dan zou ik er nog eens over nadenken. Laat je goed voorlichten wat er op de markt te krijgen is. Je hebt een lange adem nodig. En als de implementatie klaar is, dan moet voor elke verandering in je systeem-omgeving opnieuw de impact bepaald worden. Sterkte.
24-10-2015, 11:59 door Anoniem
Een oude werkgever van mij heeft een oplossing van dit bedrijf https://www.kahuna.nl/

Het werkt wel prima, maar inderdaad is na de inrichting, de opvolging van incidenten het grootste probleem.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.