Security Professionals
- ipfw add deny all from eindgebruikers to any
Hoe ziet jouw SIEM er uit?
28-04-2024, 22:26 door Anoniem, 15 reacties
Ik vraag me af wat vakgenoten hebben gekozen als SIEM en waarom. Met name voor kantooromgevingen en internetomgevingen.
Goede of slechte ervaringen?
Goede of slechte ervaringen?
Reacties (15)
29-04-2024, 08:20 door
JustMe2020
Door Anoniem: Ik vraag me af wat vakgenoten hebben gekozen als SIEM en waarom. Met name voor kantooromgevingen en internetomgevingen.
Goede of slechte ervaringen?
TS begint....Goede of slechte ervaringen?
29-04-2024, 08:25 door
Anoniem
Op een maandag ziet mijn siem er wat drukker uit
Verder vind ik het afhangen van wie het gaat gebruiken. Splunk ben ik als analyst wel fan van, zoeken gaat mij best makkelijk af. Wat minder skilled, zou ik kiezen voor Defender/Sentinel. Dat is ook wel een deep dive maar denk dat je daar makkelijker mee start als junior SOC analyst.
Verder vind ik het afhangen van wie het gaat gebruiken. Splunk ben ik als analyst wel fan van, zoeken gaat mij best makkelijk af. Wat minder skilled, zou ik kiezen voor Defender/Sentinel. Dat is ook wel een deep dive maar denk dat je daar makkelijker mee start als junior SOC analyst.
29-04-2024, 11:04 door
Anoniem
De vraag is te algemeen om er goed antwoord op te kunnen geven. Wat bijvoorbeeld goed is om te weten:
- hoe ziet je kantooromgeving eruit (qua technologie stack: Windows/Linux/Mac)?
- zijn er nog servers (hoeveelheid / functie)?
- wat bedoel je precies met 'internetomgevingen'?
- hoeveel medewerkers?
- alles on-prem of ook in de cloud? Nog SaaS omgevingen die in scope zijn?
- heb je een eigen security team dat tijd heeft voor monitoring en incident response?
- budget? ;-)
Er zijn legio (deel)oplossingen. Wat in mijn ogen heel belangrijk is: hoe volwassen is de interne (security/IT) organisatie? Wat heb je al aan security oplossingen draaien in je omgeving?
Staat de organisatie open om een deel, of alles, qua security monitoring uit te bestede aan een extern SOC / MDR dienstverlener?
Etc.
- hoe ziet je kantooromgeving eruit (qua technologie stack: Windows/Linux/Mac)?
- zijn er nog servers (hoeveelheid / functie)?
- wat bedoel je precies met 'internetomgevingen'?
- hoeveel medewerkers?
- alles on-prem of ook in de cloud? Nog SaaS omgevingen die in scope zijn?
- heb je een eigen security team dat tijd heeft voor monitoring en incident response?
- budget? ;-)
Er zijn legio (deel)oplossingen. Wat in mijn ogen heel belangrijk is: hoe volwassen is de interne (security/IT) organisatie? Wat heb je al aan security oplossingen draaien in je omgeving?
Staat de organisatie open om een deel, of alles, qua security monitoring uit te bestede aan een extern SOC / MDR dienstverlener?
Etc.
29-04-2024, 18:25 door
Anoniem
Uitbesteden naar mijn ervaring levert slechte resultaten: je omgeving wordt bekeken door junior-junior analisten die geen flauw benul hebben van wat er gebeurt. Threat hunting? Nooit van gehoord (bij hun dan).
Zelf gebruik ik OPNsense met Suricata/Zenarmor, Wazuh en checkmk en hostids op alle machines.
Zelf gebruik ik OPNsense met Suricata/Zenarmor, Wazuh en checkmk en hostids op alle machines.
29-04-2024, 21:25 door
Anoniem
Als je geld te spenderen hebt, Splunk of MS Sentinel. Als je tijd hebt en geen geld voor licenties, Wazuh.
30-04-2024, 07:51 door
Anoniem
Door Anoniem: Uitbesteden naar mijn ervaring levert slechte resultaten: je omgeving wordt bekeken door junior-junior analisten die geen flauw benul hebben van wat er gebeurt.
Prima start voor een junios analyst. Threat hunting? Nooit van gehoord (bij hun dan).
Was dus geen onderdeel van de uitbesteding?Zelf gebruik ik OPNsense met Suricata/Zenarmor, Wazuh en checkmk en hostids op alle machines.
Leuk spul (gebruik het ook voor een gedeelte), maar is natuurlijk niet echt Enterprise, maar leuk voor de hobbyist. .
30-04-2024, 11:56 door
Anoniem
Ligt heel erg aan je omgeving. Welke agents je hebt draaien en hoe je alle data wil weergeven en correlate.
Nu volop aan het testen met Defender/S1/Exabeam.
SentinelOne met hun Singularity XDR platform begint ook aardig compleet te worden.
Exabeam sinds 2 wk pas op het nieuwste platform is even bekijken wat de extra tooling waard is.
Nu volop aan het testen met Defender/S1/Exabeam.
SentinelOne met hun Singularity XDR platform begint ook aardig compleet te worden.
Exabeam sinds 2 wk pas op het nieuwste platform is even bekijken wat de extra tooling waard is.
30-04-2024, 12:28 door
Anoniem
Door Anoniem:
Door Anoniem: Uitbesteden naar mijn ervaring levert slechte resultaten: je omgeving wordt bekeken door junior-junior analisten die geen flauw benul hebben van wat er gebeurt.
Prima start voor een junios analyst. Alleen als die begeleid worden. Dat is meestal niet het geval en zie: source en destination worden omgedraaid, protocollen niet begrepen en de klant mag dan corrigeren. Daar betaal je geen ton per jaar voor.
Threat hunting? Nooit van gehoord (bij hun dan).
Was dus geen onderdeel van de uitbesteding?Zeker wel.
Zelf gebruik ik OPNsense met Suricata/Zenarmor, Wazuh en checkmk en hostids op alle machines.
Leuk spul (gebruik het ook voor een gedeelte), maar is natuurlijk niet echt Enterprise, maar leuk voor de hobbyist. .Jij wil een kleine onderneming (van zeg 1 tot 25 werknemers) ‘professioneel spul’ laten betalen? Heb je wel eens gezien wat het kost en bedacht dat het niet op te brengen is? Zelfs de grotere mkb ondernemingen kunnen de woeker tarieven niet betalen nog afgezien van de meuk die wordt geleverd door bedende bedrijven. Ik breng even Palo Alto, Cisco, Juniper, Fortigate in herinnering met hun lekke VPN’s en verdere ellende. Dan doet OPNsense het stukken beter (en ja, ook daar kun je professionele services bij afnemen).
30-04-2024, 12:43 door
Anoniem
Door Anoniem:
Alleen als die begeleid worden. Dat is meestal niet het geval en zie: source en destination worden omgedraaid, protocollen niet begrepen en de klant mag dan corrigeren. Daar betaal je geen ton per jaar voor.
Correct.Door Anoniem:
Door Anoniem: Uitbesteden naar mijn ervaring levert slechte resultaten: je omgeving wordt bekeken door junior-junior analisten die geen flauw benul hebben van wat er gebeurt.
Prima start voor een junios analyst. Alleen als die begeleid worden. Dat is meestal niet het geval en zie: source en destination worden omgedraaid, protocollen niet begrepen en de klant mag dan corrigeren. Daar betaal je geen ton per jaar voor.
Threat hunting? Nooit van gehoord (bij hun dan).
Was dus geen onderdeel van de uitbesteding?Zeker wel.
Zelf gebruik ik OPNsense met Suricata/Zenarmor, Wazuh en checkmk en hostids op alle machines.
Leuk spul (gebruik het ook voor een gedeelte), maar is natuurlijk niet echt Enterprise, maar leuk voor de hobbyist. .Jij wil een kleine onderneming (van zeg 1 tot 25 werknemers) ‘professioneel spul’ laten betalen? Heb je wel eens gezien wat het kost en bedacht dat het niet op te brengen is? Zelfs de grotere mkb ondernemingen kunnen de woeker tarieven niet betalen nog afgezien van de meuk die wordt geleverd door bedende bedrijven. Ik breng even Palo Alto, Cisco, Juniper, Fortigate in herinnering met hun lekke VPN’s en verdere ellende. Dan doet OPNsense het stukken beter (en ja, ook daar kun je professionele services bij afnemen).
Ik wil de OPNSense VPN, niet in dezelfde categorie hangen als je genoemde merken. De feature set komt niet in de buurt van die leveranciers en is dus ook niet te vergelijken. Wat weer voor en nadelen heeft tov je genoemde merken.
Ik gebruik trouwens zelf ook gewoon OPNSense.
30-04-2024, 14:36 door
Anoniem
Door Anoniem:
Zeker wel.Staat er dan nog steeds los van, want ergens is er dan in afspraken, contracten iets goed mis gegaan aan beide kanten.
Jij wil een kleine onderneming (van zeg 1 tot 25 werknemers) ‘professioneel spul’ laten betalen? Heb je wel eens gezien wat het kost en bedacht dat het niet op te brengen is? Zelfs de grotere mkb ondernemingen kunnen de woeker tarieven niet betalen nog afgezien van de meuk die wordt geleverd door bedende bedrijven. Ik breng even Palo Alto, Cisco, Juniper, Fortigate in herinnering met hun lekke VPN’s en verdere ellende. Dan doet OPNsense het stukken beter (en ja, ook daar kun je professionele services bij afnemen).Meestal hebben die geen SIEM.
Ik wil de OPNSense VPN, niet in dezelfde categorie hangen als je genoemde merken. De feature set komt niet in de buurt van die leveranciers en is dus ook niet te vergelijken. Wat weer voor en nadelen heeft tov je genoemde merken.
Ik gebruik trouwens zelf ook gewoon OPNSense.
Door Anoniem:
Alleen als die begeleid worden. Dat is meestal niet het geval en zie: source en destination worden omgedraaid, protocollen niet begrepen en de klant mag dan corrigeren. Daar betaal je geen ton per jaar voor.
Correct.Door Anoniem:
Door Anoniem: Uitbesteden naar mijn ervaring levert slechte resultaten: je omgeving wordt bekeken door junior-junior analisten die geen flauw benul hebben van wat er gebeurt.
Prima start voor een junios analyst. Alleen als die begeleid worden. Dat is meestal niet het geval en zie: source en destination worden omgedraaid, protocollen niet begrepen en de klant mag dan corrigeren. Daar betaal je geen ton per jaar voor.
Threat hunting? Nooit van gehoord (bij hun dan).
Was dus geen onderdeel van de uitbesteding?Zeker wel.
Zelf gebruik ik OPNsense met Suricata/Zenarmor, Wazuh en checkmk en hostids op alle machines.
Leuk spul (gebruik het ook voor een gedeelte), maar is natuurlijk niet echt Enterprise, maar leuk voor de hobbyist. .Jij wil een kleine onderneming (van zeg 1 tot 25 werknemers) ‘professioneel spul’ laten betalen? Heb je wel eens gezien wat het kost en bedacht dat het niet op te brengen is? Zelfs de grotere mkb ondernemingen kunnen de woeker tarieven niet betalen nog afgezien van de meuk die wordt geleverd door bedende bedrijven. Ik breng even Palo Alto, Cisco, Juniper, Fortigate in herinnering met hun lekke VPN’s en verdere ellende. Dan doet OPNsense het stukken beter (en ja, ook daar kun je professionele services bij afnemen).
Ik wil de OPNSense VPN, niet in dezelfde categorie hangen als je genoemde merken. De feature set komt niet in de buurt van die leveranciers en is dus ook niet te vergelijken. Wat weer voor en nadelen heeft tov je genoemde merken.
Ik gebruik trouwens zelf ook gewoon OPNSense.
Niets misgegaan met het contract, maar niet geleverd wat werd beloofd. Hoezo is de feature set niet in dezelfde categorie? `je bedoelt minder kwetsbaar en zonder de backdoors? En hoezo hebben kleine ondernemingen geen SIEM (nodig), het is in ieder geval wel de dienst die ik lever.
01-05-2024, 09:57 door
Anoniem
Hallo,
Wellicht ook interessant,
- https://securityonionsolutions.com/software
- https://www.elastic.co/
Wellicht ook interessant,
- https://securityonionsolutions.com/software
- https://www.elastic.co/
01-05-2024, 16:49 door
Anoniem
Door Anoniem: Hallo,
Wellicht ook interessant,
- https://securityonionsolutions.com/software
- https://www.elastic.co/
Wellicht ook interessant,
- https://securityonionsolutions.com/software
- https://www.elastic.co/
SecurityOnion (IDS) erg interessant v.w.b. Elastic: https://www.elastic.co/security heeft ook SIEM en andere security tooling maar met name... is voor een heel groot gedeelte open source.
Een belangrijk onderdeel van je security landscape; Vulnerability Management https://www.greenbone.net/ of als je een kleine organisatie bent https://www.qualys.com/community-edition/
01-05-2024, 20:50 door
Anoniem
thuis heb ik een forti draaien..
05-05-2024, 09:16 door
Anoniem
Wij gebruiken vaak bij Microsoft 365 omgevingen de Microsoft Defender oplossingen (Defender for Endpoint, Office 365, Identity, etc), deze wordt meestal gekozen omdat de klanten ook vaak deze licenties al hebben, een third party product zou dus extra kosten genereren terwijl de licenties voor deze producten er al zijn.
SIEM oplossing wordt vaak gekozen voor Microsoft Sentinel, met Azure Lighthouse gezorgd voor multi-tenant beheer, wat goed samenwerkt met de Microsoft Defender oplossingen.
De ervaringen zijn goed, maar alle producten die ik ken hebben zijn voor- en nadelen, geen enkel product is perfect, dus ook deze oplossing niet, maar we kunnen er aardig veel mee bereiken en goed onderzoek doen.
Betreft wel vaak Microsoft omgevingen waar we dit inzetten.
SIEM oplossing wordt vaak gekozen voor Microsoft Sentinel, met Azure Lighthouse gezorgd voor multi-tenant beheer, wat goed samenwerkt met de Microsoft Defender oplossingen.
De ervaringen zijn goed, maar alle producten die ik ken hebben zijn voor- en nadelen, geen enkel product is perfect, dus ook deze oplossing niet, maar we kunnen er aardig veel mee bereiken en goed onderzoek doen.
Betreft wel vaak Microsoft omgevingen waar we dit inzetten.
05-05-2024, 19:04 door
Anoniem
Een bergje data collector servers voor het ontvangen van data.
Een bergje data indexers om de data makkelijk doorzoekbaar te maken.
Alerting, investigation en enrichment engines.
Web fronted voor investigations.
In het SIEM, een berg use-cases gekoppeld aan playbooks die voor de alerts etc zorgen.
Rond de 4000 assets geconfigureerd. Voornamelijk Linux servers en een paar honderd Windows servers.
M/EDR voor de werkplekken.
Dagelijks 2 analysts voor de eventuele meldingen.
We doen threat hunting voor eventuele gemiste dingen
Dedicated experts in dienst die alles laten lopen.
Veel processen beschreven om alles in en om het Siem te beheren.
Dagelijks, wekelijks en maandelijkse rapportages
Dashboards voor op SOC schermen.
Alles kan ook remote.
Budget? Ja, zo veel we nodig hebben. Groeit het bedrijf, groeit het SIEM mee.
Een bergje data indexers om de data makkelijk doorzoekbaar te maken.
Alerting, investigation en enrichment engines.
Web fronted voor investigations.
In het SIEM, een berg use-cases gekoppeld aan playbooks die voor de alerts etc zorgen.
Rond de 4000 assets geconfigureerd. Voornamelijk Linux servers en een paar honderd Windows servers.
M/EDR voor de werkplekken.
Dagelijks 2 analysts voor de eventuele meldingen.
We doen threat hunting voor eventuele gemiste dingen
Dedicated experts in dienst die alles laten lopen.
Veel processen beschreven om alles in en om het Siem te beheren.
Dagelijks, wekelijks en maandelijkse rapportages
Dashboards voor op SOC schermen.
Alles kan ook remote.
Budget? Ja, zo veel we nodig hebben. Groeit het bedrijf, groeit het SIEM mee.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
