Als je een keuze moet maken voor een Security Information & Event Management (verder SIEM-)oplossing, is het niet eenvoudig de juiste te kiezen. Er is niet één SIEM-tool dat voldoet aan alle eisen van iedere organisatie!

Waarom heb je überhaupt een SIEM-tool nodig?

Daarvoor kunnen verschillende redenen zijn. Zo speelt de  wet- en regelgeving van het land waarin je actief bent, een belangrijke rol. Het kan ook zijn dat je organisatie zich bewust is van de mogelijkheden die de SIEM-tool biedt om controle te krijgen over je IT-assets.

Log-managementoplossing

Wil je slechts een centrale oplossing hebben voor je log-informatie? Overweeg dan een log-managementoplossing in plaats van een volwaardige SIEM-oplossing. Een log-managementoplossing biedt een aantal voordelen, waaronder de relatief lage aanschaf- en inrichtingskosten. Een SIEM-oplossing is kostbaar, zowel in aanschaf, licenties als in onderhoud. Als open-source-oplossingen je meer aanspreken, overweeg dan oplossingen als Elastic Stack, Kibana of Graylog.

Productselectie

Terug naar de keuze voor een SIEM-oplossing. Hoe selecteer je het juiste product? Hoe moet je starten, wie biedt dit soort oplossingen aan? Gartner biedt hiervoor een goed startpunt. Zij publiceren jaarlijks zogenaamde Magic Quadrants voor diverse IT-aandachtsgebieden, waaronder ook de categorie SIEM-oplossingen.

In de Magic Quadrants kun je zien wie er op SIEM-gebied op de (internationale) markt actief is. Staar je niet blind op de precieze positionering in de grafiek, je kunt ervan uitgaan dat de producten in de rechterbovenhoek voldoen aan de (meest) voorkomende eisen.

Eisen & wensen

De hamvraag is: hoe bepaal je welke tool het best past bij jouw organisatie? Dit heeft te maken met je eisen en wensen. Een aantal punten zal direct duidelijk zijn, want deze komen uit de compliancy & wet- en regelgeving. Denk hierbij bijvoorbeeld aan de wet Datalekken en de recent ingevoerde GDPR-wetgeving. Dit zijn echter niet de enige eisen die je moet stellen aan een SIEM-tool. Zo moet je ook functionele en technische eisen en wensen definiëren.

De vraag is: hoe begin je hieraan en zorg je ervoor dat deze lijst niet eindeloos wordt? Een goede start is het onderscheiden van categorieën, die je belangrijk vindt voor de SIEM-oplossing. Denk bijvoorbeeld aan de gebruikersinterface. Moet deze web-gebaseerd zijn of vind je het niet erg dat er lokaal software moet worden geïnstalleerd? Deze lijn kun je dan doorzetten naar eisen en wensen ten aanzien van log-management, opslag- en bewaarperiode, wetgeving, rapportering & dashboards en de gebruikerservaring.

Om lijn te krijgen in al deze selectiecriteria adviseren wij te beginnen met de eisen op het vlak van compliancy, wet- en regelgeving. Dit geeft een mooie kickstart. Neem als voorbeeld opslag- en databewaartermijnen. Het komt voor dat data minimaal een jaar (of langer) moeten worden bewaard. Dan kun je een SIEM-oplossing kopen met heel veel opslagruimte. Echter, de kosten lopen dan snel op als je deze informatie allemaal in de SIEM-oplossing opslaat.

Eenduidig formuleren

Probeer een afweging te maken welk type opslag voor welk type informatie geschikt is. Wellicht kun je voor “oudere” data prima kiezen voor goedkopere, tragere of off-line-opties. Gebruik bij het formuleren van je eisen en wensen een standaard-format: “Ik wil <als type gebruiker>, dat ik <functionele-, technische eisen>, om <bepaald doel of eis>”. Door deze eenduidige formulering maak je het voor alle betrokkenen gemakkelijk om eisen en wensen in te vullen.

Belanghebbenden

Wellicht maken meerdere afdelingen straks gebruik van de SIEM-oplossing. Naast het SOC kunnen bijvoorbeeld ook de Compliancy of Auditing afdelingen eisen dat zij toegang krijgen en bepaalde taken moeten kunnen uitvoeren.

Conclusie

Kijk er niet raar van op dat uit het inventarisatieproces tientallen eisen en wensen voortvloeien, sommige wat realistischer dan andere. Het is zelfs mogelijk dat deze elkaar juist goed versterken of zelfs overbodig maken. Ons belangrijkste advies: neem de tijd en ga met alle relevante stakeholders bij elkaar zitten. Brainstorm erop los met zowel de technische als functionele gebruikers en alle betrokken afdelingen (zoals Legal en Inkoop). Goede afstemming aan de voorkant zorgt er namelijk voor dat je een SIEM-oplossing voor lange tijd kunt gebruiken. Heb je hulp nodig bij het selecteren van je toekomstige SIEM-oplossing, weet dan dat de consultants van Navaio je hierbij graag helpen. Ook bij het begeleiden van SOC-aanbestedingen bieden we graag de helpende hand.