De afgelopen jaren is de term ‘SIEM’ vaak voorbijgekomen in vakgerichte media als hét toverwoord voor het oplossen van veel security vraagstukken. Maar waar staat SIEM eigenlijk voor, en is het wel terecht dat dit wordt gepresenteerd als dé oplossing voor al uw security uitdagingen? En hoe kunt u SIEM gebruiken voor het aanscherpen van uw securitybeleid? 

Wat is SIEM? 

SIEM is echter niet een technologie of oplossing die 'even' geïmplementeerd kan worden, maar een proces dat ervoor zorgt dat relevante informatie uit alle ICT-componenten verzameld, geïnterpreteerd en geanalyseerd wordt. Op basis van deze analyses, kunnen kwetsbaarheden ontdekt worden en aanvallen en verdacht gedrag in een vroeg stadium worden gesignaleerd. Met behulp van intelligente software wordt gekeken of er bijvoorbeeld afwijkende datastromen of patronen zijn waargenomen binnen de organisatie. Als er daadwerkelijk afwijkend gedrag geconstateerd wordt, kunnen er (geautomatiseerde) tegenmaatregelen genomen worden. Het is van belang dat deze maatregelen snel genomen worden, zodat de eventuele schade beperkt blijft.

Hoe start je met SIEM?

Voordat een organisatie klaar is om gebruik te maken van SIEM, zullen zij eerst de onderliggende diensten zoals 'vulnerability management' goed op orde moeten hebben. Met vulnerability management worden IT-kwetsbaarheden van een organisatie in kaart gebracht om deze kwetsbaarheden te managen. Hierbij kun je denken aan zaken als: zijn alle updates van diverse software en hardware geïnstalleerd en voldoen de configuraties van servers en firewalls aan de laatste veiligheidsstandaarden? Als alle kwetsbaarheden in kaart gebracht zijn en er voldoende maatregelen genomen zijn om deze te beperken, dan kan er over nagedacht worden om SIEM te implementeren. Als er geen stabiele security baseline is dan zal een SIEM-implementatie waarschijnlijk mislukken.

​