SOC inrichten

Het inrichten van een SOC en de inbedding in de organisatie en werkprocessen kan complex zijn. Ons advies om een SOC tot een succes te maken is: begin klein, communiceer over resultaten binnen uw organisatie en houd in de gaten dat een SOC een middel is, geen doel op zich.

Wat is een SOC?

In de praktijk monitort een Security Operations Centre de computer- en netwerkactiviteiten in een organisatie. Log-informatie van applicaties en apparaten in het bedrijfsnetwerk wordt verzameld en onderzocht op afwijkende zaken. De log-informatie kan afkomstig zijn van servers, firewalls, webapplicaties, antivirus-software en zelfs van industriële controlesystemen. Het draait dus om relevante informatie over de beveiliging van alle systemen en apparaten. Alle informatie leidt tot inzicht in hoe veilig het netwerk, de systemen en hard- en software functioneert in de organisatie.

Hoe werkt een SOC?

Voor een succesvol werkend SOC moet aan een aantal criteria worden voldaan. Dat gaat om onder meer:

  • een beleid voor informatiebeveiliging met draagvlak door de hele organisatie
  • accuraat overzicht van het applicatielandschap
  • eigenaarschap van informatiesystemen
  • recent uitgevoerde risicoanalyse
  • samenwerking met de ICT-beheerorganisatie

Om log-informatie vanuit verschillende bronnen te interpreteren en de samenhang met wat zich digitaal afspeelt te duiden, kan een Security Information & Event Management-systeem (SIEM) uitkomst bieden.

Naast informatie over systemen, hard- en software en het netwerk, gebruikt een SOC ook ‘threat intelligence’. Dit is informatie over kwetsbaarheden en dreiging in cybersecurity, afkomstig uit andere bronnen. Met deze informatie beoordeelt het SOC gebeurtenissen in systemen en op alle aangesloten apparaten.

Hoe komt een SOC tot stand?

Begin met het monitoren van eenvoudige technische zaken waar de organisatie baat bij heeft, bijvoorbeeld de log-informatie van de Active Directory, firewalls, antivirus-software en webservers. Houd het eenvoudig en beperk de werkzaamheden tot de ICT-afdeling. Monitor alleen puur technische zaken.

Doe ervaring op met monitoren, registreren en afhandelen van incidenten. Ervaring opdoen met het hele proces van monitoren en incidentafhandeling  is in het begin belangrijker dan het monitoren zelf. Bouw de monitoring gecontroleerd uit naar systemen die onderdeel vormen van de primaire bedrijfsprocessen. Maak afspraken met de ICT-afdeling over ICT-werkzaamheden als gevolg van die incidentregistratie. Richt u bij het monitoren niet op het per se willen inrichten van een SOC, maar richt u op wat voor de organisatie belangrijk en zinvol is.

Wat doet het NCSC?

Om te bepalen of een bepaalde gebeurtenis binnen een computernetwerk een bedreiging vormt, kan aanvullende informatie nodig zijn. Deze informatie levert het NCSC in de vorm van ‘indicators of compromise’ (IoC's). Met een IoC kunt u bepalen of bepaalde gebeurtenissen binnen uw netwerk ook door anderen zijn geregistreerd. Dat geeft u handvatten om de gebeurtenis te beoordelen. Het NCSC mag deze informatie alleen leveren aan partijen die tot onze doelgroepen behoren.

Het NCSC deelt kennis over technische en praktische zaken om organisaties bij de rijksoverheid en vitale infrastructuren te ondersteunen vanuit het wettelijke kader. Ook het inrichten van een SOC is zo'n onderwerp. Wilt u meer weten over het inrichten van een SOC? In de factsheet SOC inrichten: begin klein vindt u richtlijnen, tips en aandachtspunten.