Weblogbericht | 02-02-2023 | NCSC

Hoe lang heeft het migratietraject geduurd?

Fred: Het migratietraject heeft niet een duidelijk eindpunt. Het is een on-going process. Dat komt omdat het geen één op één migratie is. De migratie heeft verschillende componenten. Een deel van het werk zit in het afhandelen van de out-of-the-box¹ meldingen. En een deel van het werk zit in de eigen use cases die we naar de cloudomgeving hebben omgezet.

Frank: Als ik er een tijdsduur aan moet geven, dan heeft het ongeveer een jaar geduurd. Het is echter geen één-op-één migratie, maar een proces wat door blijft gaan. Ik vergelijk het met een ecosysteem dat je bouwt waarbij je continu nieuwe detectieregels of nieuwe use cases moet maken.

Een product dat rechtstreeks van de leverancier komt en onmiddellijk werkt wanneer het product in gebruik wordt genomen. In de context van software zijn out-of-the-box features en functionaliteiten standaard beschikbaar voor alle gebruikers en vereisen ze geen aanpassing, wijziging, configuratie, scripting, add-ons, modules, tools van derden of extra kosten om te worden gebruikt. Het zijn kant-en-klare (ingebouwde) oplossingen.

[1] Een product dat rechtstreeks van de leverancier komt en onmiddellijk werkt wanneer het product in gebruik wordt genomen. In de context van software zijn out-of-the-box features en functionaliteiten standaard beschikbaar voor alle gebruikers en vereisen ze geen aanpassing, wijziging, configuratie, scripting, add-ons, modules, tools van derden of extra kosten om te worden gebruikt. Het zijn kant-en-klare (ingebouwde) oplossingen.

Hoe hebben jullie de overstap gemaakt van het oude naar het nieuwe SIEM in de cloud?

Fred: Wij werken in een hybride omgeving waarin we zowel de on-premise omgeving als het cloud SIEM hebben draaien. Op die manier kunnen we alles zorgvuldig omzetten. We hebben het SIEM uitgebreid door per sprint 1 of 2 datasources toe te voegen. Wat wel belangrijk is, is dat er op een gegeven moment een keuze moet worden gemaakt waarin wordt gezegd, ‘Dit gaan we nog doen en dan de-commissionen we die on-premise omgeving’. Anders kom je nooit van je on-premise omgeving af.

Frank: Wij hebben de migratie parallel opgebouwd, waarbij we een cloud SIEM naast het oude SIEM hadden. Op het moment dat het nieuwe SIEM goed functioneerde, en de use cases en detectie rules goed waren ingericht, hebben we het oude SIEM uitgezet.

Is er een framework of methode gebruikt om de overstap te faciliteren?

Fred: Wij hebben het Mitre Att&ck framework gebruikt. Onze oude use cases waren gebaseerd op de Cyber Kill Chain. Het Mitre Att&ck framework is daar eigenlijk een variant op, maar dan iets complexer en uitgebreider.

In de cyber kill chain hadden we een aantal use cases gedefinieerd. Die zijn we een op een over gaan zetten. Vervolgens hebben we parallel daaraan gebruik gemaakt van het Mitre framework. In het Mitre Att&ck framework markeren we de use case en kijken we ook of ons Red Team in staat is om dit te testen.

Frank: Wij hebben ook het Mitre Att&ck framework gebruikt. Hiermee kijken we bijvoorbeeld of we detectie missen op bepaalde fases of technieken. Daar kunnen we dan makkelijk nieuwe detectieregels voor maken. Daarnaast hebben wij een jaarlijkse dreigingsradar. Hiermee wordt het dreigingslandschap geschetst. Met de migratie naar SIEM in de cloud hebben we de laatste versie van de radar gebruikt om bijvoorbeeld nieuwe relevante logbronnen aan te sluiten.

Hoe hebben jullie de nieuwe SIEM ingericht? Waar begint dat mee?

Bert-Jan: Wij zijn begonnen ons landschap in kaart brengen. We zijn gaan kijken naar de use cases; welke heb je, welke worden door de leverancier aangeboden, en welke koppel je aan elkaar. Dit helpt om inzicht te krijgen. Begin in ieder geval niet met het één-op-één omzetten van je use cases zonder eerst inzicht te krijgen.

Daarnaast hebben we vooraf een lijst gemaakt met wat de eisen zijn die we minimaal willen hebben. Ook hebben we een lijst gemaakt met de databronnen die we er minimaal in willen hebben.

Vervolgens hebben we voor iedere databron bepaald wat we daarvoor moeten overzetten. Bijvoorbeeld om enkele logs over te zetten, een use case maken, een dashboard inregelen, of rapportages sturen naar onszelf of externe klanten.

Bij het overzetten van bronnen moet je wel opletten dat sommige databronnen maar naar één systeem kunnen praten. Als dat het geval is dan moet je echt bron per bron gaan omzetten. En dat brengt uitdagingen met zich mee. 

Kan je daar voorbeelden van geven?

Bert-Jan: Een voorbeeld is dat veel berichten die we verstuurd hebben een te grote syslog message hebben. Dat houdt in dat je vanuit de configuratie je syslog moet aanpassen om ervoor te zorgen dat je het volledige bericht binnenkrijgt. Een ander voorbeeld, is dat niet alle parsers standaard correct werken. Let hierop en pas ze aan, of schrijf een nieuwe parser.

Zou je dit hetzelfde aanpakken als je opnieuw kon beginnen?

Bert-Jan: Ik zou het deels anders hebben aangepakt. Het overzetten van de data zou ik op dezelfde manier doen. Maar een volgende keer zou ik eerst een volledige datastroom 100% afmaken voordat ik naar de volgende ga. Dus eerst de use case, de data, het workbook, en het rapport hebben, voordat ik naar de volgende databron ga.

Frank: Onze basis komt voort uit de dreigingen die op onze dreigingsradar staan. Deze 14 dreigingen hebben we gebruikt als use cases. Vervolgens hebben we de use cases ingedeeld in drie levels. Level 1, 2 en 3. De levels bouwen op; bij level 3 krijg je de details waarbij je eigenlijk op elke log een waarschuwing kan krijgen. Dat bouwt op tot een level 2: combinatie van triggers. En als er echt iets aan de hand is, dan wordt het een level 1. Dan hebben we te maken met een incident.

Ook hebben we de 14 dreigingen van de radar geplot op de detectieregels. De flexibiliteit van een cloud SIEM geeft ons de mogelijkheid om gemakkelijk detectieregels toe te voegen in een grote bibliotheek waarin ze continu actief blijven. Hetgeen wat je toevoegt draait meteen mee in die hele cycle als de log binnenkomt, en daar worden gelijk de detectieregels op geplot.

Zijn er maatregelen genomen om te voorkomen dat je alerts mist op het moment dat je bronnen ging omschakelen naar het nieuwe SIEM?

Frank: Ja, zeker. Om dit risico te verminderen hebben wij een soort verhoogde dijkbewaking ingericht. Dat hebben we gedaan door additionele forensics in te zetten. Aan het begin van je cloud SIEM is er nog geen historische data. Daarom moet je anders naar je data kijken. Wij hebben als ‘verhoogde dijkbewaking’ de detectieregels gebruikt om afwijkingen van het normaal te kunnen zien.

Wat zijn jullie ervaringen met het migratietraject?

Fred: Over het algemeen goed. Omdat we bij dezelfde leverancier diensten afnemen, werkt alles goed met elkaar samen. Hierdoor was de migratie relatief gemakkelijk. Maar er zijn natuurlijk ook zaken waar je goed op moet letten.

Bert-Jan: Tijdens het traject waren er positieve en negatieve dingen. Als team zijn er zaken die we anders hadden kunnen doen, maar er zijn ook veel dingen waar we positief verrast over zijn. Over het algemeen zijn we erg blij dat we de migratie gemaakt hebben en merken dat terug in de SOC-processen. We hebben nu bijvoorbeeld meer functionaliteiten en de beheerlast is omlaag gegaan.

Frank: Wij zijn ook erg tevreden. Natuurlijk komen er praktische uitdagingen op je pad die je op voorhand niet had verwacht. Het migratietraject duurt nou eenmaal lang, maar je hebt er veel profijt van zoals Bert-Jan aangeeft.

Dit is het einde van deel 2 Volgende week vervolgen we het gesprek met Fred, Bert-Jan en Frank. In het laatste deel van deze 3-delige blog worden de 8 lessons learned van het migratietraject naar SIEM in de cloud besproken.