SOC inrichten

Wil je zicht houden op de beveiliging van bedrijfsinformatie en digitale dreigingen? Richt dan een Security Operations Center (SOC) in. Het inrichten van een SOC en de inbedding in de organisatie en werkprocessen kan complex zijn. Ons advies om een SOC tot een succes te maken is: begin klein, communiceer over de resultaten binnen uw organisatie en wees ervan bewust dat een SOC een middel is, geen doel op zich.

Wat is een SOC?

In de praktijk monitort een SOC de computer- en netwerkactiviteiten in een organisatie. Loginformatie van applicaties en apparaten in het bedrijfsnetwerk wordt verzameld en onderzocht op afwijkende zaken. De loginformatie kan afkomstig zijn van servers, firewalls, webapplicaties, antivirus-software en zelfs van industriële controlesystemen. Het draait dus om relevante informatie over de beveiliging van alle systemen en apparaten. Alle informatie leidt tot inzicht in hoe veilig het netwerk, de systemen en hard- en software functioneert in de organisatie.

Voor een succesvol werkend SOC moet aan een aantal criteria worden voldaan. Dat gaat om onder meer:

een beleid voor informatiebeveiliging met draagvlak door de hele organisatie
accuraat overzicht van het applicatielandschap
eigenaarschap van informatiesystemen
recent uitgevoerde risicoanalyse
samenwerking met de ICT-beheerorganisatie

Om loginformatie vanuit verschillende bronnen te interpreteren en de samenhang met wat zich digitaal afspeelt te duiden, kan een Security Information & Event Management-systeem (SIEM) uitkomst bieden.

Naast informatie over systemen, hard- en software en het netwerk, gebruikt een SOC ook ‘threat intelligence’. Dit is informatie over kwetsbaarheden en dreiging in cybersecurity, afkomstig uit andere bronnen. Met deze informatie beoordeelt het SOC gebeurtenissen in systemen en op alle aangesloten apparaten.

Begin met het monitoren van eenvoudige technische zaken waar de organisatie baat bij heeft, bijvoorbeeld de log-informatie van de Active Directory, firewalls, antivirus-software en webservers. Houd het eenvoudig en beperk de werkzaamheden tot de ICT-afdeling. Monitor alleen puur technische zaken.

Doe ervaring op met monitoren, registreren en afhandelen van incidenten. Ervaring opdoen met het hele proces van monitoren en incidentafhandeling is in het begin belangrijker dan het monitoren zelf. Bouw de monitoring gecontroleerd uit naar systemen die onderdeel vormen van de primaire bedrijfsprocessen. Maak afspraken met de ICT-afdeling over ICT-werkzaamheden als gevolg van die incidentregistratie. Richt je bij het monitoren niet op het per se willen inrichten van een SOC, maar richt je op wat voor de organisatie belangrijk en zinvol is.

Om te bepalen of een bepaalde gebeurtenis binnen een computernetwerk een bedreiging vormt, kan aanvullende informatie nodig zijn. Deze informatie levert het NCSC in de vorm van ‘indicators of compromise’ (IoC's). Met een IoC kunt u bepalen of bepaalde gebeurtenissen binnen uw netwerk ook door anderen zijn geregistreerd. Dat geeft je handvatten om de gebeurtenis te beoordelen. Het NCSC mag deze informatie alleen leveren aan partijen die tot onze doelgroepen behoren.

Het NCSC deelt kennis over technische en praktische zaken om organisaties bij de rijksoverheid en vitale infrastructuren te ondersteunen vanuit het wettelijke kader. Ook het inrichten van een SOC is zo'n onderwerp. Wil je meer weten over het inrichten van een SOC? In de factsheet 'SOC inrichten: begin klein' vind je richtlijnen, tips en aandachtspunten.

Dit is wat jij kunt doen

Factsheet SOC inrichten: begin klein

Om beschermd en weerbaar te zijn tegen digitale aanvallen, is het nodig om zicht en grip te hebben op de digitale infrastructuur ...

Factsheet | 03-05-2023

SOC inrichten

Wat is een SOC?

Hoe werkt een SOC?

Hoe komt een SOC tot stand?

Wat doet het NCSC?

Dit is wat jij kunt doen

Factsheet SOC inrichten: begin klein

Deel deze pagina