Ja, het leven van een SOC engineer kan vreselijk saai zijn; logs lezen, analyses maken, rapporteren, updaten, infosec literatuur bijhouden, alarmen bekijken, events classificeren. Van onze SIEM’s krijgen wij een enorme bulk aan gegevens en het is een hele klus om al die data zo te rangschikken en correleren dat er ook daadwerkelijk zinnige informatie uitkomt. Gelukkig doet ons AlienVault SIEM voor ons veel van het werk. Zo worden events keurig gecategoriseerd naar type en kwaadaardigheid en worden verschillende events aan elkaar gecorreleerd zodat een beeld ontstaat wat er op het netwerk aan de gang is.
Onze klanten hebben de mogelijkheid om zelf te kijken op het SIEM, maar doen dat niet heel veel; er is nog behoorlijk wat kennis nodig van security om de dingen die het SIEM laat zien ook op waarde te kunnen inschatten. Juist daarom hebben wij een SOC – onze engineers kijken en analyseren welke data in het SIEM van belang is en wat er mogelijk mee gedaan moet gaan worden. Vanzelfsprekend rapporteren onze engineers dat aan de betreffende klanten.
Onlangs bleek dat een klant een bezoeker toestemming had gegeven om zijn laptop aan het productie netwerk te hangen. Deze laptop bleek geïnfecteerd met malware. Deze malware begon op het netwerk rond te kijken welke andere host er besmet kon gaan worden. Op ons SIEM gingen de alarmbellen meteen af en de dienstdoende engineer besloot onverwijld de klant op de hoogte te stellen.
Gelukkig bleek de schade mee te vallen: andere hosts hadden voldoende en goede maatregelen genomen tegen mogelijke besmetting en het productienetwerk was behoorlijk gesegmenteerd. Samen met de hulp van de SOC engineer werd de situatie snel onder controle gebracht. Natuurlijk is zoiets schrikken, maar de toegevoegde waarde van SIEM en SOC was wel meteen duidelijk.
Werken op een SOC saai? Mwha, ik vind het eigenlijk wel meevallen.
"*" indicates required fields
