Tools die helpen je security monitoring centre op te bouwen

Dit is blog 3 in een serie van 4 die gaat over security management

5
 min read  |  
18/11/2022
 |  
Business critical applications

MFA instellen, als organisatie je secure score meten en nog veel meer. Het is belangrijk om kwetsbaarheden te monitoren, te blijven acteren en voorop te lopen. Maar waarom doe je dat? Vanuit welke visie? Welke tooling helpt je daar dan bij? En hoe breng je meetpunten samen in een security ISO dashboard? Hendrik neemt je in deze blog mee door o.a. het NIST Framework, Microsoft Defender for Cloud en Azure Sentinel. Let’s go.

Het NIST Framework

Waar procedures gevolgd worden, worden frameworks ingezet toch? Een houvast en een best practice. Zo ook voor security management. Het Cybersecurity NIST framework is een van de meestgebruikte en herkenbare, daarom lichten we deze graag nog even kort toe. In bovenstaande link vind je onder andere ook een bestand voor het invullen van je asset management en een online learning. Doe er je voordeel mee!  

Bron: NIST.gov
  1. Identify

Hier kijken we naar de governance, risk management, business enviornment en je asset management. Hoe moet je anders weten waar je op moet letten tijdens de ‘protect’ fase?  

  1. Protect

In fase twee gaat het om Data Security, awareness & training, maintenance en protective technology. Hoe zorgen we er samen voor dat we zo goed mogelijk onze data beschermen en risico’s beperken? Onder andere door het instellen van MFA kun je voorzorgsmaatregelen nemen. Meer via Het belang van MFA – waarom je dat in 2022 echt ingesteld moet hebben.

  1. Detect

Dit betreft anomalies & events, continuous security monitoring en detection process. Dat betekent niets anders als dat we op tijd weten welke kwetsbaarheden en risico’s er zijn. O.a. met onze monitoring via Azure Secure score weten we waar we op moeten letten. Meer via Waarom het monitoren van de secure score onderdeel zou moeten zijn van je security management.

  1. Respond

It’s all in the detail zeggen ze weleens. Maar soms zijn die details nog niet beschikbaar. In fase 4 is it all in the response planning, analysis, mitigation en improvements. Dat als een situatie zich voordoet, we weten hoe we moeten handelen vanuit beleid, procedures, het framework en ervaringen.  

  1. Recover

Recovery planning, improvements en communications. Mocht het zo zijn dat er bijvoorbeeld intern of extern een datalek ontstaat, dan weten we hoe we de schade zo beperkt mogelijk kunnen houden en gaan we de procedures uit de eerste vier stappen na. Continuous learning noemen we dat. Voorbeeld via Hoe ga je om met een cyberattack? Het proces en onze lessen op een rij.

Microsoft Defender 365 & Microsoft Defender for Cloud

Wil je meer weten over hoe Microsoft het NIST Framework inzet en waar je allemaal op kunt letten om zo secure mogelijk te zijn? Bekijk dan de volgende papers en volg zelf de best practice. Tipje van de sluier: de standaard dashboards van beide tools geven je direct aan waar je nog acties te doen hebt en hoe je RAG (red/amber/green) rapportage ervoor staat. Meer via National Institute of Standards and Technology (NIST) Cybersecurity Framework (CSF) - Microsoft Compliance | Microsoft Learn.

Bron: Microsoft

Wil je weten of je naast de basics ook je Azure DevOps omgeving zo secure mogelijk kan maken? > NIST Cybersecurity Framework (CSF) - Azure Compliance | Microsoft Learn of lees:  

Bron: Microsoft

OWASP top 10 – secure software development

Security by design noemen we het ook wel. Wij volgen voor secure software development ook wel de standaarden van OWASP Top 10:2021. Het gaat voor deze blog te diep om daar helemaal in te duiken, maar in de toekomst willen we daar graag nog een blog over schrijven in combinatie met bijvoorbeeld een GitHub migratie.  

Een aantal principes waar je sowieso altijd rekening mee kan houden tijdens het ontwikkelen zijn die van het Golden Path:

  • Doing the Things Fast - Principle of Flow
  • Doing the Things Right - Principle of Feedback
  • Doing the Right Things - Principle of Continual Learning and Experimentation
Meer via TeamValue - The Golden Path

En dan horen we je denken... Het framework is toegepast, de Microsoft Defenders draaien en dan? Hoe fijn is het als je de data en inzichten uit al deze systemen in 1 oogopslag kunt zien. Dat scheelt tijd, is overzichtelijk en is ook nog eens real-time. Het inrichten hiervan met bijbehorend risicomanagement doen we met een SIEM. Dat staat voor Security Information and Event Management. Het is een oplossing die organisaties helpt bedreigingen te detecteren, te analyseren en erop te reageren voordat ze bedrijfsactiviteiten schade berokkenen. Lees er meer over via Wat is SIEM? | Microsoft Beveiliging. Een mogelijkheid om je SIEM goed in te richten is Azure Sentinel.  

SIEM – de voordelen van Azure Sentinel  

Azure Sentinel Wat is Microsoft Sentinel? | Microsoft Learn is een totaaloplossing van Microsoft voor het beveiligen van clouddiensten. Het combineert SIEM met SOAR, waardoor Azure Sentinel niet alleen bedreigingen kan signaleren en analyseren, maar er ook op kan reageren in het geval van een dreiging. Het is in onze optiek de ideale combi tyssen SIEM en XDR (Extended Detection and Response).

De voordelen volgens Hendrik? Krijg een overzicht van de hele organisatie met het SIEM-hulpprogramma in de cloud van Microsoft. Voeg beveiligingsgegevens van nagenoeg elke bron samen en gebruik AI om ruis van legitieme gebeurtenissen te onderscheiden. Correleer waarschuwingen in complexe aanvalsketens en versnel de bedreigingsreactie met ingebouwde indeling en automatisering. Zie hieronder een aantal screenshot van wat je achter de schermen kunt verwachten.  

Andere handige leestips:  

Bron: Microsoft
Bron: Microsoft
Waar je zou kunnen starten met Azure Sentinel? Check het hier.

Monitoring dashboard – ISO rapportage

Een volledig dashboard dat je security monitoring doet, kwaliteit van de code bij de bron opzoekt, zowel advies geeft in de ontwikkeling en beheerfase, die je aanbevelingen geeft op basis van best practices en die je ‘SecDevOps of ook wel SoCaaS status’ op een rijtje zet? Dat wil je toch? In de eerste plaats voor de veiligheid. In de tweede plaats voor het behalen of behouden van de ISO-certificering.  

In de vierde en laatste blog van deze serie lichten we toe hoe je tot je securitybeleid komt, welke templates je kunt gebruiken en hoe je vervolgens je secure score blijft monitoren.

Tip van Hendrik: heb je de basics rondom MFA op orde? Monitor je de secure score in Azure? De volgende stap is dan het security framework toe te passen binnen al je Microsoft, Azure en rapportage omgevingen. Mocht je daar eens over willen sparren, voor dit soort topics staat de (digitale) koffie altijd warm.
Meer informatie over deze blog? Kom in contact met de schrijver(s).
Hendrik Middag
Meld je aan voor de nieuwsbrief!
NU AANMELDEN
Background

Join our team!

TeamValue is een jong en snelgroeiend bedrijf met een stevige basis. Wij zijn op zoek naar mensen die IT-skills hebben en het ook tof vinden om bijvoorbeeld workshops te geven. Samen op zoek naar de beste oplossing voor een klant. Daar gaat het ons om!