SIEM/SOC Testing

Uw uitdagingen

• Hoe ervoor te zorgen dat uw monitoring- en detectiesystemen serieuze bedreigingen detecteren
• Hoe u het aantal valse positieven kunt verminderen, zodat echte bedreigingen niet over het hoofd worden gezien
• De juiste balans vinden tussen gevoeligheid (elke mogelijke bedreiging detecteren) en specificiteit (valse alarmen voorkomen)

Hoe wij u ondersteunen

Detectie gebruikt use cases om relevante afwijkingen te vinden. Een use case kan zijn: 'waarschuw ons wanneer een grote hoeveelheid gegevens buiten kantooruren wordt overgedragen'. Deze regels zijn bedoeld om gedrag van aanvallers te detecteren.

De Red Team-leden en pentesters van Secura weten precies hoe ze dit gedrag moeten nabootsen. Om uw capaciteiten te testen, voeren onze experts één voor één use cases uit. Samen met uw team of het team van uw provider controleren onze experts of de alerts op de juiste manier worden geactiveerd. Elke ontbrekende alert wordt in detail geanalyseerd en indien mogelijk wordt de hoofdoorzaak vastgesteld.

Om use cases te triggeren, simuleert Secura een security event in uw netwerk, meestal zonder de activiteit uit te voeren die normaal gesproken dat event zou veroorzaken. Bijvoorbeeld door attack signatures over het netwerk te sturen of door verdachte acties op servers uit te voeren.

Voorbeeld: 70% van TTP's gemist

Secura voerde een SIEM/SOC-test uit bij een klant in de publieke sector. Zij gebruiken een externe detectiepartij en namen contact met ons op omdat ze het gevoel hadden dat ze events en alerts misten.

Onze experts voerden ongeveer 10 high-level use cases uit in een interactieve sessie, door de bijbehorende beveiligingsevents en tientallen tactieken, technieken en procedures (TTP's) te simuleren.

In dit geval ontdekten onze experts dat slechts 30% van de TTP's die onder de use cases vielen daadwerkelijk werden gedetecteerd, ook al werden de gerelateerde beveiligingsevents correct geregistreerd. Veel kritieke TTP's werden niet gedetecteerd, zoals laterale beweging, AD hash dumping, privilege-escalatie en EDR/MDR deactivatie.

Tijdens analysesessies konden we samen met het SOC-team (veel van) de problemen lokaliseren en oplossen. Een heronderzoek bevestigde dat de problemen inderdaad correct waren opgelost en dat de detectiecapaciteit drastisch was verbeterd.