Stage: Implementatie SIEM-oplossing

Implementatie SIEM-oplossing

De organisatie zal aankomend jaar grote focus leggen op het centraliseren van dashboards en weergaven. Voor de groep van Security is het uitermate relevant tijdig op afwijkend gebruikers en systeemgedrag te kunnen reageren. Een van deze onderdelen waar meer/beter weergave nodig is gaat over inzicht in aanmeldgegevens en andere gebruikersactiviteiten.

Microsoft heeft enige tijd terug zijn product Sentinel uit de Preview-fase gehaald. Aangezien dit daarmee een inzetbaar product is willen we dit gaan inzetten voor SIEM-activiteiten. Er zal echter wel nodige activiteit moeten plaatsvinden om correcte en tijdige monitoring te kunnen borgen even als correcte informatieverwerking en -vernietiging. Aangezien wij met “één template voor het MKB” werken zal het niet gaan om een eenmalige inrichting maar een herhaalbaar proces.

Opdracht:

• Creatie van een template Sentinel-implementatie voor Ormer ICT (en herhaalbaar voor klanten)
• Creatie van een basisset aan logactiviteiten en incidentmeldingen/analyses
• Aansluiten van reeds aanwezige gegevensbronnen (Azure Apps en VMs / Office 365 / on-premises serverlogboeken / Barracuda firewalls)
• Beschrijving inrichting custom dashboards (vb. o.b.v. Aerohive/Extreme Networks AccessPoint authenticatie-logboeken)

Uitgangspunten:

• Opdrachtgever kan/wil geen broncode onderhouden
• alle configuratiewijzigingen achteraf moeten gedaan kunnen worden door niet-technische medewerkers
• alle platformwijzigingen (aanpassing functie van de tooling achteraf) valt buiten deze opdracht
• Alle informatie zal opgeslagen worden in LogAnalytics
• Enige gebruikte dashboard zal Azure Sentinel zijn