Microsoft Sentinel ontdekken
Om dit traject uit te voeren was drie maanden uitgetrokken. Immers, hoe moeilijk kon het zijn? Nou, dat viel nog best tegen. Sentinel was nog maar recent gelanceerd en er was verder nog maar weinig ervaring mee. Maar dat Microsoft serieus is met Sentinel blijkt uit het enorme budget dat zij beschikbaar hebben voor ontwikkeling van hun security portfolio. Bijna maandelijks waren er wel verbeteringen en updates.
Op tijd opgeleverd
Dankzij de inzet van een hardwerkend team, het SecOps Team, is het binnen de geplande periode van drie maanden gelukt om een hele degelijke dienst neer te zetten. Het werken met Sentinel kent ondertussen geen geheimen meer voor het team. De dienst is inmiddels uitgebreid met de Defender producten van Microsoft. Vooral incident triage en onderzoek zijn enorm verbeterd dankzij het toepassen van het workbook ‘SOC-analyst dashboard’. Dit workbook is ontwikkeld door een paar slimme collega’s uit het SecOps team. Inmiddels heeft de dienst een eigen naam gekregen: Managed Detection & Response (MDR) en wordt al aan verschillende klanten geleverd. MDR is verkrijgbaar in drie smaken, namelijk Brons, Zilver of Goud.
Continue ontwikkeling
Hoe het nu zit met vernieuwing? Elke klant brengt eigen ideeën en wensen in op het gebied van security monitoring, die meestal als verbetering in de dienst worden opgenomen. Zo zien we vraag uit de markt toenemen voor Netwerk Detectie en Response. Hiertoe is een Proof of Concept (PoC) uitgevoerd met drie leveranciers die een netwerksensor kunnen leveren waarmee wij onze dienst kunnen uitbreiden. Een andere trend is dat klanten steeds vaker verwachten dat Sogeti een security incident niet alleen meldt, maar op zelf oplost. Op z’n minst verwacht de klant dat een account (automatisch) geblokkeerd wordt om de impact van het incident te beperken. De reden hiervoor is dat veel klanten geen eigen 24x7 security team klaar hebben staan om security incidenten op te lossen. Met behulp van security orchestration, automation and response (SOAR) is een aantal scenario’s te automatiseren. Ook hier is de MDR-dienst in doorontwikkeld en zijn er playbooks uitgewerkt in welke gevallen Sogeti zelfstandig incidenten kan afhandelen. Daarnaast zijn er gesprekken met klanten om vanuit Sogeti ‘Incident Responders’ te detacheren. Dit zijn security specialisten of engineers met toegang tot de klant systemen die de incidenten òf zelf kunnen oplossen, òf de klant ondersteunen bij het oplossen. Hiermee kunnen we klanten helemaal ontlasten op het gebied van security incidenten: van detectie tot oplossen.
Genoeg ideeën richting de toekomst
Dit vind ik zelf een erg interessante ontwikkeling en leidt misschien wel tot het oprichten van een Sogeti Computer Security Incident Response Team (S-CSIRT). Dit maakt het security portfolio in combinatie met het Red Team en Green Team nog sterker. Wil je meer weten over de MDR-dienstverlening of heb je suggesties? Laat het me gerust weten. Gert Jan Schotsman, Senior Security Advisor
Of lees verder op onze Cybersecurity pagina's
