Rijksoverheid logo
Nationaal Cyber Security CentrumMinisterie van Justitie en Veiligheid

Welkom bij de vernieuwde website van het versterkte NCSC

Jouw helpende hand in cybersecurity. Kijk gerust rond of lees meer over de vernieuwde cybersecurityorganisatie.

Wat is een SOC?

Kennisartikelen
Leestijd:
Detectie
Groeien
Wil je zicht houden op de beveiliging van bedrijfsinformatie en digitale dreigingen? Richt dan een Security Operations Center (SOC) in. Het inrichten van een SOC en de inbedding in de organisatie en werkprocessen kan complex zijn. Ons advies om een SOC tot een succes te maken is: begin klein, communiceer over de resultaten binnen de organisatie en wees ervan bewust dat een SOC een middel is, geen doel op zich.

Wat is een SOC?

In de praktijk monitort een SOC de computer- en netwerkactiviteiten in een organisatie. Loginformatie van applicaties en apparaten in het bedrijfsnetwerk wordt verzameld en onderzocht op afwijkende zaken. De loginformatie kan afkomstig zijn van servers, firewalls, webapplicaties, antivirus-software en zelfs van industriële controlesystemen. Het draait dus om relevante informatie over de beveiliging van alle systemen en apparaten. Alle informatie leidt tot inzicht in hoe veilig het netwerk, de systemen en hard- en software functioneert in de organisatie.

Hoe werkt een SOC?

Voor een succesvol werkend SOC moet aan een aantal criteria worden voldaan. Dat gaat om onder meer:

  • een beleid voor informatiebeveiliging met draagvlak door de hele organisatie
  • accuraat overzicht van het applicatielandschap
  • eigenaarschap van informatiesystemen
  • recent uitgevoerde risicoanalyse
  • samenwerking met de ICT-beheerorganisatie

Om loginformatie vanuit verschillende bronnen te interpreteren en de samenhang met wat zich digitaal afspeelt te duiden, kan een Security Information & Event Management-systeem (SIEM) uitkomst bieden.

Naast informatie over systemen, hard- en software en het netwerk, gebruikt een SOC ook ‘threat intelligence’. Dit is informatie over kwetsbaarheden en dreiging in cybersecurity, afkomstig uit andere bronnen. Met deze informatie beoordeelt het SOC gebeurtenissen in systemen en op alle aangesloten apparaten.

Hoe komt een SOC tot stand?

Begin met het monitoren van eenvoudige technische zaken waar de organisatie baat bij heeft, bijvoorbeeld de log-informatie van de Active Directory, firewalls, antivirus-software en webservers. Houd het eenvoudig en beperk de werkzaamheden tot de ICT-afdeling. Monitor alleen puur technische zaken.

Doe ervaring op met monitoren, registreren en afhandelen van incidenten. Ervaring opdoen met het hele proces van monitoren en incidentafhandeling  is in het begin belangrijker dan het monitoren zelf. Bouw de monitoring gecontroleerd uit naar systemen die onderdeel vormen van de primaire bedrijfsprocessen. Maak afspraken met de ICT-afdeling over ICT-werkzaamheden als gevolg van die incidentregistratie. Richt je bij het monitoren niet op het per se willen inrichten van een SOC, maar richt je op wat voor de organisatie belangrijk en zinvol is.

Wat doet het NCSC?

Om te bepalen of een bepaalde gebeurtenis binnen een computernetwerk een bedreiging vormt, kan aanvullende informatie nodig zijn. Deze informatie levert het NCSC in de vorm van ‘indicators of compromise’ (IoC's). Met een IoC bepaal je of bepaalde gebeurtenissen binnen het netwerk ook door anderen zijn geregistreerd. Dat geeft je handvatten om de gebeurtenis te beoordelen. Het NCSC mag deze informatie alleen leveren aan partijen die tot onze doelgroepen behoren.

We delen kennis over technische en praktische zaken om organisaties bij de rijksoverheid en vitale infrastructuren te ondersteunen vanuit het wettelijke kader. Ook het inrichten van een SOC is zo'n onderwerp. 

Wil je meer weten over het inrichten van een SOC? In het artikel 'SOC inrichten: begin klein' vind je richtlijnen, tips en aandachtspunten.

Formulier
Heeft deze pagina je geholpen?