SIEM (Security Information and Event Management) verzamelt logdata, correleert security-events en triggert alarmen voor de SOC. Voor NIS2-kritieke entiteiten en DORA-gereguleerde financiële instellingen is volwassen SIEM verplicht. Een pakketkeuze hangt af van uw cloudstack, log-volume en mate van outsourcing naar managed SOC-providers.
SIEM en SOC pakketselectie: vier kandidaten
Microsoft Sentinel. Cloud-native SIEM in Azure met sterke integratie met Microsoft Defender-stack. Voorspelbare kosten via Azure-consumptie. Kiezen voor M365- en Azure-georienteerde organisaties.
Splunk Enterprise Security. Marktleider in enterprise met breedste log-bron-aansluiting en sterke analytics. Volwassen voor zware compliance-vraagstukken. Hoge licentiekosten op grote schaal.
IBM QRadar en Elastic Security. QRadar dominant in financiële sector en specifieke segmenten. Elastic Security is open-platform met flexibele inrichting. Werken voor specifieke compliance-contexts.
SentinelOne en CrowdStrike (XDR). Geen klassieke SIEM maar moderne XDR-platforms die endpoint, identity en cloud-detectie combineren. Werken naast of in plaats van klassieke SIEM voor moderne security-stacks.
Log-volume en de licentie-economie
SIEM-licenties schalen vrijwel altijd met log-volume (GB per dag of events per seconde). Een pakketselectie zonder log-strategie (welke logs verzamelen, welke filteren, welke archiveren) leidt tot exploderende kosten. Eis bij een pakketselectie een realistische kostencalculatie op uw verwachte log-volume.
Use cases, MITRE ATT&CK en detectie-engineering
Een SIEM zonder volwassen detectie-content levert ruis. Microsoft Sentinel heeft brede out-of-the-box content. Splunk werkt met Enterprise Security Content Update. Eis een gewerkte demo van detectie-engineering tegen MITRE ATT&CK-framework.
SOC-as-a-service en de outsourcing-vraag
Voor mid-market is een 24/7 in-house SOC vrijwel niet realistisch. Managed SOC-providers leveren 24/7 monitoring op uw SIEM. Een pakketselectie raakt of de provider werkt met uw SIEM. Microsoft Sentinel en Splunk worden breed ondersteund door MSSP's in Nederland.
NIS2, DORA en de aanstaande compliance-eisen
NIS2 vraagt voor kritieke entiteiten een 24/7 incident detection-capability en 24-uurs meldingsplicht. DORA legt vergelijkbare eisen op aan financiële instellingen. Een SIEM moet deze flow ondersteunen met audit trail en gangbare aanlevering aan toezichthouders.
Wat het in praktijk kost
Voor mid-market organisaties op Microsoft Sentinel of Elastic Security: 100.000-500.000 euro implementatie, doorlooptijd 6-12 maanden, plus jaarlijkse log-volume kosten. Enterprise op Splunk of IBM QRadar: 500.000-2,5 miljoen implementatie plus jaarlijkse licenties 200.000-2 miljoen. SOC-as-a-service: vanaf 50.000 euro per jaar voor mid-market.
Een eerlijk gesprek vooraf aan een SIEM-keuze
Heeft u een lopende of voorgenomen SIEM- of SOC-keuze? Stuur een bericht met uw situatie in drie zinnen: aantal medewerkers, dominante cloudstack en uw NIS2- of DORA-context. Ik koppel u aan een freelance software consultant die deze combinatie uit eigen praktijk kent. Geen pitch, geen accountmanager, geen verkoopgesprek. Reactie binnen een werkdag.
Verwant: Freelance software consultant inhuren, Cybersecurity consultant.