SIEM bouwen met beperkt budget: een aanpak
SIEM staat voor Security Information and Event Management: een centraal punt waar logs binnenkomen, gecorreleerd worden en alerts op gegenereerd worden. In theorie onmisbaar. In de praktijk vaak onbetaalbaar, want enterprise-licenties voor tools als Splunk Enterprise lopen al snel in de tientallen euro’s per gigabyte ingestion per dag.
Voor MKB, scholen, zorginstellingen en kleinere gemeenten is dat geen realistisch bedrag. Toch heb je een SIEM nodig zodra je meer dan een handvol servers hebt en serieus security-monitoring wilt doen. Dit is wat je in die situatie kunt doen.
Open-source opties die werken
Wazuh is op dit moment de meest complete open-source SIEM-optie. Het is gestart als een fork van OSSEC (host-based intrusion detection), maar heeft zich ontwikkeld tot een volwaardig platform met HIDS, log-aggregatie, vulnerability detection, FIM (file integrity monitoring) en een eigen dashboard.
Wazuh draait op een centrale manager die agents aanstuurt op endpoints. De agents sturen logs en systeeminformatie op; de manager correleert en genereert alerts. Je kunt Wazuh koppelen aan een Elastic-stack voor opslag en visualisatie, wat veel organisaties doen.
Het nadeel van Wazuh: je beheert de infrastructuur zelf. Updates, opslag, tuning van regels. Dat kost tijd. Wazuh biedt ook een betaalde cloud-versie, maar die verandert de kostencalculatie.
Elastic SIEM (onderdeel van de Elastic Security-module) is een andere optie als je al een ELK-stack hebt of overweegt. De gratis versie biedt basisdetectie met Sigma-compatibele regels en een goede zoekinterface. De geavanceerde ML-functies (anomaliedetectie) vereisen een betaald abonnement.
Graylog richt zich meer op log-management dan op security-detectie, maar voor organisaties die primair behoefte hebben aan gestructureerde log-opslag en -zoekfunctionaliteit is het een solide keuze. Graylog Open is gratis; de enterprise-versie voegt compliance-functies toe.
Wanneer Microsoft Sentinel toch de betere keuze is
Sentinel is een cloud-native SIEM op Azure, en het prijsmodel maakt het voor veel organisaties toegankelijker dan het op het eerste gezicht lijkt.
Sentinel rekent 2 euro per gigabyte ingestion voor betaalde data. Maar een groot deel van wat je wilt monitoren is gratis te verbinden: Microsoft 365 Defender-data, Entra ID sign-in logs, en Azure Activity-logs komen zonder extra kosten binnen via gratis data connectors.
Als je organisatie al Microsoft 365 E5 of Defender for Endpoint P2 heeft, is Sentinel de meest logische keuze. De integratie werkt zonder extra configuratie, de correlatie tussen Defender-alerts en Sentinel-incidenten is ingebakken, en je hoeft geen eigen infrastructuur te beheren.
Voor organisaties die zwaar op Microsoft leunen is de totale kosten vaak lager dan een zelfbeheerde Wazuh-setup als je de beheerslast eerlijk meerekent.
Detection-as-code en Sigma
Ongeacht welke SIEM je kiest, schrijf je detectieregels bij voorkeur als code.
Sigma is het standaardformaat voor vendor-neutrale detectieregels. Een Sigma-regel beschrijft een detectiepatroon in YAML; tools als sigmaHQ/pySigma converteren die regel naar de querytaal van je SIEM (KQL voor Sentinel, Lucene voor Elastic, enzovoort).
Het voordeel: je beheert je detectielogica in een Git-repository, je kunt regels reviewen via pull requests, en je bent niet afhankelijk van de interface van je SIEM om regels bij te houden. Er zijn publieke Sigma-rule-sets beschikbaar, waaronder de SigmaHQ-repository op GitHub met duizenden community-regels.
Voor kleine teams is dit het verschil tussen een SIEM die constant dezelfde dingen detecteert en een SIEM die meegroeit met nieuwe dreigingen.
Wat MKB nooit moet kopen
Splunk Enterprise zonder de bijbehorende schaal. Splunk is uitstekend als je 50 GB per dag of meer ingeest en een dedicated security-team hebt om het te beheren. Voor een organisatie die 5 GB per dag logt en geen fulltime SIEM-beheerder heeft, is het een duur systeem dat onderbeheerd blijft.
Hetzelfde geldt voor IBM QRadar en ArcSight: krachtige tools, maar ze zijn gebouwd voor grote omgevingen en vereisen significante expertise om goed te configureren. Een slecht geconfigureerde enterprise-SIEM is in de praktijk slechter dan een goed geconfigureerde open-source-stack.
Wil je een SIEM-implementatie aanpakken of je team trainen in Sentinel, Wazuh of detection-as-code? Bekijk dan SIEM-trainingen voor praktische cursussen.