Logging/ Monitoring & Detectie Engineering
Wij zorgen eerst dat logging áán de bron op orde is en bouwen daarop dreigingsgestuurde detectie en monitoring die SOC, Compliance en Beheer tegelijk bedient. Voor applicaties en infrastructuur, aantoonbaar onder BIO2 | ABRO | NIS2 | DORA | CER | CRA | AI Act | GDPR.
Logging en monitoring zijn vaak fragmentarisch ingericht: te veel data zonder context, of te weinig om incidenten te detecteren en compliance aan te tonen.
Wetgeving en sectorale kaders eisen aantoonbare detectie- en responscapaciteit. Zonder gestructureerde detectie en monitoring loopt u risico op:
-Logging als bijproduct: beheer stuurt op uptime en schijfruimte, niet op detectie of bewijslast
-Onopgemerkte security-incidenten door onvolledige of ongestructureerde logging
-Niet-aantoonbare naleving van controls bij audits, toezicht en meldplicht
-Een blinde vlek tussen Beheer en SOC: beheer kán de bron aanpassen maar mist de detectiekennis; het SOC weet wat nodig is maar mist de bevoegdheid aan de bron
Eén gestructureerde, behoefte-gedreven logstroom bedient SOC, Compliance en Beheer tegelijk — efficiënter, aantoonbaar en schaalbaar.
Eén (modulair afneembare) programma: Logging, Monitoring & Detectie Engineering
Eén samenhangend traject dat de hele keten dekt — van dreigings- en compliancegedreven analyse en het op orde brengen van logging áán de bron, tot dreigingsgestuurde detectie en monitoring. Compliance-bewijs ontstaat als gestructureerd bijproduct; soeverein inzetbaar en vendor-agnostisch, zonder lock-in.
Wat het programma dekt (van logbron tot aantoonbaarheid):
Loggingbehoefte-analyse — dreigingen, use-cases per domein, GAP-analyse
Logging op orde & centralisatie — bronconfiguratie, normalisatie (ECS), collector
Detectie-engineering — use-cases op MITRE ATT&CK + compliance-detecties
Monitoring & aantoonbaarheid — dashboards voor SOC, Compliance en Beheer
-Behoefte-analyse — dreigings- en applicatie-/infra-analyse → use-cases per domein BIO2 | ABRO | NIS2 | DORA | CER | CRA | AI Act | GDPR
-Logging op orde aan de bron — juiste audit-events, veldcompleetheid, kloksynchronisatie en integriteit
-Verzameling & normalisatie — onboarding van endpoints, servers, netwerk, identity en cloud; normaliseren naar Elastic Common Schema (ECS) + validatie op datakwaliteit
-Detectie-engineering — use-cases op MITRE ATT&CK + compliance-detecties BIO2 | ABRO | NIS2 | DORA | CER | CRA | AI Act | GDPR
-Monitoring & dashboards — belegd bij SOC, Compliance en Beheer; observability en aantoonbaarheid
-OT waar de scope dat vereist — passieve SPAN/TAP-collectie en parsing van Modbus, OPC UA, DNP3 (IT-first; geen OT-productvendor)
Wat ‘logging op orde’ betekent:
-Detectie is zo goed als de logging die eronder ligt. ‘Op orde’ is geen checklist maar een ontwerp: afgeleid van het dreigingsmodel en de use-cases, en belegd áán de bron.
-Dekking aan de bron — de juiste security-events worden gelogd (authenticatie, autorisatie, configuratiewijzigingen, privilege-gebruik), niet alleen debug en errors
-Veldcompleetheid — elk event bevat wie, wat, wanneer, waarvandaan en de uitkomst — genoeg voor zowel detectie als attributie
-Signaal boven ruis — logniveau afgestemd op de use-cases: genoeg om te detecteren, niet zoveel dat opslag en SIEM onbetaalbaar worden
-Tijdsynchronisatie — één betrouwbare tijd (NTP) over alle bronnen, zodat events correleren en de forensische tijdlijn klopt Integriteit & retentie — logs beschermd tegen wijziging en verwijdering, en lang genoeg bewaard voor detectievenster, meldplicht en forensiek
-Normalisatie & validatie — heterogene bronnen uniform gemaakt (ECS) en na onboarding gevalideerd op volledigheid en datakwaliteit
-Verankerd in ISO 27002 8.15 (logging), 8.16 (monitoring) en 8.17 (kloksynchronisatie), BIO2 en de NIS2-zorgplicht.
Deliverables
-Dreigingsrapport, use-case-overzicht per domein en loggingbehoefte-document
-Centrale, genormaliseerde logstroom (ECS) met configuratiedocumentatie
-Detectiecontent (MITRE ATT&CK) en dashboards voor SOC, Compliance en Beheer
-Platform in eigen infrastructuur met runbooks en overdracht
-Optioneel: passieve OT-collectie en protocol-parsing (Modbus, OPC UA, DNP3)
Resultaat
-Precies de logging die nodig is — niet meer, niet minder
-Aantoonbare detectie- en responscapaciteit BIO2 | ABRO | NIS2 | DORA | CER | CRA | AI Act | GDPR
-Eén datastroom voor security, compliance én beheer tegelijk
-Lagere SIEM- en opslagkosten door gerichte logverzameling
-Geen black box, geen lock-in — klant houdt de regie en de data
Werkwijze (drie fasen — projectmatig)
1. Inzicht — dreigingsanalyse applicatie & infra, applicatie- en omgevingsanalyse, usecases per domein (BIO/NIS2/CRA), loggingbehoefte- en GAP-analyse
2. Bouwen — centraliseren & normaliseren van logging, detectieregels op de werkelijke logbronnen, custom pipelines en maatwerk, documentatie en overdracht
3. Controle — monitoring belegd bij SOC, Compliance en Beheer, aantoonbaarheidsdashboards, observability en stabiliteit, adoptie, tuning en doorontwikkeling
Projectmatig geleverd: vaste detection engineer als aanspreekpunt; iteratief met tussentijdse presentatie en feedback-ronde; workshops met applicatie-eigenaar, IT-beheer, SOC en Compliance; resultaten per domein belegd; vaste moduleprijs of vooraf ingeschatte uren per fase; overdracht na oplevering.
