Wat zijn SIEM, SOC en NDR? Uitleg en praktijkvoorbeeld van samenwerking in cybersecurity

Label: blog door Dionne Mertens op 15 juli, 2025
Toetsenbord met slot en chain
Filter: security
Filter: managed services
delen

Cyberdreigingen worden steeds geavanceerder. Alleen een antivirus of firewall is al lang niet meer voldoende om je organisatie te beschermen.

Daarom werken we bij ilionx volgens het defense-in-depth-principe: een gelaagde beveiligingsstrategie waarbij technologie én mensen samenwerken. Want geen enkele laag is perfect, juist daarom is het zo belangrijk om verdachte activiteiten snel te detecteren én erop te reageren.

In deze blog leg ik uit wat SIEM, SOC en NDR zijn, hoe ze elkaar versterken en hoe wij die technologieën in de praktijk gebruiken om organisaties te beveiligen.

SIEM, SOC en NDR uitgelegd: de basis van moderne dreigingsdetectie

SIEM staat voor Security Information and Event Management. Dit is technologie die loggegevens uit allerlei bronnen verzamelt, normaliseert en analyseert. Bij ilionx gebruiken we Exabeam als SIEM-oplossing.

Wat Exabeam bijzonder maakt, is dat het niet alleen kijkt naar bekende dreigingspatronen, maar ook afwijkend gedrag herkent via User and Entity Behavior Analytics (UEBA). Exabeam bouwt gedragsmodellen op, maakt overzichtelijke tijdlijnen per gebruiker of systeem en kent risico-scores toe. Zo herkennen we ook subtiele of onbekende dreigingen in een vroeg stadium.

SOC staat voor Security Operations Center. Dat zijn wij: het menselijke team dat meldingen uit de SIEM onderzoekt, analyseert en vertaalt naar actie. Als SOC-analist monitor ik samen met mijn collega’s dagelijks de beveiligingsmeldingen en leveren we mitigerend advies aan onze klanten.

Ons team heeft specialisaties zoals threat hunting, purple teaming en Exabeam-engineering. Mijn eigen specialisatie is Exabeam-engineering. Ik werk dagelijks aan het verbeteren van onze detectiecapaciteit: ik ontwikkel nieuwe use cases, optimaliseer detectieregels en stem onze content af op actuele dreigingstrends. Zo zorgen we ervoor dat de SIEM niet alleen data verzamelt, maar ook echt waardevolle inzichten biedt.

NDR staat voor Network Detection and Response: technologie die netwerkverkeer analyseert op verdachte patronen. Wij gebruiken Corelight als NDR-oplossing. Deze sensoren monitoren netwerkverkeer en sturen relevante data en alerts door naar Exabeam. Denk bijvoorbeeld aan command-and-control-verkeer of afwijkend DNS-verkeer.

Corelight is slechts één van de vele logbronnen. Andere bronnen zijn firewalls, endpoints, cloudplatforms zoals Microsoft 365, identity providers en MDR-oplossingen zoals SentinelOne en Microsoft Defender for Endpoint. Binnen Exabeam verrijken we deze data met dreigingsinformatie uit bijvoorbeeld onze eigen MISP-omgeving (Malware Information Sharing Platform).

Hoe SIEM, SOC en NDR samenwerken

Hoewel SIEM, SOC en NDR elk hun eigen functie hebben, werken ze naadloos samen:

  • SIEM is de centrale plek waar logdata wordt verzameld, geanalyseerd en gecorreleerd.
  • NDR biedt diep inzicht in netwerkverkeer, essentieel voor het detecteren van datadiefstal of laterale bewegingen.
  • SOC is het team dat deze informatie interpreteert en actie onderneemt, zowel reactief als proactief.

Samen vormen ze een krachtig geheel dat organisaties helpt om sneller te reageren op incidenten én om dreigingen eerder te herkennen.

Van netwerkalert tot incidentrespons: zo werkt het in de praktijk

Stel: Corelight detecteert verdacht DNS-verkeer dat mogelijk wijst op command-and-control-communicatie. Dit wordt doorgestuurd naar Exabeam en gecombineerd met andere loggegevens, zoals inlogpogingen buiten werktijd of endpointdata.

Exabeam herkent het afwijkende gedrag op basis van zijn gedragsmodellen en kent een verhoogde risico-score toe. Tegelijkertijd stuurt Corelight een aparte alert mee. Beide signalen worden automatisch samengevoegd in één tijdlijn binnen Exabeam. Zo ontstaat een volledig incidentoverzicht.

Het SOC-team (wij dus) analyseert het incident, verrijkt IP-adressen en domeinen met threat intelligence en onderzoekt of er bredere patronen zijn. We gebruiken ook open source intelligence (OSINT) en threat hunting om de impact verder te beoordelen.

Bij bevestigde dreiging stellen we een incidentanalyse op met mitigerend advies. Denk aan maatregelen zoals:

  • Het isoleren van een geïnfecteerd systeem
  • Het blokkeren van verdachte domeinen
  • Advies voor herstel en opvolging

Kennisdeling en preventieve detectie

Wat we bij één klant zien, gebruiken we actief om andere klanten beter te beschermen. Als we bijvoorbeeld een nieuwe aanvalstechniek detecteren, dan ontwikkelen we gerichte use cases om die ook elders op te sporen.

Deze kennisdeling stelt ons in staat om:

  • Dreigingen preventief te detecteren
  • Detectiecontent continu te verbeteren
  • Klanten proactief te adviseren

Zo combineren we technologie, expertise en samenwerking in ons SOC om de digitale veiligheid van al onze klanten te versterken.

Technologie + expertise = effectieve cybersecurity

Bij ilionx combineren we slimme technologie met menselijke expertise. Met SIEM en NDR kunnen we snel reageren op verdachte activiteiten, maar het echte verschil maken we met ons team. Ik werk dagelijks aan het analyseren van incidenten en het verbeteren van onze detecties. Zo helpen we organisaties niet alleen om cyberaanvallen te zien aankomen, maar ook om er effectief op te reageren.

Wil je meer weten over hoe SIEM, SOC en NDR jouw organisatie kunnen versterken?

Laat je gegevens achter en dan neemt een van onze experts contact met je op.

neem contact op

Bedankt voor het achterlaten van je gegevens. Een van onze experts neemt binnenkort contact met je op.

meer blogs in security en managed services