Natuurlijk! Hier is een sjabloon voor een gebruiksgeval voor uw SIEM, gericht op het monitoren van gebruikers toegangspatronen om potentiële interne bedreigingen te detecteren: --- **Gebruikgeval: Monitoring van toegangspatronen van systeembeheerders ter detectie van interne bedreigingen** **1. Doel** Het identificeren en alerten op ongebruikelijke toegangspatronen van systeembeheerders om interne bedreigingen en niet-geautoriseerde activiteiten vroegtijdig te detecteren en te voorkomen. **2. Actoren** - **Primair:** SIEM-systeem - **Secundair:** Systeembeheerders, Beveiligingsanalisten **3. Precondities** - Toegang tot gebruikerslogboeken en systemen is geconfigureerd en functioneel. - Systeembeheerders loggen alle toegangspogingen en activiteiten. - Naleving van de Algemene Verordening Gegevensbescherming (AVG) wordt gegarandeerd bij het verzamelen en verwerken van loggegevens. **4. Beschrijving** a. Het SIEM verzamelt continu toegangspogingen en activiteiten van alle gebruikers, met speciale aandacht voor systeembeheerders. b. Het systeem analyseert patronen, zoals: - Ongebruikelijke tijdstippen (bijvoorbeeld buiten kantooruren) - Ongebruikelijke IP-adressen of locaties - Aantal of frequentie van toegangspogingen - Verandering in gebruikspatronen (bijvoorbeeld toegang tot niet-gerelateerde systemen) c. Bij het detecteren van afwijkingen, genereert het SIEM automatische alerts voor beveiligingsanalisten. d. Analisten onderzoeken de alerts en ondernemen passende acties, zoals het blokkeren van verdachte accounts of het initiëren van verdere audits. **5. Nalevingsvereisten (AVG)** - Loggegevens worden op een veilige en verantwoorde wijze verzameld, opgeslagen en verwerkt. - Alleen geautoriseerd personeel heeft toegang tot de loggegevens. - De verwerking van persoonsgegevens in logs wordt beperkt en is noodzakelijk voor beveiligingsdoeleinden. - Transparantie wordt gewaarborgd volgens AVG-richtlijnen. **6. Postcondities** - Potentiële interne bedreigingen worden geïdentificeerd en aangepakt. - Audit trails blijven volledig en compliant met AVG. - Risico's op interne datalekken of misbruik worden verminderd. **7. Alternatieve scenario's** - Geen afwijkingen gevonden: logs worden verder geanalyseerd op regelmatige basis. - Onregelmatigheden ontdekt: alert wordt ondernomen en verdere actie wordt geïnitieerd. --- Heeft u nog aanvullende wensen of specifieke details die u wilt opnemen?

Zeker, hier is een sjabloon voor een SIEM-use case gericht op het monitoren van gebruikers toegangspatronen voor het detecteren van interne bedreigingen, specifiek voor systeembeheerders en conform de AVG. --- ### **SIEM Use Case Sjabloon: Monitoring Gebruikerstoegang voor Interne Bedreigingen** **Use Case ID:** UC-SIEM-001 **Titel:** Detectie van Afwijkende Toegangspatronen door Systeembeheerders **Doel:** Het identificeren van potentieel kwaadwillige of riskante activiteiten door systeembeheerders op basis van afwijkingen in hun toegangsgedrag, ter bescherming van gevoelige gegevens en naleving van de AVG. --- #### **1. Use Case Beschrijving** Deze use case richt zich op het continu monitoren van toegangslogboeken van gebruikers, met name systeembeheerders, om ongebruikelijke patronen te detecteren die kunnen wijzen op interne bedreigingen (bijvoorbeeld misbruik van bevoegdheden, datalekken of ongeautoriseerde toegang). Dit draagt bij aan de naleving van de AVG door toezicht te houden op de verwerking van persoonsgegevens. --- #### **2. Belangrijke Gegevensbronnen** - **Toegangslogboeken** van: - Active Directory (AD) / LDAP-servers - Netwerkapparaten (firewalls, VPNs) - Bestandsservers en databases - Toepassingen en clouddiensten (bijv. Microsoft 365, AWS) - Server- en werkstationlogboeken (Windows Event Logs, Syslog) --- #### **3. Specifieke Gebruikersrollen om te Monitoren** - **Systеëmbeheerders** (inclusief domeinbeheerders, databasebeheerders, netwerkbeheerders) - **Geprivilegieerde gebruikers** met uitgebreide toegangsrechten --- #### **4. Te Detecteren Afwijkingen en Triggers** - **Ongebruikelijke toegangstijden:** Toegang buiten reguliere werkuren of tijdens vakanties. - **Toegang tot gevoelige gegevens:** Bijv. databases met persoonsgegevens zonder zakelijke noodzaak. - **Frequentie-afwijkingen:** Ongebruikelijk hoog aantal inlogpogingen of toegangsverzoeken. - **Geografische afwijkingen:** Toegang vanaf onbekende locaties of IP-adressen. - **Gelijktijdige sessies:** Meerdere actieve sessies vanaf verschillende apparaten. - **Wijzigingen in rechten:** Ongeautoriseerde aanpassingen van gebruikersrechten. --- #### **5. Nalevingsvereisten (AVG)** - **Verwerkingsregister:** Log toegang tot persoonsgegevens voor verantwoordingsplicht (artikel 30 AVG). - **Beveiliging van gegevens:** Passende technische maatregelen om gegevens te beschermen (artikel 32 AVG). - **Toegangsbeperking:** Zorgen dat enkel geautoriseerd personeel toegang heeft tot persoonsgegevens (artikel 5 AVG). - **Meldplicht datalekken:** Detectie van activiteiten die kunnen leiden tot een datalek (artikel 33 AVG). --- #### **6. SIEM Regels en Correlatie** - **Regel 1:** Waarschuwing bij toegang door systeembeheerders tussen 00:00 - 06:00 uur zonder voorafgaande goedkeuring. - **Regel 2:** Correlatie van meerdere mislukte inlogpogingen gevolgd door een succesvolle toegang tot een gevoelig systeem. - **Regel 3:** Detectie van bulkdownloads van bestanden met persoonsgegevens door beheerders. - **Regel 4:** Waarschuwing bij toegang vanaf IP-adressen buiten het bedrijfsnetwerk of bekende locaties. --- #### **7. Responsacties** - **Waarschuwingen:** Stuur real-time alerts naar het SOC (Security Operations Center). - **Escalatie:** Informeer de CISO (Chief Information Security Officer) bij ernstige afwijkingen. - **Onderzoek:** Start een forensisch onderzoek naar de activiteiten van de gebruiker. - **Documentatie:** Log alle incidenten voor AVG-nalevingsrapportage. --- #### **8. Rapportage en Evaluatie** - **Wekelijkse rapportages:** Overzicht van afwijkingen en trends in toegangsgedrag. - **AVG-audits:** Gebruik logs als bewijsmateriaal voor nalevingscontroles. - **Optimalisatie:** Pas SIEM-regels aan op basis van false positives en nieuwe dreigingen. --- #### **9. Benodigde Tools en Integraties** - SIEM-oplossing (bijv. Splunk, IBM QRadar, ArcSight) - Log aggregatie tools (bijv. LogRhythm) - Identity and Access Management (IAM) systemen - Data Loss Prevention (DLP) tools voor aanvullende bescherming --- Met dit sjabloon kunt u een effectieve SIEM-use case opzetten om interne bedreigingen te monitoren en te voldoen aan de AVG-vereisten. Pas de regels en parameters aan op basis van uw specifieke omgeving en risicoprofiel.