In het kader van mijn opleiding kreeg ik de opdracht om een Security Operations Center (SOC) op te zetten. Een SOC is een centrale eenheid die binnen een organisatie instaat voor het monitoren, detecteren, reageren op en voorkomen van cyberdreigingen. Het doel van deze opdracht was om inzicht te krijgen in de werking van een SOC, welke tools daarbij komen kijken en hoe je realistische beveiligingsincidenten kunt simuleren. In mijn opstelling focuste ik op kerncomponenten zoals een SIEM (Security Information and Event Management)-systeem, logverzameling, waarschuwingsmechanismen en workflows voor incidentrespons. Ik leerde hoe ik gegevens uit verschillende bronnen (zoals firewalls, servers en endpoints) kon halen, verdachte patronen kon analyseren en bevindingen kon documenteren via een gestructureerde aanpak. Dit project gaf me een beter begrip van hoe cyberdreigingen zich effectief kunnen voordoen in bedrijven, en hoe hier het beste op gereageerd kon worden.

Dit is een voorbeeld van een real-time detectie- en responstraject tijdens een brute-force aanval:

1. Brute-force poging: Een aanvaller probeert via brute-force toegang te krijgen tot de SSH-dienst van een server in het productie-subnet.
2. Detectie door Wazuh-agent: Op de server is een Wazuh-agent geïnstalleerd die de brute-force poging detecteert en een melding stuurt naar de Wazuh-manager.
3. Aanmaken van alert: De Wazuh-manager genereert een alert en stuurt deze door naar TheHive, waar de alert wordt omgezet in een ticket.
4. Automatische reactie & Discord-melding: Een custom script stuurt een Discord-melding naar het team om hen te informeren over het incident.
5. Firewall-blokkade: Wazuh voert een script uit en communiceert met de firewall (pfSense) om via automatisatie het IP-adres van de aanvaller te blokkeren.
6. Definitieve bevestiging: Na de blokkade wordt een bevestigingsbericht via Discord verzonden.