Deel 1 bouwde het intelligentiefundament. Deel 2 implementeert de operatielaag die die intelligence consumeert: SIEM aggregeert en correleert telemetrie, SOAR automatiseert respons, beide verbonden met de geclassificeerde-enclave-netwerktopologie die defensiebeveiliging definieert. Commerciële SIEM- en SOAR-producten bestaan; ze engineeren voor defensie-implementatie is waar de meeste programma's het werk onderschatten. Deel 2 behandelt hoe dat werk er werkelijk uitziet.

Het pilaarframing staat in De complete gids voor defensiebeveiliging; de diepere SIEM/SOAR-engineeringdetails in SIEM en SOAR voor militaire integratie.

Stap 1: per-enclave-implementatiearchitectuur

De meest ingrijpende architecturale beslissing: draai geen één SIEM-instantie over meerdere classificatieniveaus. Elke geclassificeerde enclave draait zijn eigen SIEM/SOAR-stack met zijn eigen dataopslag, zijn eigen detectie-inhoud, zijn eigen auditlog. De stacks zijn fysiek gescheiden; databeweging ertussen gaat via geaccrediteerde cross-domein-oplossingen, nooit via gedeelde infrastructuur.

De redenering is structureel: SIEM-data is een classificatiesuperset van de bronnen die het opneemt. Een SIEM dat SECRET-netwerklogs aggregeert, bevat SECRET-geclassificeerde inhoud; het samenvoegen van die opslag met UNCLASSIFIED-administratieve logs zou de classificatie van de administratieve opslag onbedoeld verhogen via het aggregatie-effect van de SIEM. Per-enclave-isolatie voorkomt dit.

Het implementatiepatroon voor het doorlopende voorbeeld:

  • UNCLASSIFIED SIEM — administratieve netwerken, internettoegang-activa, leveranciersbeheer. Leverancier-SaaS kan hier acceptabel zijn.
  • NATO RESTRICTED SIEM — coalitie-missie-netwerken, FMN-gebonden infrastructuur. Zelfgehost op geaccrediteerde infrastructuur; leverancier-SaaS zelden acceptabel.
  • NATO SECRET SIEM — operationele geclassificeerde netwerken. Zelfgehost; air-gapped van internet; updates via gecontroleerde kanalen.
  • Nationaal-geclassificeerde SIEM — nationale systemen op hogere classificatie. Leveranciers met nationale accreditatie; op maat gemaakte implementatie.

Cross-enclave-intelligence-deling verloopt via CTI-voortplanting (deel 1-mechanisme) en via gecontroleerde samenvattingsrapporten — niet via gedeelde SIEM-dashboards.

Stap 2: de logaggregatie-pijplijn

SIEM is structureel een logpijplijn met detectie bovenop. Krijg de pijplijn goed en detectie wordt beheersbaar; krijg het fout en de pijplijnkosten domineren al het andere.

De pijplijnstadia:

Verzameling. Agents op eindpunten (Sysmon op Windows, auditd op Linux, EDR-leveranciersagents), netwerksensoren (NDR-producten, IDS-apparaten, NetFlow-collectors), applicatielogs (aangepast formaat en Syslog), cloud-control-plane-logs, OT-telemetrie (deel 3 van deze reeks).

Normalisatie. Heterogene bronformaten genormaliseerd naar een gemeenschappelijk schema. Elastic Common Schema (ECS), het OCSF, leverancierspecifieke schema's — kies één en stem af. Schema-mismatches in productie zijn een terugkerende bron van detectiemissers.

Verrijking. Context toevoegen die de ruwe log mist: activaclassificatie uit het bestand (deel 1), CTI-tags uit de intelligentiepijplijn, gebruikersattribuutcontext uit identiteitssystemen, geolocatie, dreigingsactorverbinding.

Routering. Events stromen naar de hot-tier van de SIEM voor live correlatie, naar langetermijn cold-opslag voor forensische retentie en selectief naar de SOAR voor playbooktriggering.

Retentie. Defensiebeveiliging heeft langetermijn-retentievereisten — nationaalstatelijke campagnes verblijven maanden of jaren. De pijplijn ondersteunt gelaagde retentie: hot (live correlatie), warm (recente forensische queries), cold (langetermijnarchief).

Stap 3: detectie-inhoud als code

Out-of-the-box SIEM-detectieregels vangen commodity-bedreigingen op. Defensieclasse detectie vangt nationaalstatelijke bedreigingen op. De kloof is detectie-inhoud: regels afgestemd op het activabestand, het dreigingsmodel en de CTI-pijplijn.

Sigma-regels als bronformaat. Sigma is het leverancierneutrale detectieregelformaat; in Sigma geschreven regels converteren naar Splunk, Elastic, Sentinel, QRadar en anderen.

Per-activa- en per-dreigingsactorregels. Generieke "PowerShell gecodeerd commando"-detectie vangt ruis op. "PowerShell gecodeerd commando op een NATO SECRET-host van een gebruiker niet in de engineering OU" is signaal.

CI-tests tegen vastgelegde eventdata. Detectieregels worden eenheid-getest in CI. Vastgelegde eventtracés van eerdere incidenten en red-team-oefeningen dienen als grondbewaarheid.

MITRE ATT&CK-mapping. Elke regel wordt toegewezen aan één of meer ATT&CK-technieken. De mapping maakt dekkingsanalyse mogelijk en procurement-grade rapportage over de defensieve houding van het platform.

Fout-positief-beheer. Regels produceren waarschuwingen. Waarschuwingen produceren SOC-werklast. De discipline van FP-afstemming — meting van per-regel FP-rate, verfijning van regels om ruis te verminderen — is structureel.

Stap 4: SOAR-playbookengineering

SOAR (Security Orchestration, Automation, and Response) automatiseert de respons op gedetecteerde events. Een playbook is een versiegecontroleerde, getest, beoordelbare workflow die de SOAR uitvoert bij een waarschuwing.

Versiegecontroleerd in bronbeheer. Playbooks zijn code — YAML, JSON, leverancierspecifieke DSL's. Ze leven in de repository naast detectieregels en worden uitgerold via hetzelfde wijzigingsbeheerproces als applicatiecode.

Getest in CI. Vastgelegde incidenttracés dienen als testinvoer. Een playbook dat niet meer correct uitvoert tegen het vastgelegde tracé, blokkeert de merge.

Menselijke bevestigingspoorten voor gevolgenrijke acties. SOAR kan een host isoleren, een gebruikersaccount uitschakelen, een netwerkbereik blokkeren, een proces beëindigen. Elke van deze heeft operationele gevolgen. Het playbook presenteert de voorgestelde actie en vereist expliciete menselijke bevestiging; de beslissing van de mens wordt gelogd.

Audittrail voor elke geautomatiseerde actie. Zelfs acties die zonder menselijke review worden voltooid (waarschuwingsverrijking, ticketcreatie, dreigingsinformatie-opzoeking) worden gelogd.

Terugdraaipaden. Een SOAR-actie die fout was — verkeerde host geïsoleerd, verkeerde gebruiker uitgeschakeld — moet omkeerbaaar zijn.

Stap 5: cross-CERT-integratie

Defensiebeveiliging bestaat in een gemeenschap. Nationale CERT's (CISA, BSI, ANSSI, CCN-CERT), militairspecifieke CSIRT's, coalitie-CSIRT's (NATO NCIRC), partner-CSIRT's. Het platform integreert bidirectioneel met deze gemeenschap.

Inkomende intelligentieconsumptie. CERT-adviezen stromen in de CTI-pijplijn (deel 1) en triggeren detectieregel-updates.

Uitgaande incidentrapportage. Bevestigde incidenten — met name die met nationaalstatelijke TTP's of coalitie-relevante indicatoren — stromen uitgaand naar de juiste CERT via STIX/TAXII of formele incidentrapportkanalen.

Gezamenlijke jacht. Periodieke dreigingsjachtsamenwerkingen met partner-CERT's — queries uitvoeren over meerdere nationale omgevingen, op zoek naar vijandelijke TTP's die alleen in het aggregaat verschijnen.

Oefendeelname. Locked Shields, Cyber Coalition, Crossed Swords — NATO en partner cybergoefeningen die cross-CERT-coördinatie testen.

Kernpunt: Een SIEM/SOAR-stack die in isolatie werkt, vangt op wat het lokaal kan zien. Een stack geïntegreerd met de CERT-gemeenschap ziet dezelfde bedreigingen die al zijn opgedoken in partneromgevingen — gewoonlijk dagen eerder. De gemeenschapsintegratiediscipline heeft hoog hefboomeffect en is ondergewaardeerd in aanbestedingsspecificaties.

Stap 6: prestatie- en schaaldoelen

SIEM/SOAR-doelen die operationele platforms onderscheiden van prototypes:

  • Logopname aanhoudend op de operationele snelheid (typisch 50K–500K events/seconde voor een nationale defensie-implementatie), met piekverwerking op 5× basislijn.
  • Detectielatentie onder 60 seconden van eventaankomst tot waarschu­winggeneratie voor tijdgevoelige regels; onder 5 minuten voor correlatie-zware regels.
  • Playbookuitvoeringslatentie onder 30 seconden voor de menselijke-reviewoverdracht; volledige playbookuitvoering binnen minuten voor geautomatiseerde paden.
  • Opslagretentie gemeten in jaren voor hoge-classificatie-omgevingen; gelaagd om kosten te beheren.
  • Queryprestaties onder 30 seconden voor typische analistenqueries op hot-data; onder 5 minuten voor cold-dataqueries.
  • Beschikbaarheid op 99,9%+ voor hot-tier-componenten.

Stap 7: leveranciersselectie voor defensie-implementatie

De defensie-inzetbare SIEM/SOAR-leverancierslijst is kleiner dan de commerciële lijst. De criteria:

Accreditatiegeschiedenis. Leveranciers met eerdere accreditatie in NATO of lidstaat-geclassificeerde netwerken hebben bewijs dat accreditatiebeoordelaars geloofwaardig vinden.

Air-gapped inzetbaarheid. De implementatie van de leverancier moet werken in omgevingen zonder internetegress voor updates. Cloud-only producten zijn buiten beschouwing voor hogere classificaties.

ITAR-vrije positionering voor Europese programma's. Zie ITAR-vrije defensiesoftware voor de criteria.

Portabiliteit van detectie-inhoud. Sigma-ondersteuning houdt de detectie-inhoud van het platform draagbaar over leverancierstransities.

Open API's. De SIEM/SOAR integreert met alles in de cyberstack — CTI-platform, EDR, netwerksensoren, identiteitssystemen, ticketing. Open API's zijn niet onderhandelbaar.

De gedetailleerde leveranciersselectiecriteria voor defensiesoftware breed zijn in Hoe een defensiesoftwareleverancier te kiezen.

Wat is hierna

Deel 2 heeft de operatielaag gebouwd. Per-enclave SIEM/SOAR-architectuur, logaggregatie-pijplijn, detectie-inhoud als code, SOAR-playbookdiscipline, cross-CERT-integratie, prestatiedoelen, leveranciersselectie. De stack detecteert en reageert nu op schaal binnen de geclassificeerde-enclave-architectuur.

Deel 3 behandelt de gespecialiseerde lagen: ICS/OT-verdediging voor de operationele technologie die IT-grade tooling niet aanpakt, digitale forensica-gereedheid voor post-compromis-analyse en de cross-domein-oplossingen die passende data tussen enclaves verplaatsen terwijl ongepaste stromen worden voorkomen.