Naar hoofdinhoud
MANAGED DETECTION & RESPONSE

Een dashboard vol meldingen staat in elk SOC. De vraag is of het de aanval vangt die ertoe doet.

Een aanvaller die binnen is, wordt gezien voor hij bij de kroonjuwelen komt. Niet omdat dekking is afgevinkt, maar omdat de detectie is getoetst.

MITRE ATT&CKNIST CSF 2.0ISO 27001NIS2
KadersMITRE ATT&CK, NIST CSF 2.0 (DE/RS), ISO 27001 A.5.7/A.8.16, NIS2 art. 21, DORA
Voor wieCISO, CIO, security operations, security manager
DoorlooptijdEerste dekkingsbeeld 2-4 weken, eerste getoetste detectie op de kritieke technieken 6-10 weken

Kernuitdagingen

Het probleem is niet de tooling. Het is dat niemand weet of je het zou zien.

Je hebt een SIEM, een SOC of een MDR-contract en toch geen samenhangend beeld dat standhoudt. Een dashboard is geen detectie die vangt wat telt.

14

mediane verblijftijd, dagen

Een inbraak blijft dagen onopgemerkt

De tijd tussen binnenkomst en ontdekking daalt, maar een aanvaller heeft dagen om door je landschap te bewegen. En ongeveer de helft van de inbraken komt nog van buiten de organisatie aan het licht, niet uit je eigen detectie.

Mandiant M-Trends 2026, mediane verblijftijd circa 14 dagen, B, orde van grootte.

60%

van de meldingen wordt nooit onderzocht

Meer meldingen is geen betere detectie

Meldingen stapelen op, capaciteit is eindig en het merendeel wordt nooit onderzocht. Een aanzienlijk deel is vals alarm: detectie op slecht geconfigureerde bronnen laat analisten ruis najagen in plaats van dreiging. Dat is een procesprobleem, geen techniekprobleem.

Orde van grootte; Tines Voice of the SOC 2025, vendor-onderzoek, B.

30%

van de aanvalstechnieken aantoonbaar gedekt

Dekking op papier is geen getoetste detectie

De meeste SOCs leunen op de standaardregels van een platform en nemen aan dat de detectie werkt. Maar dekking die nooit is getoetst tegen wat een aanvaller feitelijk doet, vuurt niet op het moment dat het moet. De vraag is niet of je een SIEM hebt, maar welke technieken je aantoonbaar vangt.

AS-positie via MITRE ATT&CK als dekkingskader, C; orde van grootte, geen harde meting.

De vraag voor het bestuur

Zouden we het zien als het misgaat?

Toezicht en bestuur vragen niet hoeveel meldingen er binnenkomen of dat er 24/7-dekking is afgevinkt. Ze vragen of de organisatie het zou zien als het misgaat, en of de uitgaven aan monitoring in verhouding staan tot het risico. Dat is het verschil tussen een groen lampje en getoetste detectie.

Het verschil

Dekking op papier, of getoetste detectie.

Niet of je monitort, maar of de detectie vuurt op de technieken die er voor jou toe doen, en of dat standhoudt als een aanvaller binnen is.

Klassieke MDR of SOCMet Radian

Een platform of contract als oplossing

Detectie wordt gekocht als product: een SIEM aangezet, een MDR-contract getekend, 24/7 afgevinkt. Succes is gemeten in aangesloten bronnen en verwerkte meldingen.

Uitgangspunt

Detectie als capability, niet als product

We bepalen eerst wat je betrouwbaar moet zien en welke technieken ertoe doen. Het model, de bronnen en de rollen volgen daaruit, niet andersom.

De standaardregels van het platform

Detection content komt uit de defaults van de tool, niet uit wat aanvallers in jouw sector feitelijk doen. Waar je blind bent, blijft onzichtbaar.

Dekking

Gericht op de relevante technieken

We leggen je werkelijke dekking naast de technieken van de actoren die voor jou relevant zijn, via MITRE ATT&CK. De gaten worden zichtbaar voordat een aanvaller ze vindt.

Aangenomen dat het vuurt

De detectie geldt als werkend omdat de regel bestaat. Of een melding daadwerkelijk afgaat bij een echte aanvalstechniek, is nooit beproefd.

Toetsing

Beproefd of het echt afgaat

We toetsen de detectie met aanvalssimulatie en purple-teaming: vuurt ze wel, en op het juiste moment. Pas dan weet je of de dekking meer is dan een aanname.

Uitbesteed en uit beeld

Het contract suggereert dat de detectie geregeld is. Maar bij een incident sta jij voor de board, niet de leverancier, en grip op de uitvoering ontbreekt.

Verantwoordelijkheid

Belegd en inspecteerbaar

Je kunt het werk uitbesteden, de verantwoordelijkheid niet. We beleggen de rollen en de opvolging zodat je grip houdt, onafhankelijk van je MSSP.

Hoe het werkt

Van een dashboard vol meldingen naar detectie die standhoudt.

Links wat detectie voedt, in het midden de volgorde die bepaalt en toetst, rechts wat je overhoudt. Je bestaande SIEM, SOC en MDR-contract blijven staan.

Je telemetrie
Werkplekken en serverworkloads
Identiteit en toegangsrechten
Cloud en online software
Netwerk en oost-west verkeer
Applicaties en API’s
Industriële systemen en slimme apparaten
Asset-context en kritikaliteit
normaliseert›››
Vijf stappen, doorlopend
Het kaderWat je betrouwbaar moet detecterenWelke aanvalstechnieken voor jou relevant zijn
01
Bepaal
Wat als eerste gedetecteerd moet worden: het protect surface en de kroonjuwelen, plus de technieken die voor jouw sector ertoe doen.
02
Breng in kaart
Je werkelijke dekking naast die technieken, via MITRE ATT&CK, niet naast de standaardregels van een tool. Zo wordt zichtbaar waar je blind bent.
03
Toets
Of de detectie daadwerkelijk afgaat, met aanvalssimulatie en purple-teaming. Een gedekte techniek is pas getoetst als een melding ook echt vuurt.
04
Sluit de gaten
Detection engineering op de gaten, met content en runbooks zodat een melding ook wordt opgepakt en niet ergens in de queue blijft liggen.
05
Houd vast
Een doorlopende cyclus: het landschap en de dreiging veranderen, de detectie en de toets bewegen mee, onafhankelijk van je MSSP.
Doorlopend
levert›››
Wat je overhoudt
Getoetste dekking op de technieken die ertoe doen
Runbooks die zijn beproefd, niet aangenomen
Een kortere tijd tot je een aanval ziet
Minder blinde vlekken, minder ruis in de queue
Bewijs voor het bestuur dat het juiste wordt gevangen
Grip op de uitvoering, onafhankelijk van je MSSP
Een doorlopende cyclus die de detectie scherp houdt

Het onderscheid

Eerst toetsen, dan vertrouwen

Het gangbare advies koopt detectie als product: zet een platform aan, teken een contract, vink dekking af. Daarom toetsen wij eerst of de detectie überhaupt afgaat tegen echte aanvalstechnieken voordat we hem als werkend rekenen. Geen aanname dat de regel vuurt, maar bewijs dat hij het doet.

Dat kan omdat de bottleneck zelden in de tool zit, maar in welke use cases zijn gebouwd, welke bronnen zijn aangesloten en wie de melding opvolgt. De kwaliteit van een SOC stamt uit mensen en proces, niet uit de hoeveelheid tooling.

Werkt mét wat je al draait

Je bestaande SIEM, SOC en MDR-contract blijven staan. We bouwen geen nieuwe laag erbovenop, maar maken de detectie die je al hebt aantoonbaar werkend. Een tool of dienst is een middel, geen doel.

Onafhankelijk van je MSSP

De detectie is van jou, niet van de leverancier die hem draait. Co-managed, intern of MDR is een keuze die past bij je volwassenheid en wat je kunt volhouden. We adviseren het model dat werkt, los van welk platform eronder zit.

Onze seniors voeren ook uit

De markt levert een rapport met monitor je omgeving en laat de uitvoering bij jou, of de uitbestede Tier 1 die afhaakt zodra het lastig wordt. Dezelfde senior die bepaalt wat gedetecteerd moet zijn, bouwt de detectie en toetst haar.

Sectorervaring

De platformen die we adviseren, hebben we zelf geleverd.

Wij leverden de leidende SIEM- en SOAR-platformen in deze sectoren. Waar gevraagd adviseerden we over de selectie en de inrichting.

  • Banking en financiële dienstverlening
  • Energie-infrastructuur
  • FMCG en industrie
  • Verzekeren
  • Crypto en trading
  • Juridische dienstverlening

Uit de praktijk

Detectie die meer ziet, voor minder geld.

Een wereldwijde industriële multinational miste aanvallen terwijl de SIEM-rekening opliep. Wij bouwden een kostefficiënte multi-SIEM-architectuur die meer ziet, gedragen door hetzelfde team.

Wereldwijde industriële multinational · ± 27.000 werkplekkenMeer coverage, lagere kosten, hetzelfde teamLees de klantcase

Aan de slag

Zou je het zien als een aanvaller binnen is?

Geen detectieplan van honderd pagina’s. Eén gesprek waarin we bepalen wat je betrouwbaar moet zien, en of je huidige SOC of MDR de technieken vangt die er voor jou toe doen.

Plan een gesprek

30 minuten met een senior, geen pitch.

Gesprek aanvragenBel direct088 - 163 23 25