Architecturen
Aanbevolen architecturen voor SIEM-stackimplementatie, afgestemd op organisatorische contexten en middelen. Allemaal ontworpen voor forensische datacollectie, threat detection en incident response, met bescherming van privacy en wettelijke compliance. Aanpasbaar voor opvangcentra, hulpverlenersnetwerken of gedecentraliseerde community-implementaties.
Opvanggerichte on-premise implementatie (Low-tech, all-in-one)
Ideaal voor: Opvangcentra met betrouwbaar intern netwerk en technisch aanspreekpunt.
- Perfect voor kleine opvang zonder IT-team
- Werkt offline of semi-verbonden
- Logimport via USB mogelijk bij internetrisico
Architectuur: Single-VM lokale implementatie
+---------------------------+ +---------------------------+
| Opvanglaptop | | Optionele PiRogue |
| (Ubuntu VM of host OS) | | (Veldanalyse-apparaat) |
|---------------------------| |---------------------------|
| - Wazuh Manager | | - PiRogue OS |
| - Elasticsearch | | - Packet capture tools |
| - Kibana | | - USB-logimport |
| - setup.sh automatisering | +---------------------------+
+---------------------------+ |
| |
| Beveiligd LAN / USB-import |
v v
+---------------------------+ +----------------------------+
| Slachtofferapparaten | | Veldapparaten (bijv. |
| (Windows/macOS/Android) | | verdachte telefoon) |
+---------------------------+ +----------------------------+
- Fysieke of virtuele IPA-SIEM-server ter plaatse
- Draait Wazuh Manager, Elasticsearch en Kibana
- Bevat geautomatiseerde scripts (o.a.
quarantine_device.sh)
- Wazuh-agents geïnstalleerd op:
- Windows/macOS-apparaten (direct of via USB)
- Android (via Termux op geroote toestellen)
- iOS (gejailbreakt of offline backups)
- Intern netwerk voor veilige logoverdracht
- Optioneel beveiligd PiRogue-apparaat voor lokale analyse
Voordelen: Data blijft lokaal; sterke privacy; Nadelen: Vereist lokale technische kennis
Private cloud-implementatie (Opvang/NGO-beheerd)
Ideaal voor: Organisaties met meerdere locaties.
- Externe toegang voor multilocatie-organisaties
- Vereist sterke VPN/versleutelde backups
- Lager lokaal risico, hogere opsec-discipline
Architectuur: Beveiligde cloud-SIEM (bijv. Hetzner)
+---------------------------------+
| Versleutelde cloud-VM |
|---------------------------------|
| - Wazuh Manager |
| - Elasticsearch |
| - Kibana |
| - HTTPS-toegang (VPN optioneel) |
+---------------------------------+
|
| Versleutelde logoverdracht
v
+---------------------------------+
| Slachtofferapparaten wereldwijd |
| (via Wazuh-agent/ADB/iTunes) |
+---------------------------------+
- Cloud-VM (bijv. Hetzner) met:
- Wazuh + Elasticsearch + Kibana-stack
- Versleutelde VPN-toegang
- Apparaten verbinden via beveiligde tunnel (WireGuard)
- Logs lokaal geanonimiseerd voor overdracht
Voordelen: Centraal overzicht; Nadelen: Cloudkennis vereist
Draagbaar analyse-lab (Offline-first)
Ideaal voor: Spoedeisende hulp, mobiele ondersteuning.
- Geen internet nodig
- Data wisbaar na export
- Compacte setup
Architectuur: Draagbare “Go Bag”-SIEM (Raspberry Pi of laptop)
+--------------------------------+
| Draagbaar analyse-apparaat |
| (Linux-laptop of Pi 4) |
|--------------------------------|
| - Wazuh Manager |
| - Kibana (alleen lokaal) |
| - setup.sh draagbare modus |
+--------------------------------+
|
| USB/Wi-Fi logoverdracht
v
+--------------------------------+
| Slachtofferapparaat (offline) |
+--------------------------------+
- Robuuste laptop of Pi-workstation met:
- Voorgeïnstalleerde SIEM-stack
- Luchtdichte beveiliging
- USB-tools voor dataverzameling
- Rapporten tijdelijk op versleutelde schijf
- Handmatige sync mogelijk
Voordelen: Internetonafhankelijk; Nadelen: Beperkte opslag
Gedecentraliseerde hulpverlenersnodes
Ideaal voor: Netwerken van kleine organisaties.
- Meerdere opvanglocaties delen anonieme data
- Centrale ondersteuning voor triage
- Werkt optimaal met technische partner
Architectuur: Gedistribueerde setup
+--------------------------+ +--------------------------+
| Opvanglocatie A | | Opvanglocatie B |
|--------------------------| |--------------------------|
| - Wazuh-agent/collector | --> | - Wazuh-agent/collector |
+--------------------------+ +--------------------------+
\ /
\ /
v v
+---------------------------+
| Centrale SIEM-analist-VM |
|---------------------------|
| - Wazuh Manager |
| - Elasticsearch + Kibana |
+---------------------------+
- Lichtgewicht SIEM-nodes (Raspberry Pi 5) per hulpverlener
- Elke node verwerkt:
- 1-2 apparaten tegelijk
- Real-time analyse met vooraf ingestelde regels
- Periodieke sync met centrale node
Voordelen: Kosteneffectief, veerkrachtig; Nadelen: Minder centraal overzicht
Hybride gemeenschapsnetwerk
Ideaal voor: Grote samenwerkingsverbanden.
- Voor training of juridische ondersteuning
- Gebruik van nagebootste stalkerware-sporen
- Volledig geïsoleerde sandbox-omgeving
Architectuur: Trainings-/onderzoeksomgeving
+------------------------------+
| Onderzoeks-VM(s) |
|------------------------------|
| - Wazuh Manager |
| - Geïnfecteerde VM-images |
| - Log-replay functionaliteit |
+------------------------------+
|
| Export van schone bewijslast
v
+------------------------------+
| Archief / Juridisch bewijs |
+------------------------------+
- Gelaagd systeem met:
- Centrale cloud-SIEM voor coördinatie
- Veldunits met vooraf geconfigureerde scripts
- Webinterface voor handmatige logupload
Voordelen: Combineert het beste van beide werelden - centrale beveiliging met lokale actie;
Nadelen: Vereist goede coördinatie en toegangscontroles tussen lagen
Ontwerpoverwegingen
- Gegevensbescherming: Gebruik volledige schijfversleuteling op alle nodes. Logs moeten standaard geanonimiseerd worden tenzij expliciete toestemming is verkregen.
- Audittrails: Alle forensische acties moeten onveranderlijke logs genereren voor juridische toelaatbaarheid.
- Updates: Scriptgebaseerde updates (bijv. via Git of USB-sync) moeten regelmatig worden uitgevoerd om detectienauwkeurigheid te behouden.
- Bedreigingshandtekeningen: Gedeelde, bijgewerkte regelpakketten voor IPA-bewakingspatronen (bijv. “Rekenmachine+” malware, SIM-spoofing logs).