Registratie voor Nomios Next is nu live! Schrijf je in voor hèt cybersecurity event van 2026. Meer info

Neem contact op
SOC

De data layer als fundament van de moderne SOC

Richard Landman
Placeholder for Richard landman 1024x1024Richard landman 1024x1024

Richard Landman , Marketing & Portfolio Director , Nomios Nederland

3 min. leestijd
Placeholder for Data layer modern soc cybersecurityData layer modern soc cybersecurity
Palo Alto Networks

Share

Wie een modern Security Operations Centre wil bouwen of vernieuwen, komt vroeg of laat tot dezelfde conclusie: de kwaliteit van de data layer bepaalt de kwaliteit van alles daarboven. Detectie, respons, automatisering, rapportage — het staat of valt met hoe goed je security data wordt verzameld, genormaliseerd en ontsloten.

Toch wordt de data layer in veel SOC-trajecten nog altijd als bijzaak behandeld. Organisaties investeren fors in SIEM-technologie, detection engineering en playbook-automatisering, terwijl de onderliggende datafundamenten niet op orde zijn. Het resultaat: hoge opslagkosten, trage queries, detectieregels die telkens breken door inconsistente log-formats, en analisten die meer tijd kwijt zijn aan dataproblemen dan aan echte dreigingen.

Wat maakt de data layer zo complex?

Security data is van nature divers, luidruchtig en groot. Firewalls, endpoints, cloudomgevingen, identiteitssystemen, applicaties — elk bron spreekt zijn eigen taal, levert zijn eigen formaten, en genereert volumes die bij grotere organisaties al snel oplopen tot honderden miljarden events per dag.

De uitdaging is drieledig:

Volume en kosten. De meeste organisaties kunnen het zich niet veroorloven alles op te slaan zonder onderscheid. Intelligente tiering — het scheiden van hot data voor realtime detectie en cold data voor forensisch onderzoek — is geen luxe, maar noodzaak.

Normalisatie en kwaliteit. Ruwe logs zijn voor detectie-engineering wat grondstof is voor productie: het eindproduct is alleen zo goed als de verwerking. Inconsistente veldnamen, ontbrekende timestamps of verkeerd geclassificeerde events ondermijnen zelfs de beste detectielogica.

Observability op de data zelf. Weet je wat er door je pipeline stroomt? Hoeveel events worden dropped? Waar introduceer je latency? Zonder inzicht in de datapipeline zelf, is de SOC feitelijk een black box.

De markt in beweging

De erkenning dat data layer-architectuur een eigen discipline is, heeft geleid tot een groeiend ecosysteem van gespecialiseerde tooling. Waar traditionele SIEM-platforms lange tijd alles onder één dak probeerden te houden, zien we nu een duidelijke verschuiving richting gelaagde architecturen.

Aan de SIEM- en XDR-kant is Palo Alto Networks XSIAM een platform dat deze uitdaging serieus neemt. XSIAM is ontworpen als een geïntegreerde security operations-basis: het combineert data-ingest, normalisatie, detectie, SOAR-automatisering en case management in één platform, maar met een expliciete focus op de onderliggende data-architectuur. De schaalbare opslag, de normalisatie via XDIM (de eigen data model-laag), en de native integratie met Cortex XSOAR — waarmee Nomios zelf zijn eigen SOC drijft — maken XSIAM tot een coherente keuze voor organisaties die grip willen op hun volledige security data lifecycle.

Tegelijkertijd is er groeiende aandacht voor observability-platformen die specifiek zijn gebouwd voor de schaal en het karakter van security telemetry. Chronosphere is in dat segment een opvallende speler: het platform is origineel ontworpen voor cloud-native observability op extreem hoge volumes, met sterke nadruk op kostenbeheersing en selectieve opslag. De recente overname van Chronosphere door Palo Alto Networks is in dat licht veelzeggend. Het laat zien dat de markt de observability van de data layer erkent als integraal onderdeel van de security operations-stack — en dat de grenzen tussen observability en security steeds verder vervagen.

Andere relevante spelers in dit segment zijn Cribl, dat zich heeft gevestigd als toonaangevende data routing- en transformatie-laag tussen bron en SIEM. Cribl Stream biedt granulaire controle over welke data waar naartoe gaat, en maakt het mogelijk om kosten te beheersen zonder detectiedekking in te leveren. Eveneens het noemen waard is Elastic Security, dat vanuit zijn opensourceachtergrond een flexibele, schaalbare datastackaanbiedt en in veel hybride omgevingen als alternatief of aanvulling op traditionele SIEM-platforms wordt ingezet.

Wat betekent dit voor de SOC-architectuur?

De implicaties zijn concreet. Een moderne SOC-architectuur vraagt niet alleen een keuze voor een SIEM of XDR-platform, maar ook een expliciete strategie voor:

  • Data ingest en routing: welke bronnen, welke volumes, welke filtering aan de bron?
  • Normalisatie: wordt data verwerkt conform een uniform datamodel voordat het in detectie-regels wordt gebruikt?
  • Tiering en retentie: wat bewaar je hoe lang, en waar — voor welke kosten?
  • Observability van de pipeline zelf: is zichtbaar wat er stroomt, wat verloren gaat, en waar vertraging ontstaat?

Bij Nomios zien we dit dagelijks in de praktijk. We begeleiden klanten bij de overgang naar — en inrichting van — XSIAM als volgende generatie security operations-platform. De integratie van Chronosphere binnen het Palo Alto-ecosysteem sluit aan bij onze overtuiging dat data layer-volwassenheid een voorwaarde is voor effectieve detectie en respons, niet een bijproduct ervan.

Conclusie

De keuze voor een SOC-platform is steeds minder een keuze voor een monolithisch product, en steeds meer een architectuurbeslissing over hoe data stroomt, wordt verwerkt, opgeslagen en ontsloten. Wie die laag serieus neemt — met de juiste tooling, de juiste normalisatiestrategie en de juiste focus op observability — legt een fundament waarop detectie en respons daadwerkelijk kunnen presteren.

Wil je weten hoe Nomios organisaties helpt bij het ontwerpen en inrichten van een robuuste SOC data layer? Neem contact met ons op voor een gesprek.

Meld je aan voor onze nieuwsbrief

Ontvang het laatste security nieuws, inzichten en markttrends in jouw inbox.

Artikelen

Meer updates

Placeholder for Palo alto networks cortex xdrPalo alto networks cortex xdr
Palo Alto Networks

SIEM MDR

Cortex XDR als SIEM light: krachtige detectie en compliance zonder de complexiteit

Veel organisaties worstelen met dezelfde afweging: we weten dat we meer zicht nodig hebben op wat er in onze omgeving gebeurt, maar een volledig SIEM-platform voelt als een grote stap — duur, complex om te beheren en zwaar om te implementeren.

Richard Landman
Placeholder for Richard landman 1024x1024Richard landman 1024x1024

Richard Landman

3 min. leestijd
Placeholder for Accelerate25 blog heroAccelerate25 blog hero
Fortinet

SASE

FortiOS 8.0: veilig netwerken in het AI-tijdperk

Tijdens Fortinet Accelerate 2026 in Las Vegas introduceerde Fortinet FortiOS 8.0, de nieuwste versie van het besturingssysteem dat de Fortinet Security Fabric aandrijft.

Michel Adelaar
Placeholder for Michel AdelaarMichel Adelaar

Michel Adelaar

2 min. leestijd
Placeholder for HPE Juniper SRX400HPE Juniper SRX400
HPE

NGFW

Beveiliging van core tot edge: HPE Juniper Networks introduceert de SRX400-serie

Eén van de meest concrete aankondigingen is de HPE Juniper Networking SRX400-serie: een compacte next-generation firewall die carrier-grade beveiliging naar de rand van het netwerk brengt.

Richard Landman
Placeholder for Richard landman 1024x1024Richard landman 1024x1024

Richard Landman

2 min. leestijd
 Alle artikelen