Case: Dexter IDS — Autonome Dreigingsdetectie

📚 Context

Aanvallen stoppen niet om 17u. Uw beveiliging ook niet.

Moderne infrastructuur wordt continu gescand en aangevallen — brute force pogingen, vulnerability scans, credential stuffing. Traditionele oplossingen vereisen een team dat alerts monitort en handmatig ingrijpt. Dexter elimineert die bottleneck volledig.

🔥 Uitdagingen

Honderden brute-force aanvallen per dag op SSH/RDP
Geen 24/7 SOC-capaciteit voor kleine organisaties
Alert fatigue: duizenden logs zonder actionable intelligence
Handmatige firewall-aanpassingen zijn te traag
Geen correlatie tussen events op verschillende servers

✅ Oplossingen

AI-agent met Wazuh SIEM als datasource voor alle events
Autonome response pipeline: detect → analyze → act
Gelaagde respons: geo-block, rate-limit, isolatie
GeoIP enrichment voor automatische herkomstanalyse
Cross-server correlatie via gecentraliseerde event bus

⏱ Incident Timeline

Van aanval tot neutralisatie: een echt scenario

Dit is hoe Dexter een daadwerkelijke aanval afhandelt — volledig autonoom, zonder menselijke tussenkomst:

T+0s — Detectie

Brute-force poging gedetecteerd

Wazuh detecteert 15 mislukte SSH-inlogpogingen binnen 60 seconden vanaf IP 185.xx.xx.xx. Alert wordt doorgestuurd naar Dexter.

T+3s — Analyse

GeoIP & Threat Intelligence

Dexter verrijkt het IP: herkomst Rusland, ASN bekend voor malafide activiteit, geen legitieme connectiehistorie. Dreigingsniveau: Hoog.

T+8s — Beslissing

Autonome escalatie naar Tier 2

Op basis van IOC-score en de combinatie van brute-force + onbekend subnet besluit Dexter tot onmiddellijke firewall-blokkade op netwerkniveau.

T+12s — Neutralisatie

Firewall regel actief + Alert verzonden

IP geblokkeerd via UniFi firewall API. Telegram-notificatie verstuurd met volledige analyse. Totale reactietijd: 12 seconden.

💡 Kernfuncties

Intelligente, gelaagde verdediging

🌎

Geo-Blocking

Automatische landenblokkades op basis van dreigingsprofielen. Configureerbaar per service: publieke diensten behouden bereikbaarheid.

🛡

Host Isolatie

Bij bevestigde IOCs kan Dexter een gecompromitteerde host volledig isoleren van het netwerk via firewall-regels en VLAN-segmentatie.

🧠

IOC Correlatie

Indicators of Compromise worden gecorreleerd over meerdere servers. Eén verdacht IP op drie servers = automatische escalatie.

🔒

Beschermde Assets

Kritieke infrastructuur (Proxmox, NAS, gateway) heeft extra beschermingslagen die bevestiging vereisen voordat isolatie wordt toegepast.

📊

SSL & Uptime Monitoring

Dagelijkse SSL-certificaat checks en 5-minuten uptime monitoring voor alle websites en diensten met directe alerting.

💬

Real-time Alerting

Elke actie wordt gerapporteerd via Telegram met volledige context: IP, herkomst, IOC-score, genomen actie en resterende risico's.

🔧 Tech Stack

Security-first architectuur

Wazuh SIEM Python Claude AI (Analyse) UniFi Firewall API GeoIP Enrichment Telegram Alerts systemd Timers SSL Monitor VLAN Segmentatie Threat Intelligence Feeds

“Ik werd om 3 uur ’s nachts wakker van een Telegram-alert: Dexter had een gecoördineerde brute-force aanval gedetecteerd, geanalyseerd en geblokkeerd — alles in 12 seconden. Ik kon gewoon doorslapen.”

— Tom Cool, Security Architect

📈 Impact

Enterprise-grade beveiliging, zonder enterprise-budget

Dexter biedt het beschermingsniveau van een 24/7 SOC-team voor een fractie van de kosten. Door de combinatie van AI-gestuurde analyse en autonome response worden aanvallen geneutraliseerd voordat ze schade kunnen aanrichten.

Het systeem leert continu: nieuwe aanvalspatronen worden herkend, dreigingsprofielen worden bijgewerkt, en de response-logica wordt verfijnd op basis van false-positive feedback. Het resultaat is een steeds slimmere verdediging die meegroeit met het dreigingslandschap.

Autonome Dreigingsdetectie