Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Týmy soc (Security Operations Center) používají centralizované řešení pro správu událostí a informace o zabezpečení (SIEM) a orchestraci zabezpečení, automatizaci a reakci (SOAR) k ochraně stále decentralizovanějších digitálních aktiv. Starší systémy SIEM sice můžou udržovat dobré pokrytí místních prostředků, ale místní architektury můžou mít nedostatečné pokrytí cloudových prostředků, jako jsou Azure, Microsoft 365, AWS nebo Google Cloud Platform (GCP). Microsoft Sentinel může naproti tomu ingestovat data z místních i cloudových prostředků a zajistit pokrytí celého majetku.
Tento článek popisuje důvody migrace ze starší verze SIEM a popisuje, jak naplánovat různé fáze migrace.
Kroky migrace
V této příručce se dozvíte, jak migrovat starší verzi SIEM do Microsoft Sentinelu. V této sérii článků si projděte proces migrace, ve kterém se dozvíte, jak v procesu procházet různé kroky.
Poznámka:
V případě řízeného procesu migrace se připojte k programu Migrace a modernizace Microsoft Sentinelu. Program vám umožní zjednodušit a urychlit migraci, včetně osvědčených postupů, zdrojů a odborné pomoci v každé fázi. Pokud se chcete dozvědět víc, obraťte se na svůj tým účtů.
| Krok | Článek |
|---|---|
| Naplánujte si migraci | Jste tady |
| Sledování migrace pomocí sešitu | Sledování migrace Microsoft Sentinelu pomocí sešitu |
| Použití prostředí migrace SIEM | Migrace SIEM (Náhled) |
| Migrace z ArcSightu | • Pravidla detekce migrace • Migrace automatizace SOAR • Export historických dat |
| Přechod ze Splunku | • Začínáme s prostředím migrace SIEM • Pravidla detekce migrace • Migrace automatizace SOAR • Export historických dat Pokud chcete migrovat nasazení Splunk Observability, přečtěte si další informace o tom, jak migrovat z Splunku do protokolů služby Azure Monitor. |
| Migrace z QRadar | • Pravidla detekce migrace • Migrace automatizovaných procesů SOAR • Export historických dat |
| Ingestování historických dat | • Vyberte cílovou platformu Azure pro hostování exportovaných historických dat. • Vyberte nástroj pro příjem dat. • Ingestování historických dat do cílové platformy |
| Převod řídicích panelů na sešity | Převod řídicích panelů na Azure Workbooks |
| Aktualizace procesů SOC | Aktualizace procesů SOC |
Co je Microsoft Sentinel?
Microsoft Sentinel je škálovatelné, nativní cloudové řešení, správa informací o zabezpečení a událostech (SIEM) a orchestrace zabezpečení, automatizace a reakce (SOAR). Microsoft Sentinel poskytuje inteligentní analýzy zabezpečení a analýzu hrozeb v celém podniku. Microsoft Sentinel poskytuje jednotné řešení pro detekci útoků, viditelnost hrozeb, proaktivní vyhledávání a reakci na hrozby. Přečtěte si další informace o Microsoft Sentinelu.
Proč migrovat ze starší verze SIEM?
Týmy SOC čelí sadě problémů při správě starší verze SIEM:
- Pomalá reakce na hrozby. Starší siEM používají pravidla korelace, která se obtížně udržují a neefektivují při identifikaci vznikajících hrozeb. Analytici SOC navíc čelí velkému množství falešně pozitivních výsledků, mnoha výstrahám z mnoha různých komponent zabezpečení a stále většímu objemu protokolů. Analýza těchto dat zpomaluje týmy SOC ve snaze reagovat na kritické hrozby v prostředí.
- Výzvy při škálování S růstem míry příjmu dat jsou týmy SOC vyzvány škálováním SIEM. Místo toho, aby se týmy SOC zaměřovaly na ochranu organizace, musí investovat do nastavení a údržby infrastruktury a jsou vázány limity úložiště nebo dotazů.
- Ruční analýza a odpověď. Týmy SOC potřebují vysoce kvalifikované analytiky k ručnímu zpracování velkých objemů výstrah. Týmy SOC jsou přepracované a noví analytici se těžko hledají.
- Složitá a neefektivní správa Týmy SOC obvykle dohlíží na orchestraci a infrastrukturu, spravují připojení mezi SIEM a různými zdroji dat a provádějí aktualizace a opravy. Tyto úlohy jsou často na úkor kritického třídění a analýzy.
Tyto problémy řeší nativní cloudový SIEM. Microsoft Sentinel shromažďuje data automaticky a ve velkém měřítku, detekuje neznámé hrozby, zkoumá hrozby pomocí umělé inteligence a reaguje na incidenty rychle pomocí integrované automatizace.
Naplánujte si migraci
Během fáze plánování identifikujete stávající komponenty SIEM, vaše stávající procesy SOC a navrhnete a naplánujete nové případy použití. Důkladné plánování umožňuje udržovat ochranu cloudových prostředků – Microsoft Azure, AWS nebo GCP – a řešení SaaS, jako je systém Microsoft Office 365.
Tento diagram popisuje fáze vysoké úrovně, které typická migrace zahrnuje. Každá fáze zahrnuje jasné cíle, klíčové aktivity a zadané výsledky a dodávky.
Fáze v tomto diagramu představují vodítko pro dokončení typického postupu migrace. Skutečná migrace nemusí zahrnovat některé fáze nebo může zahrnovat více fází. Místo kontroly celé sady fází si články v této příručce prověřují konkrétní úlohy a kroky, které jsou pro migraci Microsoft Sentinelu obzvláště důležité.
Úvahy
Projděte si tyto klíčové aspekty jednotlivých fází.
| Fáze | Úvaha |
|---|---|
| Objevte | Identifikujte případy použití a priority migrace v rámci této fáze. |
| Návrh | Definujte podrobný návrh a architekturu pro implementaci Microsoft Sentinelu. Tyto informace použijete k získání schválení od příslušných zúčastněných stran před zahájením fáze implementace. |
| Implementovat | Při implementaci součástí Microsoft Sentinelu podle fáze návrhu a před převodem celé infrastruktury zvažte, jestli místo migrace všech komponent můžete použít předem definovaný obsah Microsoft Sentinelu. Microsoft Sentinel můžete začít používat postupně, počínaje minimálním realizovatelným produktem (MVP) pro několik případů použití. Když přidáváte další případy použití, můžete tuto instanci Microsoft Sentinelu použít jako prostředí UAT (User Acceptance Testing) k ověření případů použití. |
| Uvést do provozu | Migrujete svůj obsah a procesy SOC, abyste zajistili, že se nenaruší stávající zkušenosti analytiků. |
Identifikujte své priority migrace
K určení priorit migrace použijte tyto otázky:
- Jaké jsou nejdůležitější komponenty infrastruktury, systémy, aplikace a data ve vaší firmě?
- Kdo jsou účastníci migrace? Migrace SIEM se pravděpodobně dotkne mnoha oblastí vaší firmy.
- Co řídí vaše priority? Například největší obchodní riziko, požadavky na dodržování předpisů, obchodní priority atd.
- Jaké je měřítko migrace a časová osa? Jaké faktory ovlivňují data a konečné termíny. Migrujete celý starší systém?
- Máte dovednosti, které potřebujete? Trénují vaši bezpečnostní pracovníci a jsou připravení na migraci?
- Existují ve vaší organizaci nějaké konkrétní překážky? Mají nějaké problémy vliv na plánování a plánování migrace? Například problémy, jako jsou požadavky na personál a školení, data licencí, pevné zastávky, konkrétní obchodní potřeby atd.
Než začnete s migrací, identifikujte klíčové případy použití, pravidla detekce, data a automatizaci v aktuálním systému SIEM. Přistupujte k migraci jako k postupnému procesu. Buďte záměrní a ohleduplní ohledně toho, co migrujete jako první, co odložíte a co ve skutečnosti není potřeba migrovat. Váš tým může mít obrovský počet detekcí a případů použití spuštěných v aktuálním systému SIEM. Než začnete s migrací, rozhodněte se, které jsou pro vaši firmu aktivně užitečné.
Identifikace případů použití
Při plánování fáze zjišťování využijte následující doprovodné materiály k identifikaci vašich případů použití.
- Identifikujte a analyzujte aktuální případy použití podle hrozeb, operačního systému, produktu atd.
- Jaký je rozsah? Chcete migrovat všechny případy použití nebo použít některá kritéria stanovení priority?
- Určete, které prostředky zabezpečení jsou pro vaši migraci nejdůležitější.
- Jaké případy použití jsou účinné? Dobrým výchozím místem je podívat se, které detekce v minulém roce přinesly výsledky (falešně pozitivní míra versus skutečná pozitivní míra).
- Jaké jsou obchodní priority, které ovlivňují migraci případů použití? Jaká jsou největší rizika pro vaši firmu? Jaký typ problémů nejvíce riskuje vaše podnikání?
- Určete prioritu podle charakteristik případů použití.
- Zvažte nastavení nižších a vyšších priorit. Doporučujeme zaměřit se na detekce, které by u výstražných kanálů zajistily 90 procent skutečných pozitivních nálezů. Případy použití, které způsobují vysokou míru falešných pozitiv, mohou být pro vaši firmu nižší prioritou.
- Vyberte případy použití, které odůvodňují migraci pravidel z hlediska obchodní priority a účinnosti:
- Zkontrolujte pravidla, která za posledních 6 až 12 měsíců neaktivovala žádná upozornění.
- Odstraňte hrozby nízké úrovně nebo výstrahy, které rutinně ignorujete.
- Připravte proces ověření. Definujte testovací scénáře a sestavte testovací skript.
- Můžete použít metodologii pro stanovení priorit případů použití? Podle metodologie, jako je MoSCoW, můžete určit prioritu štíhlé sady případů použití pro migraci.
Další krok
V tomto článku jste se dozvěděli, jak naplánovat a připravit se na migraci.