Microsoft Sentinel parallel zu einem vorhandenen SIEM bereitstellen
Ihr SOC-Team (Security Operations Center) verwendet zentrale SIEM- (Security Information and Event Management) und SOAR-Lösungen (Security Orchestration, Automation and Response), um Ihre zunehmend dezentralisierte digitale Infrastruktur zu schützen.
In diesem Artikel wird beschrieben, wie Sie Microsoft Sentinel in einer parallelen Konfiguration zusammen mit Ihrem vorhandenen SIEM bereitstellen.
Auswählen eines Ansatzes und einer Methode für den Parallelbetrieb
Verwenden Sie eine parallele Architektur entweder für eine kurzfristige Übergangsphase, die eine vollständig in der Cloud gehostete SIEM-Lösung zum Ziel hat, oder als mittel- bis langfristiges Betriebsmodell, je nachdem, welche SIEM-Anforderungen in Ihrer Organisation bestehen.
Normalerweise empfiehlt es sich, eine parallele Architektur nur zu verwenden, bis eine Migration zu Microsoft Sentinel abgeschlossen ist; allerdings kann es für Ihr Unternehmen nützlich sein, länger an der parallelen Konfiguration festzuhalten, beispielsweise für den Fall, dass Sie noch nicht dazu bereit sind, die Legacy-SIEM-Lösung aufzugeben. Organisationen, die langfristig auf eine parallele Konfiguration setzen, verwenden Microsoft Sentinel in der Regel ausschließlich dazu, die Clouddaten zu analysieren.
Berücksichtigen Sie die Vor- und Nachteile des jeweiligen Ansatzes, wenn Sie entscheiden, welchen Sie verwenden möchten.
Hinweis
Viele Organisationen vermeiden aufgrund von Kosten und Komplexität die Ausführung mehrerer lokaler Analyselösungen.
Microsoft Sentinel bietet die Vorteile einer nutzungsbasierten Bezahlung und einer flexiblen Infrastruktur, sodass SOC-Teams Zeit haben, sich an die Änderung anzupassen. Stellen Sie Ihre Inhalte in einem Tempo bereit, das für Ihre Organisation am besten geeignet ist, und erfahren Sie, wie Sie vollständig zu Microsoft Sentinel migrieren können.
Kurzfristiger Ansatz
| Vorteile | Nachteile |
|---|---|
| • Bietet SOC-Mitarbeitern Zeit für die Anpassung an neue Prozesse, wenn Sie Workloads und Analysen bereitstellen • Erzielt für Hunting-Szenarios datenquellenübergreifend eine umfassende Korrelation • Sie müssen keine Analysen zwischen SIEM-Lösungen durchführen, Weiterleitungsregeln erstellen und Untersuchungen an zwei Stellen abschließen • Ermöglicht es Ihrem SOC-Team, Legacy-SIEM-Lösungen schnell herabzustufen, wodurch Infrastruktur- und Lizenzkosten entfallen |
• Kann eine steile Lernkurve für SOC-Mitarbeiter erfordern |
Mittel- bis langfristiger Ansatz
| Vorteile | Nachteile |
|---|---|
| • Ermöglicht die Inanspruchnahme wichtiger Microsoft Azure Sentinel-Vorteile, z. B. KI, ML und Untersuchungsfunktionen, ohne die Legacy-SIEM-Lösung vollständig aufgeben zu müssen • Spart im Vergleich zur Legacy-SIEM-Lösung Geld, indem Cloud- oder Microsoft-Daten in Microsoft Azure Sentinel analysiert werden |
• Erhöht die Komplexität, indem Analysen datenbankübergreifend getrennt werden • Teilt Fallverwaltung und Untersuchungen für in mehreren Umgebungen auftretende Vorfälle auf • Es fallen höhere Personal- und Infrastrukturkosten an • Erfordert, dass sich SOC-Mitarbeiter mit zwei verschiedenen SIEM-Lösungen auskennen müssen |
Senden von Warnungen von einer Legacy-SIEM-Lösung an Microsoft Sentinel (empfohlen)
Senden Sie Warnungen oder Indikatoren für anomale Aktivitäten von Ihrer Legacy-SIEM-Lösung an Microsoft Sentinel.
- Erfassen und analysieren Sie Clouddaten in Microsoft Sentinel.
- Verwenden Sie Ihre Legacy-SIEM-Lösung, um lokale Daten zu analysieren und Warnungen zu generieren.
- Leiten Sie die Warnungen von der lokalen SIEM-Lösung an Microsoft Sentinel weiter, um eine zentrale Schnittstelle einzurichten.
Leiten Sie beispielsweise Warnungen mithilfe von Logstash, APIs oder Syslog weiter, und speichern Sie sie im JSON-Format im Log Analytics-Arbeitsbereich von Microsoft Sentinel.
Durch das Senden von Warnungen von der Legacy-SIEM-Lösung an Microsoft Sentinel kann Ihr Team diese Warnungen in Microsoft Sentinel übergreifend korrelieren und untersuchen. Das Team kann bei Bedarf weiterhin auf die Legacy-SIEM-Lösung zugreifen, um eine ausführlichere Untersuchung durchzuführen. In der Zwischenzeit können Sie das Bereitstellen von Datenquellen über einen längeren Übergangszeitraum hinweg fortsetzen.
Diese empfohlene Methode für die Bereitstellung im Parallelbetrieb bietet Ihnen den vollen Nutzen von Microsoft Sentinel und die Möglichkeit, Datenquellen in dem für Ihre Organisation geeigneten Tempo bereitzustellen. Mit diesem Ansatz wird die Verdopplung der Kosten für Datenspeicherung und -erfassung verhindert, während Sie die Datenquellen entsprechend überführen.
Weitere Informationen finden Sie unter:
- Migrieren von QRadar-Verstößen zu Microsoft Sentinel
- Exportieren von Daten aus Splunk in Microsoft Sentinel
Wenn Sie vollständig zu Microsoft Sentinel migrieren möchten, lesen Sie den vollständigen Migrationsleitfaden.
Senden von Warnungen und angereicherten Incidents von Microsoft Sentinel an eine Legacy-SIEM-Lösung
Analysieren Sie einige Daten in Microsoft Sentinel, z. B. Clouddaten, und senden Sie die generierten Warnungen dann an eine Legacy-SIEM-Lösung. Verwenden Sie die Legacy-SIEM-Lösung als einzige Schnittstelle, um eine Kreuzkorrelation mit den von Microsoft Sentinel generierten Warnungen vorzunehmen. Sie können Microsoft Sentinel weiterhin verwenden, um die von Microsoft Sentinel generierten Warnungen eingehender zu untersuchen.
Diese Konfiguration ist kostengünstig, da Sie die Clouddatenanalyse in Microsoft Sentinel auslagern können, ohne Kosten zu verdoppeln oder zweimal für Daten zu bezahlen. Sie haben weiterhin die Möglichkeit, die Migration in Ihrem eigenen Tempo durchzuführen. Wenn Sie damit fortfahren, Datenquellen und Erkennungen in Microsoft Sentinel auszulagern, wird es einfacher, die Migration zu Microsoft Sentinel durchzuführen und Microsoft Sentinel als primäre Schnittstelle zu verwenden. Durch die einfache Weiterleitung angereicherter Incidents an eine Legacy-SIEM-Lösung wird jedoch der Nutzen der Untersuchungs-, Hunting- und Automatisierungsfunktionen von Microsoft Sentinel eingeschränkt.
Weitere Informationen finden Sie unter
- Senden von angereicherten Microsoft Sentinel-Warnungen an eine Legacy-SIEM-Lösung
- Senden von angereicherten Microsoft Sentinel-Warnungen an IBM QRadar
- Erfassen von Microsoft Sentinel-Warnungen in Splunk
Andere Methoden
In der folgenden Tabelle werden die nicht empfohlenen Konfigurationen für den Parallelbetrieb zusammen mit den diesbezüglichen Gründen beschrieben:
| Methode | BESCHREIBUNG |
|---|---|
| Senden von Microsoft Sentinel-Protokollen an eine Legacy-SIEM-Lösung | Mit dieser Methode werden die Kosten und Skalierungsprobleme der lokalen SIEM-Lösung weiter bestehen bleiben. Sie bezahlen für die Datenerfassung in Microsoft Sentinel, zusammen mit den Speicherkosten in Verbindung mit der Legacy-SIEM-Lösung, und Sie können die SIEM- und SOAR-Erkennungs-, Analyse-, User Entity Behavior Analytics (UEBA)-, KI- oder Untersuchungs- und Automatisierungstools von Microsoft Sentinel nicht nutzen. |
| Senden von Protokollen aus einer Legacy-SIEM-Lösung an Microsoft Sentinel | Diese Methode bietet zwar die vollständige Funktionalität von Microsoft Sentinel, aber Ihre Organisation bezahlt trotzdem für zwei verschiedene Datenerfassungsquellen. Dieses Modell kann nicht nur dazu führen, dass die Komplexität der Architektur zunimmt, sondern auch Kostensteigerungen nach sich ziehen. |
| Verwenden von Microsoft Sentinel und der Legacy-SIEM-Lösung als zwei vollständig separate Lösungen | Sie können Microsoft Sentinel verwenden, um einige Datenquellen zu analysieren, z. B. die Clouddaten, und die lokale SIEM-Lösung weiterhin für andere Quellen einsetzen. Dieses Setup ermöglicht klare Grenzen für die Verwendung der jeweiligen Lösung und verhindert die Verdoppelung von Kosten. Die Kreuzkorrelation wird jedoch erschwert, und Sie können Angriffe, die beide Datenquellengruppen betreffen, nicht vollständig diagnostizieren. In der heutigen Bedrohungslandschaft, in der sich Bedrohungen häufig lateral durch eine Organisation ausbreiten, können solche Transparenzlücken erhebliche Sicherheitsrisiken darstellen. |
Verwenden von Automatisierung zum Optimieren von Prozessen
Verwenden Sie automatisierte Workflows, um Warnungen zu einem allgemeinen Incident zu gruppieren und zu priorisieren und die zugehörige Priorität zu ändern.
Weitere Informationen finden Sie unter:
- Sicherheitsorchestrierung, Automatisierung und Reaktion (Security Orchestration, Automation and Response, SOAR) in Microsoft Sentinel
- Automatisieren der Bedrohungsabwehr mit Playbooks in Microsoft Sentinel
- Automatisierung der Vorfallbehandlung in Microsoft Sentinel mit Automatisierungsregeln
Nächste Schritte
Sehen Sie sich die Microsoft Sentinel-Ressourcen von Microsoft an, um Ihre Qualifikationen zu erweitern und Microsoft Sentinel optimal zu nutzen.
Erwägen Sie auch, Ihren Bedrohungsschutz zu erhöhen, indem Sie Microsoft Sentinel zusammen mit Microsoft Defender XDR und Microsoft Defender für Cloud für integrierte Bedrohungsschutz verwenden. Profitieren Sie von der Breite der Sichtbarkeit, die Microsoft Sentinel bietet, während Sie sich eingehender mit der detaillierten Bedrohungsanalyse befassen.
Weitere Informationen finden Sie unter:
- Bewährte Methoden für Regelmigration
- Webinar: Bewährte Methoden zum Konvertieren von Erkennungsregeln
- Sicherheitsorchestrierung, Automatisierung und Reaktion (Security Orchestration, Automation and Response, SOAR) in Microsoft Sentinel
- Bessere Verwaltung von SOC mit Incidentmetriken
- Microsoft Sentinel-Lernpfad
- SC-200 Microsoft Security Operations Analyst-Zertifizierung
- Microsoft Sentinel-Ninja-Training
- Nutzen von Microsoft Sentinel zur Untersuchung eines Angriffs auf eine Hybridumgebung