Freigeben über

Planen der Migration zu Microsoft Sentinel

  • Artikel

SOC-(Security Operations Center-)Teams verwenden zentrale SIEM- (Security Information and Event Management-) und SOAR-(Security Orchestration, Automation and Response-)Lösungen, um ihre zunehmend dezentralisierte digitale Infrastruktur zu schützen. Während ältere SIEM-Lösungen eine gute Abdeckung lokaler Ressourcen beibehalten können, haben lokale Architekturen möglicherweise eine unzureichende Abdeckung für Cloudressourcen, wie z. B. in Azure, Microsoft 365, AWS oder Google Cloud Platform (GCP). Im Gegensatz dazu können Sie mit Microsoft Sentinel Daten aus lokalen Systemen sowie aus Cloudressourcen erfassen und so die Abdeckung der gesamten Ressourcen sicherstellen.

In diesem Artikel werden die Gründe für die Migration von einer Legacy-SIEM-Lösung erörtert, und Sie erfahren, wie Sie die verschiedenen Phasen Ihrer Migration planen.

Schritte bei der Migration

In diesem Leitfaden erfahren Sie, wie Sie Ihre Legacy-SIEM-Lösung zu Microsoft Sentinel migrieren. Führen Sie Ihren Migrationsprozess anhand dieser Artikelreihe aus, in der Sie erfahren, wie Sie bei den verschiedenen Schritten im Prozess am besten navigieren.

Hinweis

Wenn Sie einen geführten Migrationsprozess wünschen, nehmen Sie am Microsoft Sentinel-Migrations- und Modernisierungsprogramm teil. Das Programm ermöglicht es Ihnen, die Migration zu vereinfachen und zu beschleunigen, und es bietet Best-Practice-Leitfäden, Ressourcen und Expertenhilfe in jeder Phase. Weitere Informationen erhalten Sie von Ihrem Kontoteam.

Schritt Artikel
Planen Ihrer Migration Sie sind hier
Nachverfolgen der Migration mit einer Arbeitsmappe Nachverfolgen ihrer Microsoft Sentinel-Migration mit einer Arbeitsmappe
Verwenden der SIEM-Migrationsumgebung SIEM-Migration (Vorschau)
Migrieren von ArcSight Migrieren von Erkennungsregeln
Migrieren der SOAR-Automatisierung
Exportieren von Verlaufsdaten
Migrieren von Splunk Migrieren von Erkennungsregeln
Migrieren der SOAR-Automatisierung
Exportieren von Verlaufsdaten

Um Ihre Splunk Observability-Bereitstellung zu migrieren, lesen Sie die Anleitung für die Migration von Splunk zu Azure Monitor Protokollen.
Migrieren von QRadar Migrieren von Erkennungsregeln
Migrieren der SOAR-Automatisierung
Exportieren von Verlaufsdaten
Erfassen historischer Daten Eine Azure-Zielplattform zum Hosten der exportierten Verlaufsdaten auswählen
Ein Datenerfassungstool auswählen
Verlaufsdaten auf Ihrer Zielplattform erfassen
Konvertieren von Dashboards in Arbeitsmappen Dashboards in Azure-Arbeitsmappen konvertieren
Aktualisieren von SOC-Prozessen Aktualisieren von SOC-Prozessen

Was ist Microsoft Sentinel?

Microsoft Sentinel ist eine skalierbare, cloudnativ Lösung für Security Information and Event Management (SIEM) und Sicherheitsorchestrierung, Automation, Reaktion (Security Orchestration, Automation, and Response, SOAR). Microsoft Sentinel bietet intelligente Sicherheitsanalysen und Threat Intelligence im gesamten Unternehmen. Microsoft Sentinel ist eine einzelne Lösung für die Angriffserkennung, Einblicke in Bedrohungen, proaktives Hunting und die Reaktion auf Bedrohungen. Erfahren Sie mehr über Microsoft Sentinel.

Warum aus einer Legacy-SIEM-Lösung migrieren?

SOC-Teams sehen sich mit einer Reihe von Herausforderungen konfrontiert, wenn sie eine Legacy-SIEM-Lösung verwalten:

  • Langsame Reaktion auf Bedrohungen. Legacy-SIEM-Lösungen verwenden Korrelationsregeln, die schwer zu verwalten und bei der Identifizierung neuer Bedrohungen ineffektiv sind. Darüber hinaus sind SOC-Analysten mit großen Mengen falsch positiver Ergebnisse, vielen Warnungen aus vielen verschiedenen Sicherheitskomponenten und zunehmend hohen Mengen von Protokollen konfrontiert. Durch die Analyse dieser Daten werden die Bemühungen der SOC-Teams, auf kritische Bedrohungen in der Umgebung zu reagieren, verlangsamt.
  • Skalierungsprobleme. Mit zunehmenden Datenerfassungsraten sehen sich SOC-Teams mit Problemen bei der Skalierung ihrer SIEM-Lösung konfrontiert. Statt sich auf den Schutz der Organisation zu konzentrieren, müssen SOC-Teams in die Einrichtung und Wartung ihrer Infrastruktur investieren und sind an Speicher- oder Abfragegrenzwerte gebunden.
  • Manuelle Analyse und Antwort. SOC-Teams benötigen sehr qualifizierte Analysten, um große Mengen von Warnungen manuell zu verarbeiten. SOC-Teams sind überlastet und neue Analysten sind schwer zu finden.
  • Komplexe und ineffiziente Verwaltung. SOC-Teams überwachen in der Regel die Orchestrierung und die Infrastruktur, verwalten Verbindungen zwischen den SIEM und verschiedenen Datenquellen und führen Updates und Patches aus. Diese Aufgaben gehen häufig zu Lasten der kritischer Triagen und Analysen.

Eine cloudnative SIEM-Lösung behandelt diese Herausforderungen. Microsoft Sentinel erfasst Daten automatisch und in großem Umfang, erkennt unbekannte Bedrohungen, untersucht Bedrohungen mit künstlicher Intelligenz und reagiert schnell auf Vorfälle mit integrierter Automatisierung.

Planen Ihrer Migration

Während der Planungsphase identifizieren Sie Ihre vorhandenen SIEM-Komponenten und Ihre vorhandenen SOC-Prozesse und entwerfen und planen neue Anwendungsfälle. Eine gründliche Planung ermöglicht es Ihnen, den Schutz sowohl für Ihre cloudbasierten Ressourcen wie Microsoft Azure, AWS oder GCP als auch für Ihre SaaS-Lösungen wie Microsoft Office 365 beizubehalten.

In diesem Diagramm werden die allgemeinen Phasen beschrieben, die eine typische Migration beinhaltet. Jede Phase umfasst klare Ziele, wichtige Aktivitäten und angegebene Ergebnisse und Leistungen.

Die Phasen in diesem Diagramm sind ein Leitfaden für die Durchführung eines typischen Migrationsverfahrens. Eine tatsächliche Migration umfasst möglicherweise einige Phasen nicht, stattdessen aber weitere Phasen. Statt die vollständige Reihe von Phasen zu beleuchten, werden in den Artikeln in diesem Leitfaden bestimmte Aufgaben und Schritte beleuchtet, die besonders für eine Microsoft Sentinel-Migration wichtig sind.

Diagram of the Microsoft Sentinel migration phases.

Überlegungen

Überprüfen Sie die folgenden wichtigen Aspekte in jeder Phase.

Phase Aspekt
Entdecken Im Rahmen dieser Phase identifizieren Sie Anwendungsfälle und Migrationsprioritäten.
Entwurf Definieren Sie ein detailliertes Design und eine detaillierte Architektur für Ihre Microsoft Sentinel-Implementierung. Verwenden Sie diese Informationen, um Genehmigungen von den relevanten Stakeholdern zu erhalten, bevor Sie die Implementierungsphase starten.
Implementieren Überlegen Sie sich, während Sie Microsoft Sentinel-Komponenten gemäß der Designphase implementieren und bevor Sie Ihre gesamte Infrastruktur konvertieren, ob Sie den vorkonfigurierten Microsoft Sentinel-Content verwenden können, anstatt alle Komponenten zu migrieren. Sie können mit der schrittweisen Verwendung von Microsoft Sentinel beginnen und mit dem kleinstmöglichen Produkt (Minimum Viable Product, MVP) für mehrere Anwendungsfälle starten. Während Sie weitere Anwendungsfälle hinzufügen, können Sie diese Microsoft Sentinel-Instanz als Benutzerakzeptanztest-(UAT-)Umgebung verwenden, um die Anwendungsfälle zu überprüfen.
Operationalisieren Sie migrieren Ihre Inhalte und SOC-Prozesse, um sicherzustellen, dass die bestehende Analyseerfahrung nicht gestört wird.

Identifizieren Ihrer Migrationsprioritäten

Mit diesen Fragen können Sie Ihre Migrationsprioritäten festlegen:

  • Was sind die wichtigsten Infrastrukturkomponenten, Systeme, Apps und Daten in Ihrem Unternehmen?
  • Wer ist an der Migration beteiligt? DIE SIEM-Migration wirkt sich wahrscheinlich auf viele Bereiche Ihres Unternehmens aus.
  • Worauf basieren Ihre Prioritäten? Beispielsweise das größte Geschäftsrisiko, die Complianceanforderungen, die geschäftlichen Priioritäten etc.
  • Welche Staffelung und welcher zeitliche Rahmen sind für Ihre Migration vorgesehen? Welche Faktoren wirken sich auf Ihre Daten und Fristen aus? Migrieren Sie ein komplettes Legacysystem?
  • Haben Sie die erforderlichen Fähigkeiten? Sind Ihre Sicherheitsmitarbeiter geschult und bereit für die Migration?
  • Gibt es bestimmte Hindernisse in Ihrer Organisation? Gibt es Probleme, die sich auf die Planung und den Zeitplan der Migration auswirken? Beispielsweise Probleme wie Personal- und Schulungsanforderungen, Lizenztermine, Hard-Stops, bestimmte Geschäftsanforderungen etc.

Bevor Sie mit der Migration beginnen, identifizieren Sie die wichtigsten Anwendungsfälle, Erkennungsregeln, Daten und Automatisierungen in Ihrer aktuellen SIEM-Lösung. Gehen Sie an die Migration wie an einen schrittweisen Prozess heran. Achten Sie darauf, was Sie zuerst migrieren, was weniger Priorität besitzt und was nicht tatsächlich migriert werden muss. Ihr Team hat möglicherweise eine große Anzahl von Erkennungen und Anwendungsfällen, die in Ihrer aktuellen SIEM-Lösung ausgeführt werden. Bevor Sie mit der Migration beginnen, entscheiden Sie, welche aktiv für Ihr Unternehmen von Nutzen sind.

Identifizieren von Anwendungsfällen

Verwenden Sie beim Planen der Ermittlungsphase die folgende Anleitung, um Ihre Anwendungsfälle zu identifizieren.

  • Identifizieren und analysieren Sie Ihre aktuellen Anwendungsfälle nach Bedrohung, Betriebssystem, Produkt etc.
  • Wie groß ist der Umfang? Möchten Sie alle Anwendungsfälle migrieren oder Priorisierungskriterien anwenden?
  • Ermitteln Sie, welche Sicherheitsressourcen für Ihre Migration am wichtigsten sind.
  • Welche Anwendungsfälle sind effektiv? Ein guter Ausgangspunkt besteht darin, zu untersuchen, welche Erkennungen innerhalb des letzten Jahres Ergebnisse erzielt haben (Falsch-Positive gegenüber Positiven).
  • Welche geschäftlichen Prioritäten wirken sich auf die Migration von Anwendungsfällen aus? Was sind die größten Risiken für Ihr Unternehmen? Welche Art von Problemen gefährdet Ihr Unternehmen am meisten?
  • Priorisieren Sie nach den Eigenschaften der Anwendungsfälle.
    • Erwägen Sie, niedrigere und höhere Prioritäten zu setzen. Es wird empfohlen, sich auf Erkennungen zu konzentrieren, bei denen es bei 90 % der Warnungsfeeds zu richtig-positiven Ergebnissen kommt. Anwendungsfälle, die zu einer hohen Rate an falsch-positiven Ergebnissen führen, sind für Ihr Unternehmen ggf. von geringerer Priorität.
    • Wählen Sie Anwendungsfälle aus, die die Regelmigration in Bezug auf geschäftliche Priorität und Wirksamkeit rechtfertigen:
      • Überprüfen Sie Regeln, die in den letzten 6 bis 12 Monaten keine Warnungen ausgelöst haben.
      • Beseitigen Sie Bedrohungen oder Warnungen geringer Intensität, die Sie routinemäßig ignorieren.
  • Bereiten Sie einen Überprüfungsprozess vor. Definieren Sie Testszenarien, und erstellen Sie ein Testskript.
  • Können Sie eine Methodik zum Priorisieren von Anwendungsfällen anwenden? Sie können einer Methodik wie MoSCoW folgen, um optimaleren Anwendungsfällen für die Migration Priorität zu verleihen.

Nächste Schritte

In diesem Artikel haben Sie erfahren, wie Sie Ihre Migration planen und vorbereiten.

Nachverfolgen der Migration mit einer Arbeitsmappe