Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Tietoturvakeskus (SOC) -tiimisi käyttää keskitettyjä suojaustieto- ja tapahtumahallintaratkaisuja (SIEM) sekä suojauksen orkestrointi-, automaatio- ja vastausratkaisuja (SOAR) entistä hajautetumman digitaalisen tilan suojaamiseksi.
Tässä artikkelissa kuvataan lähestymistapa ja menetelmät, jotka tulee ottaa käyttöön, kun Microsoft Sentinel otetaan käyttöön rinnakkaisessa määrityksessä yhdessä olemassa olevan SIEM:n kanssa.
Rinnakkainen lähestymistapa
Käytä rinnakkaisarkkitehtuuria joko lyhyen aikavälin siirtymävaiheena, joka johtaa pilvipalvelussa isännöityihin SIEM-palveluihin, tai keskipitkän ja pitkän aikavälin toiminnallisena mallina organisaatiosi SIEM-tarpeiden mukaan.
Vaikka suositeltu arkkitehtuuri on esimerkiksi käyttää rinnakkaisarkkitehtuuria juuri tarpeeksi kauan, jotta siirtyminen Microsoft Sentinel, organisaatiosi saattaa haluta pysyä rinnakkaisessa kokoonpanossa pidempään, esimerkiksi jos et ole valmis siirtymään pois vanhasta SIEM:stä. Yleensä organisaatiot, jotka käyttävät pitkän aikavälin rinnakkaista määritystä, käyttävät Microsoft Sentinel vain pilvitietojensa analysointiin. Monet organisaatiot välttävät useiden paikallisten analytiikkaratkaisujen suorittamista kustannusten ja monimutkaisuuden vuoksi.
Microsoft Sentinel tarjoaa käytön mukaan laskutettavan hinnoittelun ja joustavan infrastruktuurin, joten SOC-tiimit voivat sopeutua muutokseen. Ota sisältösi käyttöön ja testaa sitä sellaisella vauhdilla, joka sopii parhaiten organisaatiollesi, ja tutustu siihen, miten voit siirtyä täysin Microsoft Sentinel.
Ota huomioon kunkin lähestymistavan huonot ja huonot hyödyt, kun päätät, mitä niistä käytetään.
Lyhyen aikavälin lähestymistapa
Seuraavassa taulukossa kuvataan rinnakkaisarkkitehtuurin käyttämisen etuja ja etuja suhteellisen lyhyessä ajassa.
| Ammattilaiset | Huonot puolet |
|---|---|
| • ANTAA SOC:n henkilöstölle aikaa sopeutua uusiin prosesseihin, kun otat käyttöön kuormituksia ja analyyseja. • saavuttaa syvän korrelaation kaikissa tietolähteissä metsästysskenaarioita varten. • Poistaa analytiikan suorittamisen siem-laitekokonaimien välillä, luo edelleenlähetyssääntöjä ja sulkee tutkimukset kahdesta kohdasta. • Soc-tiimisi voi nopeasti alentaa vanhoja SIEM-ratkaisuja poistaen infrastruktuuri- ja käyttöoikeuskustannukset. |
• SOC:n henkilöstölle voi tarvita jyrkän oppimiskäyrän. |
Keskipitkän ja pitkän aikavälin lähestymistapa
Seuraavassa taulukossa kuvataan rinnakkaisarkkitehtuurin käyttämisen etuja ja etuja suhteellisen keskisuuren tai pidemmän ajanjakson ajan.
| Ammattilaiset | Huonot puolet |
|---|---|
| • Voit käyttää tärkeitä Microsoft Sentinel etuja, kuten tekoälyä, koneoppimista ja tutkimusominaisuuksia, siirtymättä kokonaan pois vanhasta SIEM:stä. • säästää rahaa vanhaan SIEM-laitteeseesi verrattuna analysoimalla pilvipalvelua tai Microsoftin tietoja Microsoft Sentinel. |
• monimutkaisuus lisääntyy, kun analytiikka erotetaan eri tietokannoista. • jakaa tapausten hallinnan ja tutkimukset usean ympäristön tapausten osalta. • henkilöstö- ja infrastruktuurikustannukset ovat suuremmat. • SOC:n henkilöstön on oltava tietämyksessä kahdesta erilaisesta SIEM-ratkaisusta. |
Rinnakkainen menetelmä
Määritä, miten määrität Microsoft Sentinel ja käytät sitä rinnakkain vanhan SIEM:n kanssa.
Tapa 1: Lähetä hälytykset vanhasta SIEM:stä Microsoft Sentinel (suositus)
Lähetä hälytyksiä tai poikkeavien toimintojen ilmaisimia vanhasta SIEM:stä Microsoft Sentinel.
- Pilvitietojen käyttö ja analysointi Microsoft Sentinel
- Käytä vanhaa SIEM-hallintaa paikallisten tietojen analysointiin ja ilmoitusten luomiseen.
- Lähetä hälytykset paikallisesta SIEM:stä Microsoft Sentinel yhden liittymän muodostamiseksi.
Voit esimerkiksi lähettää edelleen ilmoituksia Logstash-, OHJELMOINTIRAJAPINNAT- tai Syslog-toiminnolla ja tallentaa ne JSON-muodossa Microsoft Sentinel Log Analytics -työtilassa.
Lähettämällä hälytyksiä vanhasta SIEM:stä Microsoft Sentinel tiimisi voi ristiinkorreloida ja tutkia näitä ilmoituksia Microsoft Sentinel. Tiimi voi edelleen käyttää vanhaa SIEM:iä perusteellisempaa tutkimusta varten tarvittaessa. Tällä välin voit jatkaa tietolähteiden käyttöönottoa pidemmän siirtymäajan.
Tämä suositeltu vierekkäinen käyttöönottomenetelmä tarjoaa täyden arvon Microsoft Sentinel ja mahdollisuuden ottaa tietolähteitä käyttöön organisaatiollesi sopivalla vauhdilla. Tällä tavalla vältetään päällekkäiset kustannukset tietojen tallennuksesta ja käsittelystä samalla, kun siirrät tietolähteitä.
Lisätietoja on seuraavissa artikkeleissa:
Jos haluat siirtyä täysin Microsoft Sentinel, tutustu täydelliseen siirto-oppaaseen.
Tapa 2: Ilmoitusten ja täydennettyjen tapausten lähettäminen Microsoft Sentinel vanhaan SIEM:hen
Analysoi joitakin Microsoft Sentinel tietoja, kuten pilvipalvelutietoja, ja lähetä sitten luodut hälytykset vanhaan SIEM:hen. Käytä vanhaa SIEM:a yhtenä liittymänä ristiinyhteensulautukseen Microsoft Sentinel luotujen ilmoitusten kanssa. Voit edelleen käyttää Microsoft Sentinel Microsoft Sentinel luotujen ilmoitusten syvällisempään tutkimiseen.
Tämä määritys on kustannustehokas, sillä voit siirtää pilvipalvelutietojen analyysin Microsoft Sentinel ilman päällekkäisiä kustannuksia tai maksamatta tietoja kahdesti. Sinulla on edelleen vapaus siirtyä omaan tahtiin. Kun jatkat tietolähteiden ja tunnistusten siirtämistä Microsoft Sentinel, on helpompaa siirtyä Microsoft Sentinel ensisijaiseksi käyttöliittymäksi. Yksinkertaisesti täydennettyjen tapausten välittäminen vanhaan SIEM:hen rajoittaa kuitenkin arvoa, jonka saat Microsoft Sentinel tutkimus-, metsästys- ja automaatioominaisuuksista.
Lisätietoja on seuraavissa artikkeleissa:
- Täydennettyjen Microsoft Sentinel ilmoitusten lähettäminen vanhaan SIEM-laitteeseesi
- Lähetä täydennettyjä Microsoft Sentinel ilmoituksia IBM QRadarille
- Microsoft Sentinel ilmoitusten sisäänotto Splunkiin
Muut menetelmät
Seuraavassa taulukossa kuvataan rinnakkaiset määritykset, joita ei suositella, ja annetaan lisätietoja siitä, miksi:
| Menetelmä | Kuvaus |
|---|---|
| Lähetä Microsoft Sentinel lokit vanhaan SIEM-laitteeseesi | Tämän menetelmän avulla koet edelleen paikallisen SIEM:n kustannus- ja mittakaavahaasteet. Maksat tietojen käsittelystä Microsoft Sentinel sekä tallennuskustannukset vanhassa SIEM:ssä, etkä voi hyödyntää Microsoft Sentinel SIEM- ja SOAR-tunnistuksia, analytiikkaa, käyttäjän entiteetin käyttäytymisanalytiikkaa (UEBA), tekoälyä tai tutkimus- ja automaatiotyökaluja. |
| Lähetä lokit vanhasta SIEM:stä Microsoft Sentinel | Vaikka tämä menetelmä tarjoaa kaikki Microsoft Sentinel toiminnot, organisaatiosi maksaa silti kahdesta eri tietojen käsittelylähteestä. Arkkitehtonisen monimutkaisuuden lisäksi tämä malli voi aiheuttaa suurempia kustannuksia. |
| Käytä Microsoft Sentinel ja vanhaa SIEM:ä kahtena täysin erillisenä ratkaisuna | Microsoft Sentinel avulla voit analysoida joitakin tietolähteitä, kuten pilvitietoja, ja jatkaa paikallisen SIEM:n käyttöä muissa lähteissä. Tämä asetus mahdollistaa selkeät rajat kunkin ratkaisun käyttämiselle ja siten vältetään päällekkäiset kustannukset. Ristiinsrelaatiosta tulee kuitenkin vaikeaa, etkä voi täysin diagnosoida hyökkäyksiä, jotka ylittävät molemmat tietolähdejoukot. Nykypäivän ympäristössä, jossa uhat liikkuvat usein sivuttain koko organisaatiossa, tällaiset näkyvyysaukot voivat aiheuttaa merkittäviä suojausriskejä. |
Prosessien sujuvoitus automaation avulla
Automaattisten työnkulkujen avulla voit ryhmitellä ja priorisoida hälytyksiä yleiseksi tapahtumaksi ja muokata sen prioriteettia.
Lisätietoja on seuraavissa artikkeleissa:
- Automaatio Microsoft Sentinel: suojauksen orkestrointi, automaatio ja reagointi (SOAR)
- Automatisoi uhkiin vastaaminen Microsoft Sentinel pelikirjojen avulla
- Automatisoi tapausten käsittely Microsoft Sentinel automaatiosäännöillä
Aiheeseen liittyvä sisältö
Tutustu Microsoftin Microsoft Sentinel resursseihin ja laajenna taitojasi ja hyödynnä Microsoft Sentinel.
Harkitse uhkien suojauksen lisäämistä käyttämällä Microsoft Sentinel Microsoft Defender XDR ja Microsoft Defender cloudilleintegroitua uhkien suojausta varten. Hyödynnä Microsoft Sentinel tarjoamia näkyvyyksiä ja sukella syvemmälle yksityiskohtaiseen uhka-analyysiin.
Lisätietoja on seuraavissa artikkeleissa:
- Sääntösiirtoa koskevat parhaat käytännöt
- Verkkoseminaari: Tunnistussääntöjen muuntamiseen liittyvät parhaat käytännöt
- Hallitse SOC:täsi paremmin tapausmittareiden avulla
- Microsoft Sentinel oppimispolku
- SC-200 Microsoft Security Operations Analyst -sertifiointi
- Microsoft Sentinel Ninja -koulutus
- Hybridiympäristöön kohdistuvan hyökkäyksen tutkiminen Microsoft Sentinel