Suunnittele siirtosi Microsoft Sentinel

Tietoturvakeskustiimit käyttävät keskitettyjä suojaustieto- ja tapahtumahallintaratkaisuja (SIEM) sekä suojauksen orkestrointi-, automaatio- ja reagointiratkaisuja (SOAR) yhä hajautetumman digitaalisen tilansa suojelemiseksi. Vanhat siemit voivat säilyttää paikallisten resurssien hyvän kattavuuden, mutta paikallisilla arkkitehtuureilla voi olla riittämätön kattavuus pilvipalveluresursseille, kuten Azure, Microsoft 365:lle, AWS:lle tai Google Cloud Platformille (GCP). sen sijaan Microsoft Sentinel voivat käyttää tietoja sekä paikallisista että pilvipalveluresursseista, mikä varmistaa kattavuuden koko kiinteistölle.

Tässä artikkelissa käsitellään vanhasta SIEM:stä siirtymisen syitä ja kuvataan, miten siirron eri vaiheet suunnitellaan.

Siirron vaiheet

Tässä oppaassa opit siirtämään vanhan SIEM:n Microsoft Sentinel. Seuraa siirtoprosessiasi tämän artikkelisarjan kautta, jossa opit siirtymään prosessin eri vaiheissa.

Huomautus

Jos haluat ohjatun siirtoprosessin, liity Microsoft Sentinel Migration and Modernization Program. Ohjelman avulla voit yksinkertaistaa ja nopeuttaa siirtoa, mukaan lukien parhaiden käytäntöjen ohjeita, resursseja ja asiantuntija-apua jokaisessa vaiheessa. Jos haluat lisätietoja, ota yhteyttä tilitiimiisi.

Vaihe Artiklan
Siirron suunnitteleminen Olet tässä
Seuraa siirtoa työkirjan avulla Microsoft Sentinel siirron seuraaminen työkirjan avulla
SIEM-siirtokokemuksen käyttäminen SIEM-siirto
Siirtyminen ArcSightista Siirtymisen tunnistussäännöt
Soar-automaation siirtäminen
vie historialliset tiedot
Siirtyminen Splunkista Aloita SIEM-siirtokokemuksesta
Siirtymisen tunnistussäännöt
Soar-automaation siirtäminen
vie historialliset tiedot

Jos haluat siirtää Splunk Observability -käyttöönottosi, lue lisätietoja siitä, miten voit siirtyä Splunkista Azure Valvontalokeihin.
Siirtyminen QRadarista Aloita SIEM-siirtokokemuksesta
Siirtymisen tunnistussäännöt
Soar-automaation siirtäminen
vie historialliset tiedot
Historiatietojen käyttö Valitse kohde Azure alusta vietävien historiallisten tietojen isännöintiin
Valitse tietojen käsittelytyökalu
historiatietojen käyttö kohdeympäristössä
Koontinäyttöjen muuntaminen työkirjoiksi Koontinäyttöjen muuntaminen Azure työkirjoiksi
SOC-prosessien päivittäminen SOC-prosessien päivittäminen

Mikä on Microsoft Sentinel?

Microsoft Sentinel on skaalattava, pilvinatiivi, tietoturvatietojen ja tapahtumien hallinta (SIEM) sekä suojauksen orkestrointi-, automaatio- ja vastausratkaisu (SOAR). Microsoft Sentinel tarjoaa älykästä suojausanalytiikkaa ja uhkatietoja koko yrityksessä. Microsoft Sentinel tarjoaa yksittäisen ratkaisun hyökkäyksen havaitsemiseen, uhkien näkyvyyteen, ennakoivaan metsästykseen ja uhkiin vastaamiseen. Lisätietoja Microsoft Sentinel.

Miksi siirtyminen vanhasta SIEM:stä?

SOC-tiimit kohtaavat joukon haasteita vanhaa SIEM:tä hallittaessa:

  • Hidas vastaus uhkiin. Vanhat siemit käyttävät korrelaatiosääntöjä, joita on vaikea ylläpitää ja jotka ovat tehottomia uusien uhkien tunnistamisessa. Lisäksi SOC-analyytikot kohtaavat suuria määriä vääriä positiivisia, monia hälytyksiä monista eri suojausosista ja yhä suurempia lokimääriä. Näiden tietojen analysointi hidastaa SOC-tiimejä niiden pyrkimyksissä vastata ympäristön kriittisiin uhkiin.
  • Skaalaushaasteita. Tietojen käsittelyasteiden kasvaessa SOC-tiimien siem-skaalaus on haastavaa. Sen sijaan, että SOC-tiimit keskittyisivät organisaation suojaamiseen, heidän on investoitava infrastruktuurin määritykseen ja ylläpitoon, ja niitä sitovat tallennustila- tai kyselyrajoitukset.
  • Manuaalinen analyysi ja vastaus. SOC-tiimit tarvitsevat erittäin taitavia analyytikoita suurten hälytysmäärien manuaaliseen käsittelyyn. SOC-tiimit ovat ylityöllistettyjä ja uusia analyytikoita on vaikea löytää.
  • Monimutkainen ja tehoton hallinta. SOC-tiimit valvovat yleensä orkestrointia ja infrastruktuuria, hallinnoivat SIEM:n ja eri tietolähteiden välisiä yhteyksiä sekä suorittavat päivityksiä ja korjaustiedostoja. Nämä tehtävät ovat usein kriittisen analyysin ja analyysin kustannuksella.

Pilvinatiivi SIEM vastaa näihin haasteisiin. Microsoft Sentinel kerää tietoja automaattisesti ja suuressa mittakaavassa, havaitsee tuntemattomia uhkia, tutkii uhkia tekoälyllä ja vastaa tapauksiin nopeasti sisäisellä automaatiolla.

Siirron suunnitteleminen

Suunnitteluvaiheessa tunnistat olemassa olevat SIEM-komponentit, olemassa olevat SOC-prosessisi sekä suunnittelet ja suunnittelet uusia käyttötapauksia. Perusteellisen suunnittelun avulla voit säilyttää suojauksen sekä pilvipohjaisille resursseillesi – Microsoft Azure, AWS tai GCP– että SaaS-ratkaisuillesi, kuten Microsoft Office 365.

Tässä kaaviossa kuvataan korkean tason vaiheet, jotka tyypillinen siirto sisältää. Jokainen vaihe sisältää selkeät tavoitteet, tärkeimmät toiminnot sekä määritetyt tulokset ja toimitukset.

Tämän kaavion vaiheet ovat ohjenuora tyypillisen siirtotoimenpiteen suorittamiselle. Todellinen siirto ei voi sisältää joitakin vaiheita tai siihen voi sisältyä useampia vaiheita. Sen sijaan, että tarkastelemme kaikkia vaiheita, tässä oppaassa olevissa artikkeleissa tarkastellaan tiettyjä tehtäviä ja vaiheita, jotka ovat erityisen tärkeitä Microsoft Sentinel siirtymisessä.

Microsoft Sentinel siirtymisvaiheiden kaavio.

Näkökohdat

Tarkastele näitä tärkeitä huomioon otettavia seikkoja kussakin vaiheessa.

Vaihe Huomioon
Löydä Tunnista käyttötapaukset ja siirron prioriteetit osana tätä vaihetta.
Design Määritä yksityiskohtainen rakenne ja arkkitehtuuri Microsoft Sentinel toteutusta varten. Näiden tietojen avulla saat hyväksynnän asianomaisilta sidosryhmiltä ennen toteutusvaiheen aloittamista.
Toteuttaa Kun toteutat Microsoft Sentinel osia suunnitteluvaiheen mukaan ja ennen koko infrastruktuurin muuntamista, mieti, voitko käyttää Microsoft Sentinel valmiissa sisällössä sen sijaan, että siirtäisit kaikki osat. Voit aloittaa Microsoft Sentinel käytön asteittain, alkaen pienimmän käyttökelpoisen tuotteen (MVP) käytöstä useissa käyttötapauksissa. Kun lisäät käyttötapauksia, voit käyttää tätä Microsoft Sentinel esiintymää käyttäjän hyväksyntätestausympäristönä käyttötapausten vahvistamiseksi.
Operationalize Siirrät sisältö- ja SOC-prosessisi varmistaaksesi, että nykyinen analyytikkokokemus ei häiritse.

Siirron prioriteettien tunnistaminen

Näiden kysymysten avulla voit kiinnittää siirron prioriteetit:

  • Mitkä ovat yrityksesi tärkeimmät infrastruktuurikomponentit, järjestelmät, sovellukset ja tiedot?
  • Ketkä ovat sidosryhmäsi siirtymässä? SIEM-siirto koskettaa todennäköisesti monia liiketoimintasi alueita.
  • Mikä ohjaa prioriteettejasi? Esimerkiksi suurin liiketoimintariski, yhteensopivuusvaatimukset, liiketoiminnan prioriteetit ja niin edelleen.
  • Mikä on siirron mittakaava ja aikajana? Mitkä tekijät vaikuttavat päivämääriin ja määräaikoihin. Siirrätkö koko vanhan järjestelmän?
  • Onko sinulla taitoja, joita tarvitset? Onko turvahenkilöstösi koulutettu ja valmis siirtoon?
  • Onko organisaatiossasi tiettyjä estotietoja? Vaikuttavatko ongelmat siirron suunnitteluun ja ajoitukseen? Tällaisia ovat esimerkiksi henkilöstö- ja koulutusvaatimukset, käyttöoikeuspäivämäärät, kiinteät pysäytykset, tietyt liiketoiminnan tarpeet ja niin edelleen.

Tunnista ennen siirron aloittamista nykyisen SIEM:n tärkeimmät käyttötapaukset, tunnistussäännöt, tiedot ja automaatio. Lähesty siirtoa asteittaisena prosessina. Ole tarkoituksellinen ja huomaavainen sen suhteen, mitä siirrät ensin, mitä poistat käytöstä ja mitä ei oikeastaan tarvitse siirtää. Tiimilläsi saattaa olla ylivoimainen määrä tunnistus- ja käyttötapauksia käynnissä nykyisessä SIEM:ssä. Päätä ennen siirron aloittamista, mitkä niistä ovat liiketoiminnallesi aktiivisesti hyödyllisiä.

Tunnista käyttötapaukset

Kun suunnittelet etsintävaihetta, tunnista käyttötapauksesi seuraavien ohjeiden avulla.

  • Tunnista ja analysoi nykyisiä käyttötapauksia uhkien, käyttöjärjestelmän, tuotteen ja niin edelleen mukaan.
  • Mikä vaikutusalue on? Haluatko siirtää kaikki käyttötapaukset vai käyttää joitain priorisointiehtoja?
  • Määritä, mitkä suojausresurssit ovat siirron kannalta kriittisimpiä.
  • Mitkä käyttötapaukset ovat tehokkaita? Hyvä lähtökohta on tarkastella, mitkä tunnistuksia ovat tuottaneet tuloksia viimeisen vuoden aikana (false-positiivinen vs. positiivinen nopeus).
  • Mitkä liiketoiminnan prioriteetit vaikuttavat käyttötapausten siirtoon? Mitkä ovat yrityksesi suurimmat riskit? Minkätyyppiset ongelmat vaarantavat yrityksesi eniten?
  • Priorisoi käyttötapauksen ominaisuuksien mukaan.
    • Harkitse pienempien ja korkeampien prioriteettien määrittämistä. Suosittelemme, että keskityt tunnistukseen, joka pakottaa 90-prosenttisen tosi-positiivisen ilmoituksen syötteisiin. Käyttötapaukset, jotka aiheuttavat suuren false-positiivisen prosenttikoron, voivat olla liiketoiminnan kannalta alhaisemmat.
    • Valitse käyttötapaukset, jotka oikeuttavat sääntöihin siirtymisen liiketoiminnan prioriteetin ja tehokkuuden kannalta:
      • Tarkista säännöt, jotka eivät ole käynnistäneet ilmoituksia viimeisten 6-12 kuukauden aikana.
      • Poista matalan tason uhat tai hälytykset, jotka ohitat rutiininomaisesti.
  • Valmistele vahvistusprosessi. Määritä testiskenaariot ja luo testikomentosarja.
  • Voitko soveltaa menetelmää käyttötapausten priorisointiin? Voit priorisoida kevyemmät käyttötapaukset siirtymisessä noudattamalla MoSCoW:n kaltaisia menetelmiä.

Seuraavat vaiheet

Tässä artikkelissa opit suunnittelemaan siirron ja valmistautumaan siihen.

Seuraa siirtoa työkirjan avulla

  • Last updated on