Implementación de Microsoft Sentinel en paralelo en un SIEM existente
El equipo del centro de operaciones de seguridad (SOC) usará soluciones centralizadas de administración de eventos e información de seguridad (SIEM) y de orquestación de seguridad, automatización y respuesta (SOAR) para proteger el patrimonio digital, que cada vez está más descentralizado.
En este artículo se describen el enfoque y los métodos que se deben tener en cuenta al implementar Microsoft Sentinel en una configuración en paralelo junto con su SIEM existente.
Enfoque en paralelo
Use una arquitectura en paralelo como una fase de transición a corto plazo que conduce a un SIEM hospedado en la nube o como modelo operativo a medio y largo plazo, en función de las necesidades de SIEM de su organización.
Por ejemplo, aunque la arquitectura recomendada es usar una arquitectura en paralelo lo suficientemente larga como para completar una migración a Microsoft Sentinel, es posible que su organización quiera permanecer con la configuración en paralelo durante más tiempo, por ejemplo, si no está listo para alejarse de su SIEM heredado. Normalmente, las organizaciones que usan una configuración en paralelo a largo plazo emplean Microsoft Sentinel para analizar solo sus datos en la nube. Muchas organizaciones evitan ejecutar varias soluciones de análisis locales debido al costo y la complejidad.
Microsoft Sentinel proporciona precios de pago por uso y una infraestructura flexible, lo que da a los equipos de SOC el tiempo suficiente para adaptarse al cambio. Implemente y pruebe el contenido al ritmo más apropiado para su organización y aprenda a migrar completamente a Microsoft Sentinel.
Tenga en cuenta las ventajas y desventajas de cada enfoque a la hora de decidir cuál usar.
Enfoque a corto plazo
En la tabla siguiente se describen las ventajas y desventajas de usar una arquitectura en paralelo durante un período de tiempo relativamente corto.
Ventajas | Desventajas |
---|---|
• Concede al personal del centro de operaciones de seguridad el tiempo necesario para adaptarse a los nuevos procesos cuando se despliegan cargas de trabajo y análisis. • Consigue una profunda correlación entre todos los orígenes de datos en los escenarios de búsqueda. • Elimina la necesidad de realizar análisis entre las soluciones de SIEM, crear reglas de reenvío y cerrar investigaciones en dos lugares. • Permite que el equipo del centro de operaciones de seguridad cambie rápidamente a una versión anterior las soluciones de SIEM heredadas, lo que elimina costos de infraestructura y licencias. |
• Puede requerir una rápida curva de aprendizaje para el personal del centro de operaciones de seguridad. |
Enfoque a medio y largo plazo
En la tabla siguiente se describen las ventajas y desventajas de usar una arquitectura en paralelo durante un período de tiempo relativamente medio o largo.
Ventajas | Desventajas |
---|---|
• Permite usar las principales ventajas de Microsoft Sentinel, como la inteligencia artificial, Machine Learning y las funcionalidades de investigación, sin abandonar por completo la solución de SIEM heredada. • Ahorra dinero, en comparación con la solución de SIEM heredada, ya que analiza los datos de la nube o de Microsoft en Microsoft Sentinel. |
• Aumenta la complejidad, ya que separa los análisis entre distintas bases de datos. • Divide la administración de casos y las investigaciones de los incidentes que se han producido en varios entornos. • Incurre en mayores costos de personal e infraestructura. • Requiere que el personal del centro de operaciones de seguridad tenga conocimientos de dos soluciones de SIEM diferentes. |
Método en paralelo
Determine cómo configurará y usará Microsoft Sentinel en paralelo con su SIEM heredado.
Método 1: Envío de alertas de un SIEM heredado a Microsoft Sentinel (recomendado)
Envíe alertas, o indicadores de actividad anómala, desde la solución de SIEM heredada a Microsoft Sentinel.
- Ingesta y análisis de datos en la nube en Microsoft Sentinel
- Use la solución de SIEM heredada para analizar los datos locales y generar alertas.
- Reenvíe las alertas de la solución de SIEM local a Microsoft Sentinel para establecer una única interfaz.
Por ejemplo, reenvíe las alertas mediante Logstash, APIo Syslogy almacénelas en formatoJSON en el área de trabajo de Log Analytics de Microsoft Sentinel.
Al enviar alertas desde la solución de SIEM heredada a Microsoft Sentinel, el equipo puede hacer la correlación de esas alertas e investigarlas en Microsoft Sentinel. El equipo todavía puede acceder a la solución de SIEM heredada para una investigación más profunda si es necesario. Mientras tanto, puede seguir implementando orígenes de datos durante un período de transición ampliado.
Este método de implementación en paralelo recomendado ofrece todo el valor de Microsoft Sentinel y la capacidad de implementar orígenes de datos al ritmo adecuado para su organización. Este enfoque evita duplicar los costos de almacenamiento e ingesta de datos mientras mueve los orígenes de datos.
Para más información, consulte:
- Migración de infracciones de QRadar a Microsoft Sentinel
- Exportación de datos de Splunk a Microsoft Sentinel
Si desea migrar completamente a Microsoft Sentinel, consulte la guía completa de migración.
Método 2: Envío de alertas y incidentes enriquecidos de Microsoft Sentinel a un SIEM heredado
Analice algunos datos de Microsoft Sentinel, como los datos en la nube, y luego envíe las alertas generadas a una solución de SIEM heredada. Use la solución de SIEM heredada como interfaz única para realizar una correlación con las alertas que ha generado Microsoft Sentinel. Puede seguir usando Microsoft Sentinel para una investigación más profunda de las alertas generadas en esta solución.
Esta configuración es rentable, ya que puede mover el análisis de datos en la nube a Microsoft Sentinel sin duplicar los costos ni pagar dos veces por los datos. Sigue teniendo la libertad de migrar a su propio ritmo. A medida que continúa desplazando los orígenes de datos y las detecciones a Microsoft Sentinel, resulta más fácil migrar a Microsoft Sentinel como interfaz principal. Pero el simple reenvío de incidentes enriquecidos a una solución de SIEM heredada limita el valor que obtiene de las capacidades de investigación, búsqueda y automatización de Microsoft Sentinel.
Para más información, consulte:
- Envío de alertas enriquecidas de Microsoft Sentinel a la solución de SIEM heredada
- Envío de alertas enriquecidas de Microsoft Sentinel a IBM QRadar
- Ingesta de alertas de Microsoft Sentinel en Splunk
Otros métodos
En la tabla siguiente se describen las configuraciones en paralelo que no se recomiendan, con detalles sobre las razones:
Método | Descripción |
---|---|
Envío de registros de Microsoft Sentinel a la solución de SIEM heredada | Con este método, seguirá enfrentándose a los desafíos de costo y escalado de la solución de SIEM local. Pagará por la ingesta de datos en Microsoft Sentinel, junto con los costos de almacenamiento en la solución de SIEM heredada, y no podrá aprovechar las detecciones de SIEM y SOAR, el análisis, el análisis de comportamiento de usuarios y entidades (UEBA), la inteligencia artificial o las herramientas de investigación y automatización de Microsoft Sentinel. |
Envío de registros de una solución de SIEM heredada a Microsoft Sentinel | Aunque este método proporciona toda la funcionalidad de Microsoft Sentinel, la organización sigue pagando por dos orígenes de ingesta de datos diferentes. Además de aumentar la complejidad arquitectónica, este modelo puede dar lugar a costos mayores. |
Uso de Microsoft Sentinel y la solución de SIEM heredada como dos soluciones completamente independientes | Puede usar Microsoft Sentinel para analizar algunos orígenes de datos, como los datos en la nube, y seguir usando la solución de SIEM local para otros orígenes. Esta configuración permite establecer límites claros respecto a cuándo usar cada solución y evita la duplicación de costos. Sin embargo, la correlación cruzada se vuelve difícil y no se pueden diagnosticar completamente los ataques que afectan a ambos conjuntos de orígenes de datos. En el panorama actual, en el que las amenazas a menudo se mueven lateralmente a través de una organización, estas brechas de visibilidad pueden suponer importantes riesgos para la seguridad. |
Optimización de los procesos mediante la automatización
Use flujos de trabajo automatizados para agrupar y clasificar por orden de prioridad las alertas de un incidente común y para modificar su prioridad.
Para más información, vea:
- Automatización en Microsoft Sentinel: orquestación de seguridad, automatización y respuesta (SOAR)
- Automatización de la respuesta a amenazas con cuadernos de estrategias en Microsoft Sentinel
- Automatización del control de incidentes en Microsoft Sentinel con las reglas de automatización
Contenido relacionado
Explore los recursos de Microsoft Sentinel de Microsoft para ampliar sus aptitudes y sacar el máximo partido de esta solución.
Considere la posibilidad de aumentar la protección contra amenazas mediante Microsoft Sentinel junto con Microsoft Defender XDR y Microsoft Defender for Cloud para protección contra amenazas integrada. Aproveche la amplitud de visibilidad que ofrece Microsoft Sentinel, a la vez que profundiza en el análisis detallado de amenazas.
Para más información, consulte:
- Procedimientos recomendados para la migración de reglas
- Seminario web: Procedimientos recomendados para convertir reglas de detección
- Mejora en la administración de SOC con métricas de incidentes
- Ruta de aprendizaje de Microsoft Sentinel
- Examen SC-200: Microsoft Security Operations Analyst
- Microsoft Sentinel Ninja training
- Investigación de un ataque en un entorno híbrido con Microsoft Sentinel