Megosztás a következőn keresztül:

A Microsoft Sentinelbe való migrálás megtervezése

  • Cikk

A Security Operations Center (SOC) csapatai központosított biztonsági információkat és eseménykezelést (SIEM) és biztonsági vezénylési, automatizálási és válaszmegoldásokat használnak egyre decentralizáltabb digitális tulajdonuk védelmére. Bár az örökölt SIEM-ek képesek a helyszíni eszközök megfelelő lefedettségének fenntartására, a helyszíni architektúrák nem elegendő lefedettséggel rendelkezhetnek a felhőbeli eszközökre, például az Azure-ban, a Microsoft 365-ben, az AWS-ben vagy a Google Cloud Platformban (GCP). Ezzel szemben a Microsoft Sentinel a helyszíni és a felhőbeli eszközökről is betölthet adatokat, így biztosítva a teljes tulajdonra kiterjedő lefedettséget.

Ez a cikk az örökölt SIEM-ből való migrálás okait ismerteti, és ismerteti, hogyan tervezheti meg a migrálás különböző fázisait.

Áttelepítés lépései

Ebből az útmutatóból megtudhatja, hogyan migrálhatja régi SIEM-jét a Microsoft Sentinelbe. Kövesse a migrálási folyamatot ebben a cikksorozatban, amelyben megtudhatja, hogyan navigálhat a folyamat különböző lépései között.

Feljegyzés

Egy irányított migrálási folyamathoz csatlakozzon a Microsoft Sentinel migrálási és modernizációs programjához. A program lehetővé teszi, hogy egyszerűsítse és felgyorsítsa a migrálást, beleértve az ajánlott eljárásokat, az erőforrásokat és a szakértői segítséget minden szakaszban. További információért forduljon a fiókcsapatához.

Lépés Cikk
A migrálás megtervezése Ön itt van
Migrálás nyomon követése munkafüzettel A Microsoft Sentinel migrálásának nyomon követése munkafüzettel
A SIEM migrálási felületének használata SIEM-migrálás (előzetes verzió)
Migrálás az ArcSightból Észlelési szabályok migrálása
SOAR automatizálás migrálása
Előzményadatok exportálása
Migrálás a Splunkból Kezdje a SIEM migrálási felületével
Észlelési szabályok migrálása
SOAR automatizálás migrálása
Előzményadatok exportálása

Ha át szeretné migrálni a Splunk Megfigyelhetőség üzembe helyezését, tudjon meg többet arról, hogyan migrálhat a Splunkból az Azure Monitor-naplókba.
Migrálás a QRadarból Észlelési szabályok migrálása
SOAR automatizálás migrálása
Előzményadatok exportálása
Előzményadatok betöltése Válasszon ki egy cél Azure-platformot az exportált előzményadatok tárolásához
Adatbetöltési eszköz kiválasztása
Előzményadatok betöltése a célplatformba
Irányítópultok átalakítása munkafüzetekké Irányítópultok átalakítása Azure-munkafüzetekké
SOC-folyamatok frissítése SOC-folyamatok frissítése

Mi az a Microsoft Sentinel?

A Microsoft Sentinel egy méretezhető, natív felhőbeli, biztonsági információ- és eseménykezelési (SIEM) és biztonsági vezénylési, automatizálási és válaszmegoldás (SOAR). A Microsoft Sentinel intelligens biztonsági elemzéseket és fenyegetésfelderítést biztosít a vállalaton belül. A Microsoft Sentinel egyetlen megoldást kínál a támadásészleléshez, a fenyegetések láthatóságához, a proaktív vadászathoz és a fenyegetéskezeléshez. További információ a Microsoft Sentinelről.

Miért migrál egy örökölt SIEM-ről?

Az SOC-csapatok számos kihívással szembesülnek az örökölt SIEM kezelésekor:

  • Lassú válasz a fenyegetésekre. Az örökölt SIEM-ek korrelációs szabályokat használnak, amelyek nehezen tarthatóak fenn és hatástalanok a felmerülő fenyegetések azonosításához. Emellett az SOC-elemzők nagy mennyiségű hamis pozitív értékkel, számos különböző biztonsági összetevőtől származó riasztással és egyre nagyobb mennyiségű naplóval szembesülnek. Az adatok elemzése lelassítja az SOC-csapatokat a környezet kritikus fenyegetéseire való reagálás érdekében.
  • Skálázási kihívások. Az adatbetöltési arányok növekedésével az SOC-csapatok számára kihívást jelent a SIEM skálázása. Ahelyett, hogy a szervezet védelmére összpontosítanak, az SOC-csapatoknak be kell fektetniük az infrastruktúra beállításába és karbantartásába, és tárolási vagy lekérdezési korlátok kötik őket.
  • Manuális elemzés és válasz. Az SOC-csapatoknak magasan képzett elemzőkre van szükségük a nagy mennyiségű riasztás manuális feldolgozásához. Az SOC-csapatok túlterjedtek, és az új elemzőket nehéz megtalálni.
  • Összetett és nem hatékony felügyelet. Az SOC-csapatok általában felügyelik a vezénylést és az infrastruktúrát, kezelik a SIEM és a különböző adatforrások közötti kapcsolatokat, valamint frissítéseket és javításokat hajtanak végre. Ezek a feladatok gyakran a kritikus osztályozás és az elemzés rovására kerülnek.

A natív felhőbeli SIEM-ek megoldást jelentenek ezekre a kihívásokra. A Microsoft Sentinel automatikusan és nagy léptékben gyűjt adatokat, észleli az ismeretlen fenyegetéseket, mesterséges intelligenciával vizsgálja a fenyegetéseket, és gyorsan reagál az incidensekre a beépített automatizálással.

A migrálás megtervezése

A tervezési fázisban azonosítja a meglévő SIEM-összetevőket, a meglévő SOC-folyamatokat, és megtervezi és megtervezi az új használati eseteket. Az alapos tervezés lehetővé teszi, hogy védelmet biztosítson mind a felhőalapú eszközök , a Microsoft Azure, az AWS vagy a GCP, mind az SaaS-megoldások, például a Microsoft Office 365 számára.

Ez az ábra azokat a magas szintű fázisokat ismerteti, amelyeket egy tipikus migrálás tartalmaz. Minden fázis világos célokat, kulcsfontosságú tevékenységeket, valamint meghatározott eredményeket és eredményeket tartalmaz.

A diagram fázisai útmutatást adnak egy tipikus migrálási eljárás elvégzéséhez. Előfordulhat, hogy a tényleges migrálás nem tartalmaz bizonyos fázisokat, vagy további fázisokat is tartalmazhat. A fázisok teljes készletének áttekintése helyett az ebben az útmutatóban található cikkek a Microsoft Sentinel migrálásához különösen fontos konkrét feladatokat és lépéseket tekintik át.

A Microsoft Sentinel migrálási fázisainak diagramja.

Megfontolások

Tekintse át az egyes fázisok legfontosabb szempontjait.

Fázis Szempont
Felderítés A fázis részeként azonosíthatja a használati eseteket és a migrálási prioritásokat .
Tervezés A Microsoft Sentinel implementációjának részletes kialakítását és architektúráját határozza meg. Ezeket az információkat arra fogja használni, hogy jóváhagyást kapjon az érintett felektől a megvalósítási fázis megkezdése előtt.
Megvalósítás Amikor a tervezési fázisnak megfelelően implementálja a Microsoft Sentinel-összetevőket, és mielőtt átalakítja a teljes infrastruktúrát, fontolja meg, hogy használhatja-e a Microsoft Sentinel beépített tartalmát az összes összetevő migrálása helyett. A Microsoft Sentinel használatát fokozatosan kezdheti el, kezdve egy minimálisan működőképes termékkel (MVP) több használati esethez. További használati esetek hozzáadásakor ezt a Microsoft Sentinel-példányt felhasználói elfogadási tesztelési (UAT) környezetként használhatja a használati esetek ellenőrzéséhez.
Üzembe helyezés Migrálhatja a tartalmat és az SOC-folyamatokat , hogy a meglévő elemzői élmény ne szakadjon meg.

A migrálási prioritások azonosítása

Az alábbi kérdések segítségével rögzítheti a migrálási prioritásokat:

  • Melyek a legkritikusabb infrastruktúra-összetevők, rendszerek, alkalmazások és adatok a vállalatában?
  • Kik az ön érintettjei a migrálásban? A SIEM-migrálás valószínűleg a vállalat számos területét érinti.
  • Mi határozza meg a prioritásokat? Például a legnagyobb üzleti kockázat, megfelelőségi követelmények, üzleti prioritások stb.
  • Mi a migrálási skálája és idővonala? Milyen tényezők befolyásolják a dátumokat és a határidőket. Egy teljes örökölt rendszert migrál?
  • Rendelkezik a szükséges készségekkel? A biztonsági személyzet betanított és készen áll a migrálásra?
  • Vannak bizonyos blokkolók a szervezetben? Vannak problémák a migrálás tervezésére és ütemezésére? Például olyan problémák, mint a személyzettel és a betanítással kapcsolatos követelmények, a licencdátumok, a leállások, a konkrét üzleti igények stb.

A migrálás megkezdése előtt azonosítsa a kulcshasználati eseteket, az észlelési szabályokat, az adatokat és az automatizálást az aktuális SIEM-ben. Fokozatosan közelítse meg a migrálást. Legyen szándékos és átgondolt, mit migrál először, mit deprioritizál, és mit nem kell migrálni. Előfordulhat, hogy a csapat túl sok észlelést és használati esetet futtat az aktuális SIEM-ben. A migrálás megkezdése előtt döntse el, hogy mely elemek hasznosak aktívan a vállalat számára.

Használati esetek azonosítása

A felderítés fázisának tervezésekor használja az alábbi útmutatót a használati esetek azonosításához.

  • Az aktuális használati esetek azonosítása és elemzése fenyegetés, operációs rendszer, termék stb. alapján.
  • Mi a hatókör? Migrálja az összes használati esetet, vagy használ néhány rangsorolási feltételt?
  • Határozza meg, hogy mely biztonsági eszközök a legkritikusabbak a migrálás szempontjából.
  • Milyen használati esetek hatékonyak? Jó kiindulási pont annak megvizsgálása, hogy mely észlelések hoztak eredményt az elmúlt évben (hamis pozitív és pozitív arány).
  • Mik azok az üzleti prioritások, amelyek befolyásolják a használati esetek migrálását? Mik a vállalkozása legnagyobb kockázatai? Milyen típusú problémák veszélyeztetik a vállalatot a leginkább?
  • Rangsorolás a használati eset jellemzői alapján.
    • Fontolja meg az alacsonyabb és magasabb prioritásokat. Javasoljuk, hogy olyan észlelésekre összpontosítson, amelyek 90%-os valódi pozitív értéket kényszerítenek ki a riasztási hírcsatornákon. A magas hamis pozitív arányt okozó esetek használata alacsonyabb prioritást jelenthet a vállalkozás számára.
    • Válassza ki azokat a használati eseteket, amelyek indokolják a szabálymigrálást az üzleti prioritás és a hatékonyság szempontjából:
      • Tekintse át azokat a szabályokat, amelyek az elmúlt 6–12 hónapban nem aktiválták a riasztásokat.
      • A rutinszerűen figyelmen kívül hagyott alacsony szintű fenyegetések vagy riasztások kiküszöbölése.
  • Készítsen elő egy érvényesítési folyamatot. Definiáljon tesztforgatókönyveket, és hozzon létre egy tesztszkriptet.
  • Alkalmazhat módszertant a használati esetek rangsorolásához? A MoSCoW-hoz hasonló módszertant követve rangsorolhatja a migráláshoz használt, karcsúbb használati eseteket.

Következő lépés

Ebben a cikkben megtanulta, hogyan tervezheti meg és készítheti elő a migrálást.

Migrálás nyomon követése munkafüzettel