Бөлісу құралы:


Развертывание Microsoft Sentinel параллельно в существующем SIEM

Команда центра информационной безопасности (SOC) использует централизованные решения для управления информационной безопасностью и событиями безопасности (SIEM) и оркестрации, автоматизации и реагирования (SOAR), чтобы защитить ваше все более децентрализованное цифровое пространство.

В этой статье описывается подход и методы, которые следует учитывать при развертывании Microsoft Sentinel в параллельной конфигурации вместе с существующим SIEM.

Параллельный подход

Используйте параллельную архитектуру как краткосрочную, переходную фазу, которая приводит к облачному размещению SIEM или в качестве долгосрочной операционной модели в зависимости от потребностей SIEM вашей организации.

Например, хотя рекомендуемая архитектура — использовать параллельной архитектуры достаточно долго, чтобы завершить миграцию в Microsoft Sentinel, ваша организация может потребовать остаться в вашей параллельной конфигурации дольше, например, если вы не готовы перейти от устаревшей SIEM. Как правило, организации, которые используют параллельную конфигурацию в долгосрочной перспективе, применяют Microsoft Sentinel для анализа только облачных данных. Многие организации избегают применения нескольких локальных решений аналитики из-за сопутствующих затрат и сложности управления.

Microsoft Sentinel обеспечивает модель с оплатой по мере использования и гибкую инфраструктуру, предоставляя командам SOC время на адаптацию к изменениям. Разверните и протестируйте содержимое в темпе, который лучше подходит для вашей организации, и узнайте, как полностью выполнить миграцию в Microsoft Sentinel.

При принятии решения о том, какой из методов использовать, учитывайте их преимущества и недостатки.

Краткосрочный подход

В следующей таблице описываются преимущества и минусы использования параллельной архитектуры в течение относительно короткого периода времени.

Преимущества Недостатки
• Предоставляет сотрудникам SOC время на адаптацию к новым процессам в процессе развертывания рабочих нагрузок и средств аналитики.

• Обеспечивает глубокую корреляцию по всем источникам данных для сценариев охоты.

• Исключает необходимость выполнять перекрестную аналитику для решений SIEM, создавать правила переадресации и закрывать исследования в двух местах.

• Позволяет команде SOC быстро перейти на использование более ранней версии устаревших решений SIEM, устраняя затраты на инфраструктуру и лицензирование.
• Может требовать слишком интенсивного обучения сотрудников SOC.

Средне- и долгосрочный подход

В следующей таблице описываются преимущества и минусы использования параллельной архитектуры для относительно среднего или более длительного периода времени.

Преимущества Недостатки
• Позволяет использовать ключевые преимущества Microsoft Sentinel, такие как ИИ, машинное обучение и исследования, без необходимости полностью отказаться от устаревшего решения SIEM.

• Позволяет сэкономить средства по сравнению с устаревшим решением SIEM за счет анализа облачных данных или данных корпорации Майкрософт в Microsoft Sentinel.
• Повышает сложность за счет раздельной аналитики для разных баз данных.

• Разделяет управление случаями и исследование инцидентов в нескольких средах.

• Приводит к повышению затрат на персонал и инфраструктуру.

• Сотрудники SOC должны обладать навыками работы с двумя разными решениями SIEM.

Параллельный метод

Определите, как настроить и использовать Microsoft Sentinel параллельно с устаревшим SIEM.

Можно отправлять оповещения или индикаторы аномальных действий из устаревшего решения SIEM в Microsoft Sentinel.

  • Прием и анализ облачных данных в Microsoft Sentinel
  • Используйте устаревшее решение SIEM для анализа локальных данных и создания оповещений.
  • Пересылайте оповещения из локального решения SIEM в Microsoft Sentinel, чтобы реализовать единый интерфейс.

Например, перенаправьте оповещения с помощью Logstash, API или Syslog и сохраните их в формате JSON в рабочей области Microsoft Sentinel Log Analytics.

Отправляя оповещения из устаревшего решения SIEM в Microsoft Sentinel, ваша команда сможет перекрестно коррелировать и исследовать эти оповещения в Microsoft Sentinel. При необходимости она по-прежнему сможет получить доступ к устаревшему решению SIEM для более тщательного исследования. В то же время можно продолжить развертывание источников данных в течение длительного переходного периода.

Этот рекомендуемый способ параллельного развертывания обеспечивает все преимущества Microsoft Sentinel и возможность развертывания источников данных в темпе, подходящем организации. Такой подход позволяет избежать дублирования затрат на хранение и прием данных при перемещении источников данных.

Дополнительные сведения см. в разделе:

Если вы хотите выполнить полную миграцию в Microsoft Sentinel, ознакомьтесь с полным руководством по миграции.

Метод 2. Отправка оповещений и обогащенных инцидентов от Microsoft Sentinel в устаревший SIEM

Вы можете анализировать часть данных (например, облачные данные) в Microsoft Sentinel, а затем отправлять созданные оповещения в устаревшее решение SIEM. Используйте устаревшее решение SIEM в качестве единого интерфейса для перекрестной корреляции с оповещениями, созданными в Microsoft Sentinel. Вы по-прежнему сможете использовать Microsoft Sentinel для более тщательного изучения оповещений, созданных Microsoft Sentinel.

Эта конфигурация экономична, так как вы можете переместить анализ облачных данных в Microsoft Sentinel и избежать дублирования затрат или двойной оплаты данных. У вы по-прежнему вольны выполнять миграцию в своем темпе. По мере перемещения источников данных и средств обнаружения в Microsoft Sentinel становится проще перейти на использование Microsoft Sentinel в качестве основного интерфейса. Тем не менее, простая пересылка обогащенных инцидентов в устаревшее решение SIEM ограничивает преимущества от возможностей исследования, поиска и автоматизации в Microsoft Sentinel.

Дополнительные сведения см. в разделе:

Другие методы

В следующей таблице описаны параллельные конфигурации, которые не рекомендуются, и сведения о том, почему они не рекомендуются.

Метод Description
Отправка журналов Microsoft Sentinel в устаревшее решение SIEM Этот метод не избавит вас от трудностей, связанных с затратами и масштабированием локального решения SIEM.

Вы будете оплачивать прием данных в Microsoft Sentinel, а также хранение данных в устаревшем решении SIEM, и вы не сможете воспользоваться преимуществами обнаружения SIEM и SOAR, аналитики, аналитики поведения пользователей и сущностей (UEBA), искусственного интеллекта, средств исследования и автоматизации.
Отправка журналов из устаревшего решения SIEM в Microsoft Sentinel Хотя этот метод обеспечивает все возможности Microsoft Sentinel, ваша организация по-прежнему будет оплачивать прием данных из двух разных источников. Помимо усложнения архитектуры, эта модель может привести к увеличению затрат.
Раздельное использование Microsoft Sentinel и устаревшего решения SIEM Вы можете использовать Microsoft Sentinel для анализа части источников данных, например облачных данных, и продолжить использовать локальное решение SIEM для других источников. Такая конфигурация обеспечивает четкое разграничение использования каждого решения и позволяет избежать дублирования затрат.

Однако усложняется перекрестная корреляция, и вы не сможете полностью диагностировать атаки, пересекающие оба набора источников данных. В современном ландшафте, где угрозы часто нешаблонно перемещаются по организации, такие недостатки отслеживания могут значительно повысить риски безопасности.

Упрощение процессов с помощью автоматизации

Используйте автоматизированные рабочие процессы, чтобы группировать оповещения и определить их приоритет в общем инциденте, а также чтобы изменять приоритет.

Дополнительные сведения см. в разделе:

Изучите материалы по Microsoft Sentinel, чтобы расширить свои навыки и максимально эффективно использовать Microsoft Sentinel.

Рассмотрите возможность повышения защиты от угроз с помощью Microsoft Sentinel вместе с XDR в Microsoft Defender и Microsoft Defender для облака для интегрированной защиты от угроз. Воспользуйтесь преимуществами обширного мониторинга в Microsoft Sentinel и тщательно изучайте подробные данные анализа угроз.

Дополнительные сведения см. в разделе: