Развертывание Microsoft Sentinel параллельно в существующем SIEM
Команда центра информационной безопасности (SOC) использует централизованные решения для управления информационной безопасностью и событиями безопасности (SIEM) и оркестрации, автоматизации и реагирования (SOAR), чтобы защитить ваше все более децентрализованное цифровое пространство.
В этой статье описывается подход и методы, которые следует учитывать при развертывании Microsoft Sentinel в параллельной конфигурации вместе с существующим SIEM.
Параллельный подход
Используйте параллельную архитектуру как краткосрочную, переходную фазу, которая приводит к облачному размещению SIEM или в качестве долгосрочной операционной модели в зависимости от потребностей SIEM вашей организации.
Например, хотя рекомендуемая архитектура — использовать параллельной архитектуры достаточно долго, чтобы завершить миграцию в Microsoft Sentinel, ваша организация может потребовать остаться в вашей параллельной конфигурации дольше, например, если вы не готовы перейти от устаревшей SIEM. Как правило, организации, которые используют параллельную конфигурацию в долгосрочной перспективе, применяют Microsoft Sentinel для анализа только облачных данных. Многие организации избегают применения нескольких локальных решений аналитики из-за сопутствующих затрат и сложности управления.
Microsoft Sentinel обеспечивает модель с оплатой по мере использования и гибкую инфраструктуру, предоставляя командам SOC время на адаптацию к изменениям. Разверните и протестируйте содержимое в темпе, который лучше подходит для вашей организации, и узнайте, как полностью выполнить миграцию в Microsoft Sentinel.
При принятии решения о том, какой из методов использовать, учитывайте их преимущества и недостатки.
Краткосрочный подход
В следующей таблице описываются преимущества и минусы использования параллельной архитектуры в течение относительно короткого периода времени.
Преимущества | Недостатки |
---|---|
• Предоставляет сотрудникам SOC время на адаптацию к новым процессам в процессе развертывания рабочих нагрузок и средств аналитики. • Обеспечивает глубокую корреляцию по всем источникам данных для сценариев охоты. • Исключает необходимость выполнять перекрестную аналитику для решений SIEM, создавать правила переадресации и закрывать исследования в двух местах. • Позволяет команде SOC быстро перейти на использование более ранней версии устаревших решений SIEM, устраняя затраты на инфраструктуру и лицензирование. |
• Может требовать слишком интенсивного обучения сотрудников SOC. |
Средне- и долгосрочный подход
В следующей таблице описываются преимущества и минусы использования параллельной архитектуры для относительно среднего или более длительного периода времени.
Преимущества | Недостатки |
---|---|
• Позволяет использовать ключевые преимущества Microsoft Sentinel, такие как ИИ, машинное обучение и исследования, без необходимости полностью отказаться от устаревшего решения SIEM. • Позволяет сэкономить средства по сравнению с устаревшим решением SIEM за счет анализа облачных данных или данных корпорации Майкрософт в Microsoft Sentinel. |
• Повышает сложность за счет раздельной аналитики для разных баз данных. • Разделяет управление случаями и исследование инцидентов в нескольких средах. • Приводит к повышению затрат на персонал и инфраструктуру. • Сотрудники SOC должны обладать навыками работы с двумя разными решениями SIEM. |
Параллельный метод
Определите, как настроить и использовать Microsoft Sentinel параллельно с устаревшим SIEM.
Метод 1. Отправка оповещений из устаревшей SIEM в Microsoft Sentinel (рекомендуется)
Можно отправлять оповещения или индикаторы аномальных действий из устаревшего решения SIEM в Microsoft Sentinel.
- Прием и анализ облачных данных в Microsoft Sentinel
- Используйте устаревшее решение SIEM для анализа локальных данных и создания оповещений.
- Пересылайте оповещения из локального решения SIEM в Microsoft Sentinel, чтобы реализовать единый интерфейс.
Например, перенаправьте оповещения с помощью Logstash, API или Syslog и сохраните их в формате JSON в рабочей области Microsoft Sentinel Log Analytics.
Отправляя оповещения из устаревшего решения SIEM в Microsoft Sentinel, ваша команда сможет перекрестно коррелировать и исследовать эти оповещения в Microsoft Sentinel. При необходимости она по-прежнему сможет получить доступ к устаревшему решению SIEM для более тщательного исследования. В то же время можно продолжить развертывание источников данных в течение длительного переходного периода.
Этот рекомендуемый способ параллельного развертывания обеспечивает все преимущества Microsoft Sentinel и возможность развертывания источников данных в темпе, подходящем организации. Такой подход позволяет избежать дублирования затрат на хранение и прием данных при перемещении источников данных.
Дополнительные сведения см. в разделе:
- Перенос данных о нарушениях QRadar в Microsoft Sentinel
- Экспорт данных из Splunk в Microsoft Sentinel
Если вы хотите выполнить полную миграцию в Microsoft Sentinel, ознакомьтесь с полным руководством по миграции.
Метод 2. Отправка оповещений и обогащенных инцидентов от Microsoft Sentinel в устаревший SIEM
Вы можете анализировать часть данных (например, облачные данные) в Microsoft Sentinel, а затем отправлять созданные оповещения в устаревшее решение SIEM. Используйте устаревшее решение SIEM в качестве единого интерфейса для перекрестной корреляции с оповещениями, созданными в Microsoft Sentinel. Вы по-прежнему сможете использовать Microsoft Sentinel для более тщательного изучения оповещений, созданных Microsoft Sentinel.
Эта конфигурация экономична, так как вы можете переместить анализ облачных данных в Microsoft Sentinel и избежать дублирования затрат или двойной оплаты данных. У вы по-прежнему вольны выполнять миграцию в своем темпе. По мере перемещения источников данных и средств обнаружения в Microsoft Sentinel становится проще перейти на использование Microsoft Sentinel в качестве основного интерфейса. Тем не менее, простая пересылка обогащенных инцидентов в устаревшее решение SIEM ограничивает преимущества от возможностей исследования, поиска и автоматизации в Microsoft Sentinel.
Дополнительные сведения см. в разделе:
- Отправка расширенных оповещений Microsoft Sentinel в устаревшее решение SIEM
- Отправка расширенных оповещений Microsoft Sentinel в IBM QRadar
- Прием оповещений Microsoft Sentinel в Splunk
Другие методы
В следующей таблице описаны параллельные конфигурации, которые не рекомендуются, и сведения о том, почему они не рекомендуются.
Метод | Description |
---|---|
Отправка журналов Microsoft Sentinel в устаревшее решение SIEM | Этот метод не избавит вас от трудностей, связанных с затратами и масштабированием локального решения SIEM. Вы будете оплачивать прием данных в Microsoft Sentinel, а также хранение данных в устаревшем решении SIEM, и вы не сможете воспользоваться преимуществами обнаружения SIEM и SOAR, аналитики, аналитики поведения пользователей и сущностей (UEBA), искусственного интеллекта, средств исследования и автоматизации. |
Отправка журналов из устаревшего решения SIEM в Microsoft Sentinel | Хотя этот метод обеспечивает все возможности Microsoft Sentinel, ваша организация по-прежнему будет оплачивать прием данных из двух разных источников. Помимо усложнения архитектуры, эта модель может привести к увеличению затрат. |
Раздельное использование Microsoft Sentinel и устаревшего решения SIEM | Вы можете использовать Microsoft Sentinel для анализа части источников данных, например облачных данных, и продолжить использовать локальное решение SIEM для других источников. Такая конфигурация обеспечивает четкое разграничение использования каждого решения и позволяет избежать дублирования затрат. Однако усложняется перекрестная корреляция, и вы не сможете полностью диагностировать атаки, пересекающие оба набора источников данных. В современном ландшафте, где угрозы часто нешаблонно перемещаются по организации, такие недостатки отслеживания могут значительно повысить риски безопасности. |
Упрощение процессов с помощью автоматизации
Используйте автоматизированные рабочие процессы, чтобы группировать оповещения и определить их приоритет в общем инциденте, а также чтобы изменять приоритет.
Дополнительные сведения см. в разделе:
- Автоматизация в Microsoft Sentinel: оркестрация безопасности, автоматизация и ответ (SOAR)
- Автоматизация реагирования на угрозы с помощью сборников схем в Microsoft Sentinel
- Автоматизация обработки инцидентов в Microsoft Sentinel с помощью правил автоматизации
Связанный контент
Изучите материалы по Microsoft Sentinel, чтобы расширить свои навыки и максимально эффективно использовать Microsoft Sentinel.
Рассмотрите возможность повышения защиты от угроз с помощью Microsoft Sentinel вместе с XDR в Microsoft Defender и Microsoft Defender для облака для интегрированной защиты от угроз. Воспользуйтесь преимуществами обширного мониторинга в Microsoft Sentinel и тщательно изучайте подробные данные анализа угроз.
Дополнительные сведения см. в разделе:
- Рекомендации по переносу правил
- Вебинар: рекомендации по преобразованию правил обнаружения
- Управление SOC лучше с помощью метрик инцидентов
- Схема обучения Microsoft Sentinel
- Сертификат SC-200 Microsoft Security Operations Analyst
- Станьте экспертом в Microsoft Sentinel
- Исследование атаки в гибридной среде с помощью Microsoft Sentinel