Delen via

Uw migratie naar Microsoft Sentinel plannen

  • Artikel

SOC-teams (Security Operations Center) gebruiken gecentraliseerde SIEM-oplossingen (Security Information and Event Management) en SOAR-oplossingen (Security Orchestration, Automation and Response) om hun steeds meer gedecentraliseerde digitale activa te beschermen. Hoewel verouderde SIEM's een goede dekking van on-premises assets kunnen handhaven, hebben on-premises architecturen mogelijk onvoldoende dekking voor cloudactiva, zoals in Azure, Microsoft 365, AWS of Google Cloud Platform (GCP). Microsoft Sentinel kan daarentegen gegevens opnemen van zowel on-premises als cloudassets, waardoor de dekking voor de hele activa wordt gegarandeerd.

In dit artikel worden de redenen voor migratie vanuit een verouderde SIEM beschreven en wordt beschreven hoe u de verschillende fasen van uw migratie plant.

Migratiestappen

In deze handleiding leert u hoe u uw verouderde SIEM migreert naar Microsoft Sentinel. Volg uw migratieproces via deze reeks artikelen, waarin u leert hoe u door verschillende stappen in het proces navigeert.

Notitie

Voor een begeleid migratieproces kunt u deelnemen aan het Microsoft Sentinel-migratie- en moderniseringsprogramma. Met het programma kunt u de migratie vereenvoudigen en versnellen, met inbegrip van best practice-richtlijnen, resources en deskundige hulp in elke fase. Neem contact op met uw accountteam voor meer informatie.

Stap Artikel
Uw migratie plannen U bent hier
Migratie bijhouden met een werkmap Uw Microsoft Sentinel-migratie bijhouden met een werkmap
De SIEM-migratie-ervaring gebruiken SIEM-migratie (preview)
Migreren vanuit ArcSight Detectieregels migreren
SOAR-automatisering migreren
• Historische gegevens exporteren
Migreren vanuit Splunk Detectieregels migreren
SOAR-automatisering migreren
• Historische gegevens exporteren

Als u de implementatie van Splunk Waarneembaarheid wilt migreren, vindt u meer informatie over het migreren van Splunk naar Azure Monitor-logboeken.
Migreren vanuit QRadar Detectieregels migreren
SOAR-automatisering migreren
• Historische gegevens exporteren
Historische gegevens opnemen Selecteer een Azure-doelplatform om de geëxporteerde historische gegevens te hosten
Selecteer een hulpprogramma voor gegevensopname
Historische gegevens opnemen in uw doelplatform
Dashboards converteren naar werkmappen Dashboards converteren naar Azure Workbooks
SOC-processen bijwerken SOC-processen bijwerken

Wat is Microsoft Sentinel?

Microsoft Sentinel is een schaalbare, cloudeigen, SIEM-oplossing (Security Information and Event Management) en security orchestration, automation and response (SOAR). Microsoft Sentinel levert intelligente beveiligingsanalyses en bedreigingsinformatie in de hele onderneming. Microsoft Sentinel biedt één oplossing voor aanvalsdetectie, zichtbaarheid van bedreigingen, proactieve opsporing en reactie op bedreigingen. Meer informatie over Microsoft Sentinel.

Waarom migreren van een verouderde SIEM?

SOC-teams hebben te maken met een aantal uitdagingen bij het beheren van een verouderde SIEM:

  • Trage reactie op bedreigingen. Verouderde SIEM's maken gebruik van correlatieregels, die moeilijk te onderhouden en ineffectief zijn voor het identificeren van opkomende bedreigingen. Daarnaast worden SOC-analisten geconfronteerd met grote hoeveelheden fout-positieven, veel waarschuwingen van veel verschillende beveiligingsonderdelen en steeds grotere hoeveelheden logboeken. Het analyseren van deze gegevens vertraagt SOC-teams in hun inspanningen om te reageren op kritieke bedreigingen in de omgeving.
  • Uitdagingen bij schalen. Naarmate het aantal gegevensopnamen toeneemt, worden SOC-teams aan de uitdaging gesteld om hun SIEM te schalen. In plaats van te focussen op het beveiligen van de organisatie, moeten SOC-teams investeren in infrastructuurinstallatie en -onderhoud en zijn gebonden aan opslag- of querylimieten.
  • Handmatige analyse en reactie. SOC-teams hebben zeer ervaren analisten nodig om grote hoeveelheden waarschuwingen handmatig te verwerken. SOC-teams zijn overbelast en nieuwe analisten zijn moeilijk te vinden.
  • Complex en inefficiënt beheer. SOC-teams houden doorgaans toezicht op indeling en infrastructuur, beheren verbindingen tussen de SIEM en verschillende gegevensbronnen en voeren updates en patches uit. Deze taken zijn vaak ten koste van kritieke triage en analyse.

Een cloudeigen SIEM biedt een oplossing voor deze uitdagingen. Microsoft Sentinel verzamelt automatisch en op schaal gegevens, detecteert onbekende bedreigingen, onderzoekt bedreigingen met kunstmatige intelligentie en reageert snel op incidenten met ingebouwde automatisering.

Uw migratie plannen

Tijdens de planningsfase identificeert u uw bestaande SIEM-onderdelen, uw bestaande SOC-processen en ontwerpt en plant u nieuwe use cases. Met een grondige planning kunt u beveiliging onderhouden voor zowel uw cloudassets( Microsoft Azure, AWS of GCP) als uw SaaS-oplossingen, zoals Microsoft Office 365.

In dit diagram worden de fasen op hoog niveau beschreven die een typische migratie omvat. Elke fase omvat duidelijke doelen, belangrijke activiteiten en opgegeven resultaten en producten.

De fasen in dit diagram zijn een richtlijn voor het voltooien van een typische migratieprocedure. Een daadwerkelijke migratie bevat mogelijk geen enkele fasen of kan meer fasen bevatten. In plaats van de volledige set fasen te bekijken, worden in de artikelen in deze handleiding specifieke taken en stappen bekeken die met name belangrijk zijn voor een Microsoft Sentinel-migratie.

Diagram of the Microsoft Sentinel migration phases.

Overwegingen

Bekijk deze belangrijke overwegingen voor elke fase.

Fase Overweging
Ontdekken Identificeer use cases en migratieprioriteiten als onderdeel van deze fase.
Ontwerpen Definieer een gedetailleerd ontwerp en een gedetailleerde architectuur voor uw Microsoft Sentinel-implementatie. U gebruikt deze informatie om goedkeuring te krijgen van de relevante belanghebbenden voordat u de implementatiefase start.
Implementeren Wanneer u Microsoft Sentinel-onderdelen implementeert volgens de ontwerpfase en voordat u de volledige infrastructuur converteert, moet u overwegen of u de out-of-the-box-inhoud van Microsoft Sentinel kunt gebruiken in plaats van alle onderdelen te migreren. U kunt Microsoft Sentinel geleidelijk gaan gebruiken, te beginnen met een minimum viable product (MVP) voor verschillende gebruiksvoorbeelden. Als u meer gebruiksvoorbeelden toevoegt, kunt u dit Microsoft Sentinel-exemplaar gebruiken als een UAT-omgeving (User Acceptance Testing) om de use cases te valideren.
Operationeel maken U migreert uw inhoud en SOC-processen om ervoor te zorgen dat de bestaande analistervaring niet wordt onderbroken.

Uw migratieprioriteiten identificeren

Gebruik deze vragen om uw migratieprioriteiten vast te maken:

  • Wat zijn de meest kritieke infrastructuuronderdelen, systemen, apps en gegevens in uw bedrijf?
  • Wie zijn uw belanghebbenden bij de migratie? SIEM-migratie raakt waarschijnlijk veel gebieden van uw bedrijf aan.
  • Wat bepaalt uw prioriteiten? Bijvoorbeeld het grootste bedrijfsrisico, nalevingsvereisten, bedrijfsprioriteiten, enzovoort.
  • Wat is uw migratieschaal en tijdlijn? Welke factoren van invloed zijn op uw datums en deadlines. Migreert u een volledig verouderd systeem?
  • Heb je de vaardigheden die je nodig hebt? Is uw beveiligingspersoneel getraind en klaar voor de migratie?
  • Zijn er specifieke obstakels in uw organisatie? Zijn er problemen die van invloed zijn op migratieplanning en -planning? Bijvoorbeeld problemen zoals personeels- en trainingsvereisten, licentiedatums, harde stops, specifieke zakelijke behoeften, enzovoort.

Voordat u met de migratie begint, identificeert u belangrijke use cases, detectieregels, gegevens en automatisering in uw huidige SIEM. Benader uw migratie als een geleidelijk proces. Wees bewust en attent over wat u eerst migreert, wat u deprioritiseert en wat niet echt hoeft te worden gemigreerd. Uw team kan een overweldigend aantal detecties en use cases hebben die worden uitgevoerd in uw huidige SIEM. Voordat u met de migratie begint, moet u bepalen welke actief nuttig zijn voor uw bedrijf.

Use cases identificeren

Gebruik de volgende richtlijnen om uw gebruiksscenario's te identificeren bij het plannen van de ontdekkingsfase.

  • Identificeer en analyseer uw huidige use cases op bedreiging, besturingssysteem, product, enzovoort.
  • Wat is het bereik? Wilt u alle use cases migreren of een aantal prioriteitscriteria gebruiken?
  • Bepaal welke beveiligingsassets het essentieelst zijn voor uw migratie.
  • Welke use cases zijn effectief? Een goede startplaats is om te kijken welke detecties in het afgelopen jaar resultaten hebben opgeleverd (fout-positief versus positief).
  • Wat zijn de bedrijfsprioriteiten die van invloed zijn op de migratie van use-cases? Wat zijn de grootste risico's voor uw bedrijf? Welk type problemen loopt uw bedrijf het meeste risico?
  • Prioriteren op use-casekenmerken.
    • Overweeg lagere en hogere prioriteiten in te stellen. We raden u aan om u te richten op detecties die 90 procent terecht positief afdwingen voor waarschuwingsfeeds. Gebruiksvoorbeelden die een hoog fout-positiefpercentage veroorzaken, kunnen een lagere prioriteit voor uw bedrijf zijn.
    • Gebruiksvoorbeelden selecteren die regelmigratie rechtvaardigen in termen van bedrijfsprioriteit en werkzaamheid:
      • Controleer de regels die de afgelopen 6 tot 12 maanden geen waarschuwingen hebben geactiveerd.
      • Verwijder bedreigingen op laag niveau of waarschuwingen die u regelmatig negeert.
  • Bereid een validatieproces voor. Testscenario's definiëren en een testscript bouwen.
  • Kunt u een methodologie toepassen om prioriteit te geven aan use cases? U kunt een methodologie zoals MoSCoW volgen om prioriteit te geven aan een slankere set use cases voor migratie.

Volgende stappen

In dit artikel hebt u geleerd hoe u uw migratie kunt plannen en voorbereiden.

Uw migratie bijhouden met een werkmap