Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Uw SOC-team (Security Operations Center) maakt gebruik van gecentraliseerde SIEM-oplossingen (Security Information and Event Management) en SOAR-oplossingen (Security Orchestration, Automation and Response) om uw steeds meer gedecentraliseerde digitale activa te beschermen.
In dit artikel worden de aanpak en methoden beschreven waarmee u rekening moet houden bij het implementeren van Microsoft Sentinel in een configuratie naast uw bestaande SIEM.
Side-by-side benadering
Gebruik een architectuur naast elkaar als een overgangsfase op korte termijn die leidt tot een in de cloud gehoste SIEM, of als een operationeel model voor de middellange tot lange termijn, afhankelijk van de SIEM-behoeften van uw organisatie.
Hoewel de aanbevolen architectuur bijvoorbeeld is om een architectuur naast elkaar te gebruiken die net lang genoeg is om een migratie naar Microsoft Sentinel te voltooien, wil uw organisatie mogelijk langer met uw configuratie naast elkaar blijven werken, bijvoorbeeld als u niet klaar bent om uw verouderde SIEM te verlaten. Organisaties die een langetermijnconfiguratie naast elkaar gebruiken, gebruiken doorgaans Microsoft Sentinel om alleen hun cloudgegevens te analyseren. Veel organisaties vermijden het uitvoeren van meerdere on-premises analyseoplossingen vanwege de kosten en complexiteit.
Microsoft Sentinel biedt prijzen voor betalen per gebruik en flexibele infrastructuur, waardoor SOC-teams de tijd hebben om zich aan te passen aan de verandering. Implementeer en test uw inhoud in een tempo dat het beste werkt voor uw organisatie en leer hoe u volledig naar Microsoft Sentinel kunt migreren.
Houd rekening met de voor- en nadelen van elke benadering bij het bepalen welke u wilt gebruiken.
Korte-termijnbenadering
In de volgende tabel worden de voor- en nadelen beschreven van het gebruik van een architectuur naast elkaar gedurende een relatief korte periode.
| Pros | Tegens |
|---|---|
| • Geeft SOC-medewerkers de tijd om zich aan te passen aan nieuwe processen tijdens het implementeren van workloads en analyses. • Verkrijgt een diepgaande correlatie tussen alle gegevensbronnen voor opsporingsscenario's. • Elimineert het uitvoeren van analyses tussen SIEM's, het maken van doorstuurregels en het sluiten van onderzoeken op twee plaatsen. • Hiermee kan uw SOC-team snel verouderde SIEM-oplossingen downgraden, waardoor infrastructuur- en licentiekosten worden geëlimineerd. |
• Kan een steile leercurve vereisen voor SOC-medewerkers. |
Benadering op middellange tot lange termijn
In de volgende tabel worden de voor- en nadelen beschreven van het gebruik van een architectuur naast elkaar gedurende een relatief gemiddelde of langere periode.
| Pros | Tegens |
|---|---|
| • Hiermee kunt u belangrijke Microsoft Sentinel voordelen, zoals AI, ML en onderzoeksmogelijkheden, gebruiken zonder volledig af te stappen van uw verouderde SIEM. • Bespaart geld in vergelijking met uw verouderde SIEM door cloud- of Microsoft-gegevens in Microsoft Sentinel te analyseren. |
• Verhoogt de complexiteit door analyse tussen verschillende databases te scheiden. • Splits case management en onderzoeken voor incidenten met meerdere omgevingen. • Brengt hogere personeel- en infrastructuurkosten met zich mee. • Vereist dat SOC-medewerkers op de hoogte zijn van twee verschillende SIEM-oplossingen. |
Methode naast elkaar
Bepaal hoe u Microsoft Sentinel naast uw verouderde SIEM gaat configureren en gebruiken.
Methode 1: waarschuwingen van een verouderde SIEM verzenden naar Microsoft Sentinel (aanbevolen)
Verzend waarschuwingen, of indicatoren van afwijkende activiteit, van uw verouderde SIEM naar Microsoft Sentinel.
- Cloudgegevens opnemen en analyseren in Microsoft Sentinel
- Gebruik uw verouderde SIEM om on-premises gegevens te analyseren en waarschuwingen te genereren.
- Stuur de waarschuwingen van uw on-premises SIEM door naar Microsoft Sentinel om één interface tot stand te brengen.
U kunt bijvoorbeeld waarschuwingen doorsturen met behulp van Logstash, API's of Syslog en deze in JSON-indeling opslaan in uw Microsoft Sentinel Log Analytics-werkruimte.
Door waarschuwingen van uw verouderde SIEM naar Microsoft Sentinel te verzenden, kan uw team deze waarschuwingen kruislings correleren en onderzoeken in Microsoft Sentinel. Het team heeft indien nodig nog steeds toegang tot de verouderde SIEM voor dieper onderzoek. Ondertussen kunt u gegevensbronnen gedurende een langere overgangsperiode blijven implementeren.
Deze aanbevolen, side-by-side implementatiemethode biedt u de volledige waarde van Microsoft Sentinel en de mogelijkheid om gegevensbronnen te implementeren in het tempo dat geschikt is voor uw organisatie. Deze benadering voorkomt duplicatie van kosten voor gegevensopslag en opname terwijl u uw gegevensbronnen verplaatst.
Zie voor meer informatie:
- QRadar-overtredingen migreren naar Microsoft Sentinel
- Gegevens exporteren van Splunk naar Microsoft Sentinel.
Als u volledig wilt migreren naar Microsoft Sentinel, raadpleegt u de volledige migratiehandleiding.
Methode 2: waarschuwingen en verrijkte incidenten van Microsoft Sentinel verzenden naar een verouderde SIEM
Analyseer enkele gegevens in Microsoft Sentinel, zoals cloudgegevens, en verzend vervolgens de gegenereerde waarschuwingen naar een verouderde SIEM. Gebruik de verouderde SIEM als uw enkele interface om kruiscorrelatie uit te voeren met de waarschuwingen die Microsoft Sentinel gegenereerd. U kunt nog steeds Microsoft Sentinel gebruiken voor een dieper onderzoek naar de Microsoft Sentinel gegenereerde waarschuwingen.
Deze configuratie is rendabel, omdat u uw cloudgegevensanalyse kunt verplaatsen naar Microsoft Sentinel zonder de kosten te dupliceren of twee keer te betalen voor gegevens. U hebt nog steeds de vrijheid om in uw eigen tempo te migreren. Naarmate u gegevensbronnen en detecties blijft verplaatsen naar Microsoft Sentinel, wordt het eenvoudiger om te migreren naar Microsoft Sentinel als uw primaire interface. Het doorsturen van verrijkte incidenten naar een verouderde SIEM beperkt echter de waarde die u krijgt van de onderzoeks-, opsporings- en automatiseringsmogelijkheden van Microsoft Sentinel.
Zie voor meer informatie:
- Verrijkte Microsoft Sentinel-waarschuwingen verzenden naar uw verouderde SIEM
- Verrijkte Microsoft Sentinel-waarschuwingen verzenden naar IBM QRadar
- Microsoft Sentinel waarschuwingen opnemen in Splunk
Andere methoden
In de volgende tabel worden configuraties naast elkaar beschreven die niet worden aanbevolen, met details over waarom:
| Methode | Beschrijving |
|---|---|
| Microsoft Sentinel logboeken verzenden naar uw verouderde SIEM | Met deze methode blijft u de kosten- en schaalproblemen van uw on-premises SIEM ondervinden. U betaalt voor gegevensopname in Microsoft Sentinel, samen met opslagkosten in uw verouderde SIEM, en u kunt niet profiteren van siem- en SOAR-detecties, analyses, UEBA(User Entity Behavior Analytics), AI of hulpprogramma's voor onderzoek en automatisering van Microsoft Sentinel. |
| Logboeken van een verouderde SIEM verzenden naar Microsoft Sentinel | Hoewel deze methode u de volledige functionaliteit van Microsoft Sentinel biedt, betaalt uw organisatie nog steeds voor twee verschillende gegevensopnamebronnen. Naast het toevoegen van de complexiteit van de architectuur, kan dit model leiden tot hogere kosten. |
| Gebruik Microsoft Sentinel en uw verouderde SIEM als twee volledig afzonderlijke oplossingen | U kunt Microsoft Sentinel gebruiken om bepaalde gegevensbronnen te analyseren, zoals uw cloudgegevens, en uw on-premises SIEM blijven gebruiken voor andere bronnen. Deze instelling biedt duidelijke grenzen voor het gebruik van elke oplossing en voorkomt duplicatie van kosten. Kruiscorrelatie wordt echter moeilijk en u kunt aanvallen die beide sets gegevensbronnen overschrijden, niet volledig diagnosticeren. In het huidige landschap, waarin bedreigingen zich vaak lateraal verplaatsen in een organisatie, kunnen dergelijke zichtbaarheidslacunes aanzienlijke beveiligingsrisico's met zich meebrengen. |
Processen stroomlijnen met behulp van automatisering
Gebruik geautomatiseerde werkstromen om waarschuwingen te groeperen en prioriteit te geven in een veelvoorkomend incident en de prioriteit ervan te wijzigen.
Zie voor meer informatie:
- Automatisering in Microsoft Sentinel: Beveiliging indeling, automatisering en respons (SOAR)
- Reactie op bedreigingen automatiseren met playbooks in Microsoft Sentinel
- Incidentafhandeling automatiseren in Microsoft Sentinel met automatiseringsregels
Verwante onderwerpen
Verken de Microsoft Sentinel resources van Microsoft om uw vaardigheden uit te breiden en het meeste uit Microsoft Sentinel te halen.
Overweeg uw bedreigingsbeveiliging te verhogen met behulp van Microsoft Sentinel naast Microsoft Defender XDR en Microsoft Defender voor Cloud voor geïntegreerde bedreigingsbeveiliging. Profiteer van de breedte van de zichtbaarheid die Microsoft Sentinel biedt, terwijl u dieper ingaat op gedetailleerde bedreigingsanalyse.
Zie voor meer informatie:
- Best practices voor regelmigratie
- Webinar: Aanbevolen procedures voor het converteren van detectieregels
- Uw SOC beter beheren met metrische incidentgegevens
- Microsoft Sentinel leertraject
- SC-200 Microsoft Security Operations Analyst-certificering
- Microsoft Sentinel Ninja training
- Een aanval op een hybride omgeving onderzoeken met Microsoft Sentinel