Uw migratie naar Microsoft Sentinel plannen

SOC-teams (Security Operations Center) maken gebruik van gecentraliseerde SIEM-oplossingen (Security Information and Event Management) en SOAR-oplossingen (Security Orchestration, Automation and Response) om hun steeds meer gedecentraliseerde digitale activa te beschermen. Hoewel verouderde SIEM's een goede dekking van on-premises assets kunnen behouden, bieden on-premises architecturen mogelijk onvoldoende dekking voor cloudassets, zoals in Azure, Microsoft 365, AWS of Google Cloud Platform (GCP). Daarentegen kunt Microsoft Sentinel gegevens opnemen van zowel on-premises als cloudassets, waardoor dekking over het hele domein wordt gegarandeerd.

In dit artikel worden de redenen voor migratie vanuit een verouderde SIEM besproken en wordt beschreven hoe u de verschillende fasen van uw migratie kunt plannen.

Migratiestappen

In deze handleiding leert u hoe u uw verouderde SIEM migreert naar Microsoft Sentinel. Volg uw migratieproces door deze reeks artikelen, waarin u leert hoe u verschillende stappen in het proces kunt doorlopen.

Opmerking

Neem voor een begeleid migratieproces deel aan het Microsoft Sentinel Migration and Modernization Program. Met het programma kunt u de migratie vereenvoudigen en versnellen, inclusief best practice-richtlijnen, resources en deskundige hulp in elke fase. Neem contact op met uw accountteam voor meer informatie.

Stap Artikel
Uw migratie plannen U bent hier
Migratie bijhouden met een werkmap Uw Microsoft Sentinel migratie bijhouden met een werkmap
De SIEM-migratie-ervaring gebruiken SIEM-migratie
Migreren vanuit ArcSight Detectieregels migreren
Soar-automatisering migreren
Historische gegevens exporteren
Migreren vanuit Splunk Begin met de SIEM-migratie-ervaring
Detectieregels migreren
Soar-automatisering migreren
Historische gegevens exporteren

Als u uw Splunk Observability-implementatie wilt migreren, vindt u meer informatie over het migreren van Splunk naar Azure Monitor-logboeken.
Migreren van QRadar Begin met de SIEM-migratie-ervaring
Detectieregels migreren
Soar-automatisering migreren
Historische gegevens exporteren
Historische gegevens opnemen Selecteer een doel-Azure platform om de geëxporteerde historische gegevens te hosten
Selecteer een hulpprogramma voor gegevensopname
Historische gegevens opnemen in uw doelplatform
Dashboards converteren naar werkmappen Dashboards converteren naar Azure werkmappen
SOC-processen bijwerken SOC-processen bijwerken

Wat is Microsoft Sentinel?

Microsoft Sentinel is een schaalbare, cloudeigen, SIEM-oplossing (Security Information and Event Management) en security orchestration, automation and response (SOAR). Microsoft Sentinel biedt intelligente beveiligingsanalyses en bedreigingsinformatie in de hele onderneming. Microsoft Sentinel biedt één oplossing voor detectie van aanvallen, zichtbaarheid van bedreigingen, proactieve opsporing en reactie op bedreigingen. Meer informatie over Microsoft Sentinel.

Waarom migreren van een verouderde SIEM?

SOC-teams hebben te maken met een reeks uitdagingen bij het beheren van een verouderde SIEM:

  • Trage reactie op bedreigingen. Verouderde SIEM's maken gebruik van correlatieregels, die moeilijk te onderhouden zijn en ineffectief zijn voor het identificeren van nieuwe bedreigingen. Bovendien worden SOC-analisten geconfronteerd met grote hoeveelheden fout-positieven, veel waarschuwingen van veel verschillende beveiligingsonderdelen en steeds grotere hoeveelheden logboeken. Het analyseren van deze gegevens vertraagt de inspanningen van SOC-teams om te reageren op kritieke bedreigingen in de omgeving.
  • Uitdagingen bij het schalen. Naarmate het aantal gegevensopnamen toeneemt, worden SOC-teams uitgedaagd met het schalen van hun SIEM. In plaats van zich te richten op het beveiligen van de organisatie, moeten SOC-teams investeren in het instellen en onderhouden van infrastructuur en zijn ze gebonden aan opslag- of querylimieten.
  • Handmatige analyse en reactie. SOC-teams hebben zeer deskundige analisten nodig om grote hoeveelheden waarschuwingen handmatig te verwerken. SOC-teams zijn overwerkt en nieuwe analisten zijn moeilijk te vinden.
  • Complex en inefficiënt beheer. SOC-teams houden doorgaans toezicht op indeling en infrastructuur, beheren verbindingen tussen de SIEM en verschillende gegevensbronnen en voeren updates en patches uit. Deze taken gaan vaak ten koste van kritieke triage en analyse.

Een cloudeigen SIEM gaat deze uitdagingen aan. Microsoft Sentinel verzamelt gegevens automatisch en op schaal, detecteert onbekende bedreigingen, onderzoekt bedreigingen met kunstmatige intelligentie en reageert snel op incidenten met ingebouwde automatisering.

Uw migratie plannen

Tijdens de planningsfase identificeert u uw bestaande SIEM-onderdelen, uw bestaande SOC-processen en ontwerpt en plant u nieuwe use cases. Met een grondige planning kunt u beveiliging handhaven voor zowel uw cloudactiva (Microsoft Azure, AWS of GCP) als uw SaaS-oplossingen, zoals Microsoft Office 365.

In dit diagram worden de fasen op hoog niveau beschreven die een typische migratie omvat. Elke fase bevat duidelijke doelen, belangrijke activiteiten en gespecificeerde resultaten en producten.

De fasen in dit diagram zijn een richtlijn voor het voltooien van een typische migratieprocedure. Een daadwerkelijke migratie bevat mogelijk niet bepaalde fasen of meer fasen. In plaats van de volledige reeks fasen te bekijken, worden in de artikelen in deze handleiding specifieke taken en stappen beschreven die vooral belangrijk zijn voor een Microsoft Sentinel migratie.

Diagram van de Microsoft Sentinel migratiefasen.

Overwegingen

Bekijk deze belangrijke overwegingen voor elke fase.

Fase Overweging
Ontdekken Identificeer use cases en migratieprioriteiten als onderdeel van deze fase.
Design Definieer een gedetailleerd ontwerp en architectuur voor uw Microsoft Sentinel implementatie. U gebruikt deze informatie om goedkeuring te krijgen van de relevante belanghebbenden voordat u begint met de implementatiefase.
Implementeren Wanneer u Microsoft Sentinel-onderdelen implementeert volgens de ontwerpfase en voordat u uw hele infrastructuur converteert, moet u overwegen of u Microsoft Sentinel out-of-the-box inhoud kunt gebruiken in plaats van alle onderdelen te migreren. U kunt Microsoft Sentinel geleidelijk gaan gebruiken, te beginnen met een minimum viable product (MVP) voor verschillende gebruiksscenario's. Naarmate u meer use cases toevoegt, kunt u dit Microsoft Sentinel-exemplaar gebruiken als een UAT-omgeving (User Acceptance Testing) om de use cases te valideren.
Operationeel maken U migreert uw inhoud en SOC-processen om ervoor te zorgen dat de bestaande analistenervaring niet wordt onderbroken.

Uw migratieprioriteiten identificeren

Gebruik deze vragen om uw migratieprioriteiten vast te leggen:

  • Wat zijn de meest kritieke onderdelen, systemen, apps en gegevens in uw bedrijf?
  • Wie zijn uw belanghebbenden bij de migratie? SIEM-migratie raakt waarschijnlijk veel gebieden van uw bedrijf.
  • Wat drijft uw prioriteiten? Bijvoorbeeld het grootste bedrijfsrisico, nalevingsvereisten, bedrijfsprioriteiten, enzovoort.
  • Wat is uw migratieschaal en tijdlijn? Welke factoren van invloed zijn op uw datums en deadlines. Migreert u een volledig verouderd systeem?
  • Heb je de vaardigheden die je nodig hebt? Is uw beveiligingspersoneel getraind en klaar voor de migratie?
  • Zijn er specifieke obstakels in uw organisatie? Zijn er problemen van invloed op migratieplanning en -planning? Bijvoorbeeld problemen zoals personeels- en trainingsvereisten, licentiedatums, harde stops, specifieke bedrijfsbehoeften, enzovoort.

Voordat u begint met de migratie, identificeert u belangrijke use cases, detectieregels, gegevens en automatisering in uw huidige SIEM. Benader uw migratie als een geleidelijk proces. Wees bewust en denk goed na over wat u als eerste migreert, wat u deprioriteert en wat niet echt hoeft te worden gemigreerd. Uw team heeft mogelijk een overweldigend aantal detecties en use cases die worden uitgevoerd in uw huidige SIEM. Bepaal voordat u begint met de migratie welke actief nuttig zijn voor uw bedrijf.

Use cases identificeren

Gebruik bij het plannen van de ontdekkingsfase de volgende richtlijnen om uw gebruiksscenario's te identificeren.

  • Identificeer en analyseer uw huidige use cases op bedreiging, besturingssysteem, product, enzovoort.
  • Wat is het bereik? Wilt u alle use cases migreren of een aantal prioriteitscriteria gebruiken?
  • Bepaal welke beveiligingsassets het essentieelst zijn voor uw migratie.
  • Welke use cases zijn effectief? Een goed uitgangspunt is om te kijken welke detecties het afgelopen jaar resultaten hebben opgeleverd (fout-positief versus positief).
  • Wat zijn de bedrijfsprioriteiten die van invloed zijn op de migratie van use-case? Wat zijn de grootste risico's voor uw bedrijf? Met welk soort problemen loopt uw bedrijf het meeste risico?
  • Prioriteren op basis van use case-kenmerken.
    • Overweeg lagere en hogere prioriteiten te stellen. We raden u aan u te richten op detecties die 90 procent true-positief afdwingen op waarschuwingsfeeds. Gebruiksvoorbeelden die een hoog fout-positief percentage veroorzaken, hebben mogelijk een lagere prioriteit voor uw bedrijf.
    • Selecteer use cases die regelmigratie rechtvaardigen in termen van bedrijfsprioriteit en werkzaamheid:
      • Controleer regels die de afgelopen 6 tot 12 maanden geen waarschuwingen hebben geactiveerd.
      • Elimineer bedreigingen of waarschuwingen op laag niveau die u regelmatig negeert.
  • Bereid een validatieproces voor. Testscenario's definiëren en een testscript maken.
  • Kunt u een methodologie toepassen om prioriteit te geven aan use cases? U kunt een methodologie zoals MoSCoW volgen om prioriteit te geven aan een leanre set use cases voor migratie.

Volgende stap

In dit artikel hebt u geleerd hoe u uw migratie kunt plannen en voorbereiden.

Uw migratie bijhouden met een werkmap

  • Last updated on