Wdrażanie usługi Microsoft Sentinel obok istniejącego rozwiązania SIEM
Zespół centrum operacji zabezpieczeń (SOC) używa scentralizowanych rozwiązań do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) oraz aranżacji zabezpieczeń, automatyzacji i reagowania (SOAR) w celu ochrony coraz bardziej zdecentralizowanego majątku cyfrowego.
W tym artykule opisano podejście i metody, które należy wziąć pod uwagę podczas wdrażania usługi Microsoft Sentinel w konfiguracji równoległej wraz z istniejącym rozwiązaniem SIEM.
Podejście równoległe
Użyj architektury równoległej albo jako krótkoterminowej, przejściowej fazy, która prowadzi do rozwiązania SIEM hostowanego w chmurze, albo jako średnio-długoterminowego modelu operacyjnego, w zależności od potrzeb rozwiązania SIEM organizacji.
Na przykład, gdy zalecana architektura polega na użyciu architektury równoległej wystarczająco długo, aby ukończyć migrację do usługi Microsoft Sentinel, organizacja może chcieć pozostać z konfiguracją równoległą przez dłuższy czas, na przykład jeśli nie jesteś gotowy do odejścia od starszej wersji rozwiązania SIEM. Zazwyczaj organizacje korzystające z długoterminowej konfiguracji równoległej używają usługi Microsoft Sentinel do analizowania tylko danych w chmurze. Wiele organizacji unika uruchamiania wielu lokalnych rozwiązań analitycznych ze względu na koszty i złożoność.
Usługa Microsoft Sentinel zapewnia cennik płatności zgodnie z rzeczywistym użyciem i elastyczną infrastrukturę, zapewniając zespołom SOC czas na dostosowanie się do zmian. Wdróż i przetestuj zawartość w tempie, który najlepiej sprawdza się w twojej organizacji, i dowiedz się, jak w pełni przeprowadzić migrację do usługi Microsoft Sentinel.
Podczas podejmowania decyzji o tym, która z nich ma być używana, należy wziąć pod uwagę zalety i wady dla każdego podejścia.
Krótkoterminowe podejście
W poniższej tabeli opisano zalety i wady używania architektury równoległej przez stosunkowo krótki okres czasu.
| Zalety | Wady |
|---|---|
| • Zapewnia pracownikom SOC czas dostosowywania się do nowych procesów podczas wdrażania obciążeń i analiz. • Uzyskuje głęboką korelację we wszystkich źródłach danych na potrzeby scenariuszy wyszukiwania zagrożeń. • Eliminuje konieczność analizy między siemami, tworzenie reguł przekazywania i zamykanie badań w dwóch miejscach. • Umożliwia zespołowi SOC szybkie obniżenie starszej wersji rozwiązań SIEM, eliminując koszty infrastruktury i licencjonowania. |
• Może wymagać stromej krzywej uczenia się dla pracowników SOC. |
Podejście średnio-długoterminowe
W poniższej tabeli opisano zalety i wady używania architektury side-by-side przez stosunkowo średni lub dłuższy okres czasu.
| Zalety | Wady |
|---|---|
| • Umożliwia korzystanie z kluczowych korzyści usługi Microsoft Sentinel, takich jak sztuczna inteligencja, uczenie maszynowe i możliwości badania, bez całkowitego odejścia od starszej wersji rozwiązania SIEM. • Oszczędza pieniądze w porównaniu ze starszym rozwiązaniem SIEM, analizując dane w chmurze lub firmie Microsoft w usłudze Microsoft Sentinel. |
• Zwiększa złożoność, oddzielając analizę między różnymi bazami danych. • Dzieli zarządzanie przypadkami i badania dotyczące zdarzeń obejmujących wiele środowisk. • Wiąże się z większymi kosztami personelu i infrastruktury. • Wymaga, aby pracownicy SOC mogli mieć wiedzę na temat dwóch różnych rozwiązań SIEM. |
Metoda side-by-side
Określ sposób konfigurowania i używania usługi Microsoft Sentinel obok starszej wersji rozwiązania SIEM.
Metoda 1. Wysyłanie alertów ze starszej wersji rozwiązania SIEM do usługi Microsoft Sentinel (zalecane)
Wysyłanie alertów lub wskaźników nietypowych działań ze starszej wersji rozwiązania SIEM do usługi Microsoft Sentinel.
- Pozyskiwanie i analizowanie danych w chmurze w usłudze Microsoft Sentinel
- Użyj starszej wersji rozwiązania SIEM do analizowania danych lokalnych i generowania alertów.
- Przekaż alerty z lokalnego rozwiązania SIEM do usługi Microsoft Sentinel, aby ustanowić jeden interfejs.
Na przykład prześlij alerty przy użyciu usługi Logstash, interfejsów API lub dziennika systemowego i zapisz je w formacie JSON w obszarze roboczym usługi Log Analytics usługi Microsoft Sentinel.
Wysyłając alerty ze starszej wersji rozwiązania SIEM do usługi Microsoft Sentinel, twój zespół może skorelować i zbadać te alerty w usłudze Microsoft Sentinel. Zespół nadal może uzyskać dostęp do starszej wersji rozwiązania SIEM w celu dokładniejszego zbadania w razie potrzeby. W międzyczasie można kontynuować wdrażanie źródeł danych w dłuższym okresie przejściowym.
Ta zalecana metoda wdrażania równoległego zapewnia pełną wartość z usługi Microsoft Sentinel i możliwość wdrażania źródeł danych w odpowiednim tempie dla organizacji. Takie podejście pozwala uniknąć duplikowania kosztów magazynowania i pozyskiwania danych podczas przenoszenia źródeł danych.
Aby uzyskać więcej informacji, zobacz:
- Migrowanie przestępstw QRadar do usługi Microsoft Sentinel
- Eksportowanie danych z rozwiązania Splunk do usługi Microsoft Sentinel.
Jeśli chcesz w pełni przeprowadzić migrację do usługi Microsoft Sentinel, zapoznaj się z pełnym przewodnikiem migracji.
Metoda 2. Wysyłanie alertów i wzbogaconych zdarzeń z usługi Microsoft Sentinel do starszej wersji rozwiązania SIEM
Przeanalizuj niektóre dane w usłudze Microsoft Sentinel, takie jak dane w chmurze, a następnie wyślij wygenerowane alerty do starszej wersji rozwiązania SIEM. Użyj starszego rozwiązania SIEM jako pojedynczego interfejsu, aby wykonać korelację krzyżową z wygenerowanymi alertami usługi Microsoft Sentinel. Możesz nadal używać usługi Microsoft Sentinel do dokładniejszego zbadania alertów generowanych przez usługę Microsoft Sentinel.
Ta konfiguracja jest opłacalna, ponieważ możesz przenieść analizę danych w chmurze do usługi Microsoft Sentinel bez duplikowania kosztów lub płacenia za dane dwa razy. Nadal masz swobodę migracji we własnym tempie. W miarę przechodzenia źródeł danych i wykrywania do usługi Microsoft Sentinel łatwiejsze staje się migrowanie do usługi Microsoft Sentinel jako interfejsu podstawowego. Jednak po prostu przekazywanie wzbogaconych zdarzeń do starszej wersji rozwiązania SIEM ogranicza wartość uzyskaną z możliwości badania, wyszukiwania zagrożeń i automatyzacji usługi Microsoft Sentinel.
Aby uzyskać więcej informacji, zobacz:
- Wysyłanie wzbogaconych alertów usługi Microsoft Sentinel do starszej wersji rozwiązania SIEM
- Wysyłanie wzbogaconych alertów usługi Microsoft Sentinel do ibm QRadar
- Pozyskiwanie alertów usługi Microsoft Sentinel do rozwiązania Splunk
Inne metody
W poniższej tabeli opisano konfiguracje równoległe, które nie są zalecane, ze szczegółowymi informacjami dotyczącymi przyczyn:
| Metoda | opis |
|---|---|
| Wysyłanie dzienników usługi Microsoft Sentinel do starszej wersji rozwiązania SIEM | Dzięki tej metodzie będziesz nadal napotykać wyzwania związane z kosztami i skalowaniem lokalnego rozwiązania SIEM. Zapłacisz za pozyskiwanie danych w usłudze Microsoft Sentinel wraz z kosztami magazynowania w starszej wersji rozwiązania SIEM i nie możesz korzystać z funkcji wykrywania SIEM i SOAR w usłudze Microsoft Sentinel, analizy, analizy zachowań użytkowników (UEBA), sztucznej inteligencji lub narzędzi do badania i automatyzacji. |
| Wysyłanie dzienników ze starszej wersji rozwiązania SIEM do usługi Microsoft Sentinel | Chociaż ta metoda zapewnia pełną funkcjonalność usługi Microsoft Sentinel, organizacja nadal płaci za dwa różne źródła pozyskiwania danych. Oprócz dodawania złożoności architektury ten model może spowodować wyższe koszty. |
| Używanie usługi Microsoft Sentinel i starszej wersji rozwiązania SIEM jako dwóch całkowicie oddzielnych rozwiązań | Możesz użyć usługi Microsoft Sentinel do analizowania niektórych źródeł danych, takich jak dane w chmurze, i nadal używać lokalnego rozwiązania SIEM dla innych źródeł. Ta konfiguracja umożliwia jasne granice dla tego, kiedy należy używać każdego rozwiązania, i unika duplikowania kosztów. Jednak korelacja krzyżowa staje się trudna i nie można w pełni zdiagnozować ataków obejmujących oba zestawy źródeł danych. W dzisiejszym środowisku, w którym zagrożenia często są przenoszone poprzecznie w całej organizacji, takie luki widoczności mogą stanowić znaczne zagrożenie dla bezpieczeństwa. |
Usprawnianie procesów przy użyciu automatyzacji
Zautomatyzowane przepływy pracy służą do grupowania i określania priorytetów alertów w typowym zdarzeniu i modyfikowania jego priorytetu.
Aby uzyskać więcej informacji, zobacz:
- Automatyzacja w usłudze Microsoft Sentinel: orkiestracja zabezpieczeń, automatyzacja i reagowanie (SOAR)
- Automatyzowanie reagowania na zagrożenia za pomocą podręczników w usłudze Microsoft Sentinel
- Automatyzowanie obsługi zdarzeń w usłudze Microsoft Sentinel przy użyciu reguł automatyzacji
Powiązana zawartość
Zapoznaj się z zasobami usługi Microsoft Sentinel firmy Microsoft, aby rozwinąć swoje umiejętności i jak najlepiej wykorzystać usługę Microsoft Sentinel.
Rozważ zwiększenie ochrony przed zagrożeniami przy użyciu usługi Microsoft Sentinel wraz z usługą Microsoft Defender XDR i Microsoft Defender dla Chmury w celu zapewnienia zintegrowanej ochrony przed zagrożeniami. Skorzystaj z szerokiej gamy widoczności zapewnianej przez usługę Microsoft Sentinel, zagłębijąc się w bardziej szczegółową analizę zagrożeń.
Aby uzyskać więcej informacji, zobacz:
- Najlepsze rozwiązania dotyczące migracji reguł
- Seminarium internetowe: najlepsze rozwiązania dotyczące konwertowania reguł wykrywania
- Lepsze zarządzanie soc za pomocą metryk zdarzeń
- Ścieżka szkoleniowa usługi Microsoft Sentinel
- Certyfikat SC-200 Microsoft Security Operations Analyst
- Szkolenie ninja w usłudze Microsoft Sentinel
- Badanie ataku na środowisko hybrydowe za pomocą usługi Microsoft Sentinel