Partilhar via

Implantando o Microsoft Sentinel lado a lado em um SIEM existente

  • Artigo

Sua equipe do centro de operações de segurança (SOC) usa informações de segurança centralizadas e gerenciamento de eventos (SIEM) e orquestração, automação e resposta de segurança (SOAR) para proteger seu patrimônio digital cada vez mais descentralizado.

Este artigo descreve a abordagem e os métodos a serem considerados ao implantar o Microsoft Sentinel em uma configuração lado a lado junto com o SIEM existente.

Abordagem lado a lado

Use uma arquitetura lado a lado como uma fase de transição de curto prazo que leva a um SIEM hospedado na nuvem ou como um modelo operacional de médio a longo prazo, dependendo das necessidades de SIEM da sua organização.

Por exemplo, embora a arquitetura recomendada seja usar uma arquitetura lado a lado apenas o tempo suficiente para concluir uma migração para o Microsoft Sentinel, sua organização pode querer permanecer com sua configuração lado a lado por mais tempo, como se você não estiver pronto para se afastar do SIEM herdado. Normalmente, as organizações que usam uma configuração lado a lado de longo prazo usam o Microsoft Sentinel para analisar apenas seus dados na nuvem. Muitas organizações evitam executar várias soluções de análise locais devido ao custo e à complexidade.

O Microsoft Sentinel fornece preços pré-pagos e infraestrutura flexível, dando às equipes SOC tempo para se adaptarem à mudança. Implante e teste seu conteúdo em um ritmo que funcione melhor para sua organização e saiba como migrar totalmente para o Microsoft Sentinel.

Considere os prós e contras de cada abordagem ao decidir qual usar.

Abordagem a curto prazo

A tabela a seguir descreve os prós e contras de usar uma arquitetura lado a lado por um período de tempo relativamente curto.

Vantagens Desvantagens
• Dá tempo à equipe SOC para se adaptar a novos processos à medida que você implanta cargas de trabalho e análises.

• Obtém correlação profunda em todas as fontes de dados para cenários de caça.

• Elimina a necessidade de fazer análises entre SIEMs, criar regras de encaminhamento e fechar investigações em dois locais.

• Permite que sua equipe SOC faça rapidamente downgrade de soluções SIEM legadas, eliminando custos de infraestrutura e licenciamento.		 • Pode exigir uma curva de aprendizado íngreme para a equipe do SOC.

Abordagem a médio e longo prazo

A tabela a seguir descreve os prós e contras do uso de uma arquitetura lado a lado por um período de tempo relativamente médio ou longo.

Vantagens Desvantagens
• Permite que você use os principais benefícios do Microsoft Sentinel, como IA, ML e recursos de investigação, sem se afastar completamente do SIEM herdado.

• Poupa dinheiro em comparação com o seu SIEM legado, analisando dados da nuvem ou da Microsoft no Microsoft Sentinel.		 • Aumenta a complexidade separando análises em diferentes bancos de dados.

• Divide a gestão de casos e investigações de incidentes multi-ambiente.

• Incorre em maiores custos de pessoal e infraestrutura.

• Requer que a equipe SOC tenha conhecimento sobre duas soluções SIEM diferentes.

Método lado a lado

Determine como você configurará e usará o Microsoft Sentinel lado a lado com seu SIEM herdado.

Envie alertas ou indicadores de atividade anômala do seu SIEM herdado para o Microsoft Sentinel.

  • Ingerir e analisar dados na nuvem no Microsoft Sentinel
  • Use seu SIEM herdado para analisar dados locais e gerar alertas.
  • Encaminhe os alertas do SIEM local para o Microsoft Sentinel para estabelecer uma interface única.

Por exemplo, encaminhe alertas usando Logstash, APIs ou Syslog e armazene-os no formato JSON em seu espaço de trabalho do Microsoft Sentinel Log Analytics.

Ao enviar alertas do seu SIEM herdado para o Microsoft Sentinel, sua equipe pode correlacionar e investigar esses alertas no Microsoft Sentinel. A equipe ainda pode acessar o SIEM legado para uma investigação mais profunda, se necessário. Enquanto isso, você pode continuar implantando fontes de dados durante um período de transição estendido.

Esse método de implantação lado a lado recomendado fornece valor total do Microsoft Sentinel e a capacidade de implantar fontes de dados no ritmo certo para sua organização. Essa abordagem evita a duplicação de custos de armazenamento e ingestão de dados enquanto você move suas fontes de dados.

Para obter mais informações, consulte:

Se você quiser migrar totalmente para o Microsoft Sentinel, consulte o guia de migração completo.

Método 2: Enviar alertas e incidentes enriquecidos do Microsoft Sentinel para um SIEM herdado

Analise alguns dados no Microsoft Sentinel, como dados na nuvem, e envie os alertas gerados para um SIEM herdado. Use o SIEM herdado como sua interface única para fazer correlação cruzada com os alertas que o Microsoft Sentinel gerou. Você ainda pode usar o Microsoft Sentinel para uma investigação mais profunda dos alertas gerados pelo Microsoft Sentinel.

Essa configuração é econômica, pois você pode mover sua análise de dados na nuvem para o Microsoft Sentinel sem duplicar custos ou pagar por dados duas vezes. Você ainda tem a liberdade de migrar no seu próprio ritmo. À medida que você continua a transferir fontes de dados e deteções para o Microsoft Sentinel, torna-se mais fácil migrar para o Microsoft Sentinel como sua interface principal. No entanto, simplesmente encaminhar incidentes enriquecidos para um SIEM herdado limita o valor que você obtém dos recursos de investigação, caça e automação do Microsoft Sentinel.

Para obter mais informações, consulte:

Outros métodos

A tabela a seguir descreve configurações lado a lado que não são recomendadas, com detalhes sobre o motivo:

Método Description
Enviar logs do Microsoft Sentinel para seu SIEM herdado Com esse método, você continuará a enfrentar os desafios de custo e escala do seu SIEM local.

Você pagará pela ingestão de dados no Microsoft Sentinel, juntamente com os custos de armazenamento em seu SIEM herdado, e não poderá aproveitar as deteções, análises, UEBA, IA ou ferramentas de investigação e automação do SIEM e SOAR do Microsoft Sentinel.
Enviar logs de um SIEM herdado para o Microsoft Sentinel Embora esse método forneça a funcionalidade completa do Microsoft Sentinel, sua organização ainda paga por duas fontes de ingestão de dados diferentes. Além de adicionar complexidade arquitetônica, esse modelo pode resultar em custos mais altos.
Use o Microsoft Sentinel e seu SIEM herdado como duas soluções totalmente separadas Você pode usar o Microsoft Sentinel para analisar algumas fontes de dados, como seus dados na nuvem, e continuar a usar seu SIEM local para outras fontes. Essa configuração permite limites claros para quando usar cada solução e evita a duplicação de custos.

No entanto, a correlação cruzada torna-se difícil e você não pode diagnosticar totalmente ataques que cruzam ambos os conjuntos de fontes de dados. No cenário atual, onde as ameaças geralmente se movem lateralmente em toda a organização, essas lacunas de visibilidade podem representar riscos de segurança significativos.

Simplifique os processos usando a automação

Use fluxos de trabalho automatizados para agrupar e priorizar alertas em um incidente comum e modificar sua prioridade.

Para obter mais informações, consulte:

Conteúdos relacionados

Explore os recursos do Microsoft Sentinel da Microsoft para expandir suas habilidades e aproveitar ao máximo o Microsoft Sentinel.

Considere aumentar sua proteção contra ameaças usando o Microsoft Sentinel juntamente com o Microsoft Defender XDR e o Microsoft Defender for Cloud para proteção integrada contra ameaças. Beneficie-se da amplitude de visibilidade que o Microsoft Sentinel oferece, enquanto se aprofunda na análise detalhada de ameaças.

Para obter mais informações, consulte: