Partilhar via

Planeje sua migração para o Microsoft Sentinel

  • Artigo

As equipes do centro de operações de segurança (SOC) usam soluções centralizadas de gerenciamento de eventos e informações de segurança (SIEM) e orquestração, automação e resposta de segurança (SOAR) para proteger seu patrimônio digital cada vez mais descentralizado. Embora os SIEMs herdados possam manter uma boa cobertura de ativos locais, as arquiteturas locais podem ter cobertura insuficiente para ativos de nuvem, como no Azure, Microsoft 365, AWS ou Google Cloud Platform (GCP). Por outro lado, o Microsoft Sentinel pode ingerir dados de ativos locais e na nuvem, garantindo cobertura em todo o patrimônio.

Este artigo discute os motivos para migrar de um SIEM herdado e descreve como planejar as diferentes fases da migração.

Passos da Migração

Neste guia, você aprenderá a migrar seu SIEM herdado para o Microsoft Sentinel. Acompanhe seu processo de migração através desta série de artigos, nos quais você aprenderá a navegar por diferentes etapas do processo.

Nota

Para um processo de migração guiado, junte-se ao Programa de Migração e Modernização do Microsoft Sentinel. O programa permite simplificar e acelerar a migração, incluindo orientação de práticas recomendadas, recursos e ajuda especializada em cada estágio. Para saber mais, entre em contato com a equipe da sua conta.

Passo Artigo
Planear a migração Está aqui
Controlar a migração com uma pasta de trabalho Acompanhe sua migração do Microsoft Sentinel com uma pasta de trabalho
Usar a experiência de migração do SIEM Migração SIEM (Pré-visualização)
Migrar do ArcSight • Migrar regras de deteção
• Migrar automação SOAR
• Exportar dados históricos
Migrar do Splunk • Comece com a experiência de migração SIEM
• Migrar regras de deteção
• Migrar automação SOAR
• Exportar dados históricos

Se você quiser migrar sua implantação do Splunk Observability, saiba mais sobre como migrar do Splunk para os Logs do Azure Monitor.
Migrar do QRadar • Migrar regras de deteção
• Migrar automação SOAR
• Exportar dados históricos
Ingerir dados históricos • Selecione uma plataforma Azure de destino para hospedar os dados históricos exportados
• Selecione uma ferramenta de ingestão de dados
• Ingerir dados históricos na sua plataforma de destino
Converter painéis em pastas de trabalho Converter painéis em pastas de trabalho do Azure
Atualizar processos SOC Atualizar processos SOC

O que é o Microsoft Sentinel?

O Microsoft Sentinel é uma solução escalável, nativa da nuvem, de gerenciamento de informações e eventos de segurança (SIEM) e orquestração, automação e resposta de segurança (SOAR). O Microsoft Sentinel oferece análises de segurança inteligentes e inteligência contra ameaças em toda a empresa. O Microsoft Sentinel fornece uma solução única para deteção de ataques, visibilidade de ameaças, caça proativa e resposta a ameaças. Saiba mais sobre o Microsoft Sentinel.

Por que migrar de um SIEM herdado?

As equipes SOC enfrentam um conjunto de desafios ao gerenciar um SIEM legado:

  • Resposta lenta às ameaças. Os SIEM herdados utilizam regras de correlação, que são difíceis de manter e ineficazes para identificar ameaças emergentes. Além disso, os analistas SOC se deparam com grandes quantidades de falsos positivos, muitos alertas de muitos componentes de segurança diferentes e volumes cada vez mais altos de logs. A análise desses dados atrasa as equipes de SOC em seus esforços para responder a ameaças críticas no ambiente.
  • Desafios de escala. À medida que as taxas de ingestão de dados crescem, as equipes de SOC são desafiadas a dimensionar seu SIEM. Em vez de se concentrar na proteção da organização, as equipes de SOC devem investir na configuração e manutenção da infraestrutura e estão limitadas por limites de armazenamento ou consulta.
  • Análise manual e resposta. As equipes SOC precisam de analistas altamente qualificados para processar manualmente grandes quantidades de alertas. As equipes de SOC estão sobrecarregadas e novos analistas são difíceis de encontrar.
  • Gestão complexa e ineficiente. As equipes SOC normalmente supervisionam a orquestração e a infraestrutura, gerenciam conexões entre o SIEM e várias fontes de dados e executam atualizações e patches. Estas tarefas são muitas vezes feitas à custa da triagem e análise críticas.

Um SIEM nativo da nuvem aborda esses desafios. O Microsoft Sentinel coleta dados automaticamente e em escala, deteta ameaças desconhecidas, investiga ameaças com inteligência artificial e responde a incidentes rapidamente com automação integrada.

Planear a migração

Durante a fase de planejamento, você identifica os componentes SIEM existentes, os processos SOC existentes e projeta e planeja novos casos de uso. O planejamento completo permite que você mantenha a proteção tanto para seus ativos baseados em nuvem — Microsoft Azure, AWS ou GCP — quanto para suas soluções SaaS, como o Microsoft Office 365.

Este diagrama descreve as fases de alto nível que uma migração típica inclui. Cada fase inclui objetivos claros, atividades-chave e resultados e resultados específicos e resultados.

As fases neste diagrama são uma diretriz sobre como concluir um procedimento de migração típico. Uma migração real pode não incluir algumas fases ou pode incluir mais fases. Em vez de revisar o conjunto completo de fases, os artigos deste guia analisam tarefas e etapas específicas que são especialmente importantes para uma migração do Microsoft Sentinel.

Diagrama das fases de migração do Microsoft Sentinel.

Considerações

Analise estas considerações fundamentais para cada fase.

Fase Consideração
Detetar Identifique casos de uso e prioridades de migração como parte desta fase.
Estruturar Defina um design detalhado e uma arquitetura para sua implementação do Microsoft Sentinel. Você usará essas informações para obter a aprovação das partes interessadas relevantes antes de iniciar a fase de implementação.
Implementar Ao implementar componentes do Microsoft Sentinel de acordo com a fase de design e antes de converter toda a infraestrutura, considere se você pode usar o conteúdo pronto para uso do Microsoft Sentinel em vez de migrar todos os componentes. Você pode começar a usar o Microsoft Sentinel gradualmente, começando com um produto mínimo viável (MVP) para vários casos de uso. À medida que você adiciona mais casos de uso, você pode usar essa instância do Microsoft Sentinel como um ambiente de teste de aceitação do usuário (UAT) para validar os casos de uso.
Operacionalizar Você migra seus processos de conteúdo e SOC para garantir que a experiência existente do analista não seja interrompida.

Identificar suas prioridades de migração

Use estas perguntas para definir suas prioridades de migração:

  • Quais são os componentes, sistemas, aplicativos e dados de infraestrutura mais críticos em sua empresa?
  • Quem são as partes interessadas na migração? É provável que a migração SIEM afete muitas áreas do seu negócio.
  • O que motiva as suas prioridades? Por exemplo, maior risco de negócios, requisitos de conformidade, prioridades de negócios e assim por diante.
  • Qual é a sua escala e cronograma de migração? Que fatores afetam as suas datas e prazos. Você está migrando um sistema legado inteiro?
  • Você tem as habilidades que precisa? Sua equipe de segurança está treinada e pronta para a migração?
  • Existem bloqueadores específicos na sua organização? Algum problema afeta o planejamento e o agendamento da migração? Por exemplo, problemas como requisitos de pessoal e treinamento, datas de licença, paradas difíceis, necessidades comerciais específicas e assim por diante.

Antes de iniciar a migração, identifique os principais casos de uso, regras de deteção, dados e automação no SIEM atual. Aborde a migração como um processo gradual. Seja intencional e ponderado sobre o que você migra primeiro, o que você desprioriza e o que realmente não precisa ser migrado. Sua equipe pode ter um grande número de deteções e casos de uso em execução no SIEM atual. Antes de iniciar a migração, decida quais são ativamente úteis para o seu negócio.

Identificar casos de uso

Ao planejar a fase de descoberta, use as orientações a seguir para identificar seus casos de uso.

  • Identifique e analise seus casos de uso atuais por ameaça, sistema operacional, produto e assim por diante.
  • Qual é o âmbito? Deseja migrar todos os casos de uso ou usar alguns critérios de priorização?
  • Identifique quais ativos de segurança são mais críticos para sua migração.
  • Que casos de uso são eficazes? Um bom ponto de partida é analisar quais as deteções que produziram resultados no último ano (taxa de falsos positivos versus positivos).
  • Quais são as prioridades de negócios que afetam a migração de casos de uso? Quais são os maiores riscos para o seu negócio? Que tipo de problemas colocam o seu negócio mais em risco?
  • Priorize por características de caso de uso.
    • Considere a possibilidade de estabelecer prioridades mais baixas e mais elevadas. Recomendamos que você se concentre em deteções que imponham 90% de verdadeiro positivo nos feeds de alerta. Casos de uso que causam uma alta taxa de falsos positivos podem ser uma prioridade menor para o seu negócio.
    • Selecione casos de uso que justifiquem a migração de regras em termos de prioridade e eficácia do negócio:
      • Revise as regras que não dispararam nenhum alerta nos últimos 6 a 12 meses.
      • Elimine ameaças de baixo nível ou alertas que você ignora rotineiramente.
  • Preparar um processo de validação. Defina cenários de teste e crie um script de teste.
  • Você pode aplicar uma metodologia para priorizar casos de uso? Você pode seguir uma metodologia como o MoSCoW para priorizar um conjunto mais enxuto de casos de uso para migração.

Próximo passo

Neste artigo, você aprendeu como planejar e se preparar para sua migração.

Controlar sua migração com uma pasta de trabalho