Планирование миграции для Microsoft Sentinel

Команды центра управления безопасностью (SOC) используют централизованное управление информационной безопасностью и событиями безопасности (SIEM) и решения для оркестрации безопасности, автоматизации и реагирования (SOAR) для защиты своих все более децентрализованных цифровых активов. Хотя устаревшие SIEM могут поддерживать хороший охват локальных ресурсов, локальные архитектуры могут иметь недостаточный охват облачных ресурсов, таких как Azure, Microsoft 365, AWS или Google Cloud Platform (GCP). В отличие от этого, Microsoft Sentinel может принимать данные как из локальных, так и из облачных ресурсов, обеспечивая охват всей недвижимости.

В этой статье рассматриваются причины миграции из устаревшей SIEM и описывается планирование различных этапов миграции.

Шаги миграции

В этом руководстве описано, как перенести устаревшую версию SIEM в Microsoft Sentinel. Выполните процесс миграции в этой серии статей, в которых вы узнаете, как перемещаться по различным шагам в этом процессе.

Примечание.

Для интерактивного процесса миграции присоединитесь к программе миграции и модернизации Microsoft Sentinel. Программа позволяет упростить и ускорить миграцию, включая рекомендации, ресурсы и помощь экспертов на каждом этапе. Чтобы узнать больше, обратитесь к команде по учетным записям.

Шаг	Статья
Планирование миграции	Вы здесь
Отслеживание миграции с помощью книги	Отслеживание миграции Microsoft Sentinel с помощью книги
Использование интерфейса миграции SIEM	Миграция SIEM
Миграция из ArcSight	• Перенос правил обнаружения • Миграция автоматизации SOAR • Экспорт исторических данных
Миграция из Splunk	• Начните с миграции SIEM. • Перенос правил обнаружения • Миграция автоматизации SOAR • Экспорт исторических данных Если вы хотите перенести развертывание наблюдаемости Splunk, узнайте больше о том, как выполнить миграцию из Splunk в журналы Azure мониторинга.
Миграция из QRadar	• Начните с миграции SIEM. • Перенос правил обнаружения • Миграция автоматизации SOAR • Экспорт исторических данных
Прием исторических данных	• Выберите целевую платформу Azure для размещения экспортированных исторических данных • Выбор средства приема данных • Прием исторических данных в целевую платформу
Преобразование панелей мониторинга в книги	Преобразование панелей мониторинга в книги Azure
Обновление процессов SOC	Обновление процессов SOC

Что такое Microsoft Sentinel?

Microsoft Sentinel — это масштабируемое облачное решение для управления информационной безопасностью и событиями безопасности (SIEM) и оркестрации, автоматизации и реагирования (SOAR). Microsoft Sentinel предоставляет интеллектуальную аналитику безопасности и аналитику угроз на предприятии. Microsoft Sentinel предоставляет единое решение для обнаружения атак, видимости угроз, упреждающей охоты и реагирования на угрозы. Дополнительные сведения о Microsoft Sentinel.

Зачем переходить из устаревшей SIEM?

Команды SOC сталкиваются с рядом проблем при управлении устаревшей SIEM:

• Медленное реагирование на угрозы. Устаревшие SIEM используют правила корреляции, которые трудно поддерживать и неэффективны для выявления новых угроз. Кроме того, аналитики SOC сталкиваются с большим количеством ложных срабатываний, множеством оповещений от различных компонентов безопасности и все большим объемом журналов. Анализ этих данных замедляет работу команд SOC по реагированию на критические угрозы в среде.
• Проблемы масштабирования. По мере роста скорости приема данных команды SOC сталкиваются с проблемой масштабирования SIEM. Вместо того чтобы сосредоточиться на защите организации, команды SOC должны инвестировать в настройку и обслуживание инфраструктуры и связаны ограничениями хранилища или запросов.
• Ручной анализ и ответ. Командам SOC требуются высококвалифицированные аналитики для обработки больших объемов оповещений вручную. Команды SOC перегружены, и новых аналитиков трудно найти.
• Сложное и неэффективное управление. Команды SOC обычно контролируют оркестрацию и инфраструктуру, управляют подключениями между SIEM и различными источниками данных, а также выполняют обновления и исправления. Эти задачи часто выполняются за счет критических рассмотрения и анализа.

Эти проблемы решает облачная система SIEM. Microsoft Sentinel собирает данные автоматически и в большом масштабе, обнаруживает неизвестные угрозы, исследует угрозы с помощью искусственного интеллекта и быстро реагирует на инциденты с помощью встроенной автоматизации.

Планирование миграции

На этапе планирования вы определяете существующие компоненты SIEM, существующие процессы SOC, а также разрабатываете и планируете новые варианты использования. Тщательное планирование позволяет обеспечить защиту облачных ресурсов (Microsoft Azure, AWS или GCP), а также решений SaaS, таких как Microsoft Office 365.

На этой схеме описываются высокоуровневые этапы, которые включают в себя типичные этапы миграции. Каждый этап включает в себя четкие цели, ключевые действия, а также определенные результаты и конечные результаты.

Этапы на этой схеме являются руководством по выполнению типичной процедуры миграции. Фактическая миграция может не включать некоторые этапы или включать в себя несколько этапов. Вместо того чтобы просматривать полный набор этапов, в статьях этого руководства рассматриваются конкретные задачи и шаги, которые особенно важны для Microsoft Sentinel миграции.

Рекомендации

Ознакомьтесь с этими ключевыми рекомендациями для каждого этапа.

Этап	Фактор
Обнаружение	Определите варианты использования и приоритеты миграции в рамках этого этапа.
Проектирование	Определите подробный проект и архитектуру для реализации Microsoft Sentinel. Эти сведения используются для получения одобрения от соответствующих заинтересованных лиц перед началом этапа реализации.
Реализация	При реализации Microsoft Sentinel компонентов в соответствии с этапом разработки и перед преобразованием всей инфраструктуры подумайте, можно ли использовать Microsoft Sentinel встроенное содержимое вместо переноса всех компонентов. Вы можете начать использовать Microsoft Sentinel постепенно, начиная с минимально жизнеспособного продукта (MVP) для нескольких вариантов использования. По мере добавления дополнительных вариантов использования этот экземпляр Microsoft Sentinel можно использовать в качестве среды пользовательского приемочного тестирования (UAT) для проверки вариантов использования.
Ввод в эксплуатацию	Вы переносите содержимое и процессы SOC , чтобы не нарушить работу аналитика.

Определение приоритетов миграции

Используйте следующие вопросы, чтобы определить приоритеты миграции:

• Какие наиболее важные компоненты инфраструктуры, системы, приложения и данные в вашем бизнесе?
• Кто является заинтересованными лицами в миграции? Миграция SIEM, скорее всего, затрагивает многие области вашего бизнеса.
• Что определяет ваши приоритеты? Например, наибольший бизнес-риск, требования к соответствию, бизнес-приоритеты и т. д.
• Каков масштаб и временная шкала миграции? Какие факторы влияют на даты и сроки. Переносите ли вы всю устаревшую систему?
• У вас есть необходимые навыки? Обучены ли сотрудники службы безопасности и готовы ли к миграции?
• Есть ли определенные блокировщики в вашей организации? Влияют ли какие-либо проблемы на планирование и планирование миграции? Например, такие вопросы, как требования к персоналу и обучению, даты лицензий, жесткие остановки, конкретные бизнес-потребности и т. д.

Перед началом миграции определите ключевые варианты использования, правила обнаружения, данные и автоматизацию в текущем SIEM. Подойти к миграции как к постепенному процессу. Будьте намерены и вдумчивы о том, что вы переносите первым, что вы отменяете и что на самом деле не требуется переносить. В вашей команде может быть подавляющее число обнаружений и вариантов использования, выполняемых в текущей SIEM. Перед началом миграции определите, какие из них активно полезны для вашего бизнеса.

Определение вариантов использования

При планировании этапа обнаружения используйте следующие рекомендации, чтобы определить варианты использования.

• Определите и проанализируйте текущие варианты использования по угрозам, операционной системе, продукту и т. д.
• Что такое область? Вы хотите перенести все варианты использования или использовать некоторые критерии определения приоритетов?
• Определите, какие ресурсы безопасности наиболее важны для миграции.
• Какие варианты использования являются эффективными? Хорошей отправной точкой является определение того, какие обнаружения дали результаты в течение последнего года (ложноположительные и положительные показатели).
• Какие бизнес-приоритеты влияют на миграцию вариантов использования? Каковы самые большие риски для вашего бизнеса? Какие типы проблем подвергают ваш бизнес наибольшему риску?
• Определение приоритета по характеристикам вариантов использования.
  • Рассмотрите возможность установки более низких и более высоких приоритетов. Рекомендуется сосредоточиться на обнаружении, которое обеспечит 90-процентный истинно положительный результат в каналах оповещений. Варианты использования, которые вызывают высокую частоту ложноположительных результатов, могут быть более низким приоритетом для вашего бизнеса.
  • Выберите варианты использования, которые оправдывают миграцию правил с точки зрения приоритета бизнеса и эффективности:
    • Проверьте правила, которые не активировали оповещения за последние 6–12 месяцев.
    • Устранение низкоуровневых угроз или оповещений, которые обычно игнорируется.
• Подготовьте процесс проверки. Определите тестовые сценарии и создайте тестовый скрипт.
• Можно ли применить методологию для определения приоритетов вариантов использования? Вы можете следовать такой методологии, как MoSCoW, чтобы определить приоритеты в более экономичном наборе вариантов использования для миграции.

Следующее действие

Из этой статьи вы узнали, как спланировать миграцию и подготовиться к ней.

Отслеживание миграции с помощью книги