Planera migreringen till Microsoft Sentinel
SoC-team (Security Operations Center) använder centraliserad säkerhetsinformation och händelsehantering (SIEM) och lösningar för säkerhetsorkestrering, automatisering och svar (SOAR) för att skydda sin alltmer decentraliserade digitala egendom. Äldre SIEM:er kan upprätthålla god täckning av lokala tillgångar, men lokala arkitekturer kan ha otillräcklig täckning för molntillgångar, till exempel i Azure, Microsoft 365, AWS eller Google Cloud Platform (GCP). Microsoft Sentinel kan däremot mata in data från både lokala och molnbaserade tillgångar, vilket säkerställer täckning över hela egendomen.
I den här artikeln beskrivs orsakerna till migreringen från ett äldre SIEM och hur du planerar de olika faserna i migreringen.
Migreringssteg
I den här guiden får du lära dig hur du migrerar din äldre SIEM till Microsoft Sentinel. Följ migreringsprocessen genom den här serien med artiklar, där du får lära dig hur du navigerar i olika steg i processen.
Kommentar
För en guidad migreringsprocess går du med i Microsoft Sentinel Migration and Modernization Program. Med programmet kan du förenkla och påskynda migreringen, inklusive vägledning om bästa praxis, resurser och experthjälp i varje steg. Kontakta ditt kontoteam om du vill veta mer.
| Steg | Artikel |
|---|---|
| Planera migrationen | Du är här |
| Spåra migrering med en arbetsbok | Spåra din Microsoft Sentinel-migrering med en arbetsbok |
| Använda SIEM-migreringsmiljön | SIEM-migrering (förhandsversion) |
| Migrera från ArcSight | • Migrera identifieringsregler • Migrera SOAR-automatisering • Exportera historiska data |
| Migrera från Splunk | • Migrera identifieringsregler • Migrera SOAR-automatisering • Exportera historiska data Om du vill migrera din Splunk Observability-distribution kan du läsa mer om hur du migrerar från Splunk till Azure Monitor-loggar. |
| Migrera från QRadar | • Migrera identifieringsregler • Migrera SOAR-automatisering • Exportera historiska data |
| Mata in historiska data | • Välj en Azure-målplattform som värd för exporterade historiska data • Välj ett datainmatningsverktyg • Mata in historiska data i målplattformen |
| Konvertera instrumentpaneler till arbetsböcker | Konvertera instrumentpaneler till Azure-arbetsböcker |
| Uppdatera SOC-processer | Uppdatera SOC-processer |
Vad är Microsoft Sentinel?
Microsoft Sentinel är en skalbar, molnbaserad lösning för säkerhetsinformation och händelsehantering (SIEM) och säkerhetsorkestrering, automatisering och svar (SOAR). Microsoft Sentinel levererar intelligent säkerhetsanalys och hotinformation i hela företaget. Microsoft Sentinel tillhandahåller en enda lösning för attackidentifiering, synlighet för hot, proaktiv jakt och hotsvar. Läs mer om Microsoft Sentinel.
Varför migrera från ett äldre SIEM?
SOC-team står inför en uppsättning utmaningar när de hanterar ett äldre SIEM:
- Långsamt svar på hot. Äldre SIEM:er använder korrelationsregler som är svåra att underhålla och ineffektiva för att identifiera nya hot. Dessutom står SOC-analytiker inför stora mängder falska positiva identifieringar, många aviseringar från många olika säkerhetskomponenter och allt större volymer loggar. Genom att analysera dessa data blir SOC-teamen långsammare när de försöker svara på kritiska hot i miljön.
- Skalningsutmaningar. I takt med att datainmatningen ökar utmanas SOC-teamen med att skala sina SIEM. I stället för att fokusera på att skydda organisationen måste SOC-teamen investera i infrastrukturkonfiguration och underhåll och är bundna av lagrings- eller frågegränser.
- Manuell analys och svar. SOC-teamen behöver högkvalificerade analytiker för att manuellt bearbeta stora mängder aviseringar. SOC-team är överarbetade och nya analytiker är svåra att hitta.
- Komplex och ineffektiv hantering. SOC-team övervakar vanligtvis orkestrering och infrastruktur, hanterar anslutningar mellan SIEM och olika datakällor och utför uppdateringar och korrigeringar. Dessa uppgifter sker ofta på bekostnad av kritisk prioritering och analys.
Ett molnbaserat SIEM hanterar dessa utmaningar. Microsoft Sentinel samlar in data automatiskt och i stor skala, identifierar okända hot, undersöker hot med artificiell intelligens och svarar snabbt på incidenter med inbyggd automatisering.
Planera migrationen
Under planeringsfasen identifierar du dina befintliga SIEM-komponenter, dina befintliga SOC-processer och utformar och planerar nya användningsfall. Med noggrann planering kan du upprätthålla skyddet för både dina molnbaserade tillgångar – Microsoft Azure, AWS eller GCP – och dina SaaS-lösningar, till exempel Microsoft Office 365.
Det här diagrammet beskriver de högnivåfaser som en typisk migrering innehåller. Varje fas innehåller tydliga mål, viktiga aktiviteter och angivna resultat och slutresultat.
Faserna i det här diagrammet är en riktlinje för hur du slutför en typisk migreringsprocedur. En faktisk migrering kanske inte innehåller vissa faser eller kan innehålla fler faser. I stället för att granska hela uppsättningen faser granskar artiklarna i den här guiden specifika uppgifter och steg som är särskilt viktiga för en Microsoft Sentinel-migrering.
Att tänka på
Granska de här viktiga övervägandena för varje fas.
| Fas | Att tänka på |
|---|---|
| Identifiera | Identifiera användningsfall och migreringsprioriteringar som en del av den här fasen. |
| Designa | Definiera en detaljerad design och arkitektur för din Microsoft Sentinel-implementering. Du använder den här informationen för att få godkännande från relevanta intressenter innan du påbörjar implementeringsfasen. |
| Implementera | När du implementerar Microsoft Sentinel-komponenter enligt designfasen och innan du konverterar hela infrastrukturen bör du överväga om du kan använda microsoft Sentinel-innehåll i stället för att migrera alla komponenter. Du kan börja använda Microsoft Sentinel gradvis och börja med en minsta livskraftig produkt (MVP) för flera användningsfall. När du lägger till fler användningsfall kan du använda den här Microsoft Sentinel-instansen som en UAT-miljö (user acceptance testing) för att verifiera användningsfallen. |
| Operationalisera | Du migrerar ditt innehåll och SOC-processer för att säkerställa att den befintliga analytikerupplevelsen inte störs. |
Identifiera dina migreringsprioriteringar
Använd de här frågorna för att fastställa dina migreringsprioriteringar:
- Vilka är de mest kritiska infrastrukturkomponenterna, systemen, apparna och data i din verksamhet?
- Vem är dina intressenter i migreringen? SIEM-migrering kommer sannolikt att beröra många områden i din verksamhet.
- Vad är det som styr dina prioriteringar? Till exempel störst affärsrisk, efterlevnadskrav, affärsprioriteringar och så vidare.
- Vad är din migreringsskala och tidslinje? Vilka faktorer påverkar dina datum och tidsgränser. Migrerar du ett helt äldre system?
- Har du de färdigheter du behöver? Är säkerhetspersonalen utbildad och redo för migreringen?
- Finns det några specifika blockerare i din organisation? Påverkar några problem migreringsplanering och schemaläggning? Till exempel problem som personal- och utbildningskrav, licensdatum, hårda stopp, specifika affärsbehov och så vidare.
Innan du påbörjar migreringen bör du identifiera viktiga användningsfall, identifieringsregler, data och automatisering i din aktuella SIEM. Närma dig migreringen som en gradvis process. Var avsiktlig och eftertänksam om vad du migrerar först, vad du avprioriterar och vad som faktiskt inte behöver migreras. Ditt team kan ha ett överväldigande antal identifieringar och användningsfall som körs i din aktuella SIEM. Innan du påbörjar migreringen ska du bestämma vilka som är aktivt användbara för ditt företag.
Identifiera användningsfall
När du planerar identifieringsfasen använder du följande vägledning för att identifiera dina användningsfall.
- Identifiera och analysera dina aktuella användningsfall efter hot, operativsystem, produkt och så vidare.
- Vad är omfånget? Vill du migrera alla användningsfall eller använda vissa prioriteringskriterier?
- Identifiera vilka säkerhetstillgångar som är viktigast för migreringen.
- Vilka användningsfall är effektiva? En bra startplats är att titta på vilka identifieringar som har gett resultat under det senaste året (falsk positiv kontra positiv frekvens).
- Vilka är de affärsprioriteringar som påverkar migrering av användningsfall? Vilka är de största riskerna för ditt företag? Vilken typ av problem utsätter ditt företag för störst risk?
- Prioritera efter användningsfallsegenskaper.
- Överväg att ange lägre och högre prioriteter. Vi rekommenderar att du fokuserar på identifieringar som skulle framtvinga 90 procent verkligt positivt på aviseringsfeeds. Användningsfall som orsakar en hög falsk positiv frekvens kan vara en lägre prioritet för ditt företag.
- Välj användningsfall som motiverar regelmigrering när det gäller affärsprioritet och effekt:
- Granska regler som inte har utlöst några aviseringar under de senaste 6 till 12 månaderna.
- Eliminera hot på låg nivå eller aviseringar som du rutinmässigt ignorerar.
- Förbered en valideringsprocess. Definiera testscenarier och skapa ett testskript.
- Kan du använda en metod för att prioritera användningsfall? Du kan följa en metod som MoSCoW för att prioritera en smalare uppsättning användningsfall för migrering.
Nästa steg
I den här artikeln har du lärt dig hur du planerar och förbereder dig för migreringen.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för