Microsoft Sentinel'i mevcut bir SIEM'e yan yana dağıtma
Güvenlik operasyonları merkezi (SOC) ekibiniz, giderek merkezi olmayan dijital varlıklarınızı korumak için merkezi güvenlik bilgileri ve olay yönetimi (SIEM) ile güvenlik düzenleme, otomasyon ve yanıt (SOAR) çözümlerini kullanıyor.
Bu makalede, Microsoft Sentinel'i mevcut SIEM'inizle birlikte yan yana bir yapılandırmada dağıtırken dikkate alınacak yaklaşım ve yöntemler açıklanmaktadır.
Yan yana yaklaşım
Yan yana mimariyi, kuruluşunuzun SIEM gereksinimlerine bağlı olarak bulutta barındırılan bir SIEM'ye yol açan kısa vadeli, geçiş aşaması olarak veya orta-uzun vadeli operasyonel model olarak kullanın.
Örneğin, önerilen mimari Microsoft Sentinel'e geçişi tamamlamak için yeterince uzun süre yan yana bir mimari kullanmak olsa da, kuruluşunuz eski SIEM'inizden uzaklaşmaya hazır değilseniz, yan yana yapılandırmanızla daha uzun süre kalmak isteyebilir. Genellikle uzun vadeli, yan yana yapılandırma kullanan kuruluşlar, yalnızca bulut verilerini analiz etmek için Microsoft Sentinel'i kullanır. Birçok kuruluş, maliyet ve karmaşıklık nedeniyle birden çok şirket içi analiz çözümü çalıştırmaktan kaçınır.
Microsoft Sentinel, KULLANdıkça öde fiyatlandırması ve esnek altyapı sağlayarak SOC ekiplerine değişikliğe uyum sağlamaları için zaman tanır. İçeriğinizi kuruluşunuz için en uygun hızda dağıtın ve test edin ve Microsoft Sentinel'e tam geçiş yapmayı öğrenin.
Hangisini kullanacağınıza karar verirken her yaklaşımın olumlu ve dezavantajlarını göz önünde bulundurun.
Kısa vadeli yaklaşım
Aşağıdaki tabloda, görece kısa bir süre için yan yana mimari kullanmanın avantajları ve dezavantajları açıklanmaktadır.
| Artıları | Eksileri |
|---|---|
| • İş yüklerini ve analizleri dağıtırken SOC personelinin yeni süreçlere uyum sağlaması için zaman verir. • Tehdit avcılığı senaryoları için tüm veri kaynakları arasında derin bağıntı elde eder. • SIEM'ler arasında analiz yapmak, iletme kuralları oluşturmak ve araştırmayı iki yerde kapatmak zorunda olmayı ortadan kaldırır. • SOC ekibinizin eski SIEM çözümlerini hızla düşürmesine olanak sağlayarak altyapı ve lisans maliyetlerini ortadan kaldırır. |
• SOC personeli için dik bir öğrenme eğrisi gerektirebilir. |
Orta ve uzun vadeli yaklaşım
Aşağıdaki tabloda, görece orta veya daha uzun bir süre boyunca yan yana mimari kullanmanın avantajları ve dezavantajları açıklanmaktadır.
| Artıları | Eksileri |
|---|---|
| • Eski SIEM'inizden tamamen uzaklaşmadan yapay zeka, ML ve araştırma özellikleri gibi önemli Microsoft Sentinel avantajlarını kullanmanıza olanak tanır. • Microsoft Sentinel'de bulut veya Microsoft verilerini analiz ederek eski SIEM'inize kıyasla tasarruf sağlar. |
• Farklı veritabanları arasında analiz ayırarak karmaşıklığı artırır. • Çok ortamlı olaylar için olay yönetimini ve araştırmalarını böler. • Daha fazla personel ve altyapı maliyetine neden olur. • SOC personelinin iki farklı SIEM çözümü hakkında bilgi sahibi olmasını gerektirir. |
Yan yana yöntemi
Microsoft Sentinel'i eski SIEM'inizle yan yana nasıl yapılandırıp kullanacağınızı belirleyin.
Yöntem 1: Eski bir SIEM'den Microsoft Sentinel'e uyarı gönderme (Önerilen)
Eski SIEM'inizden Microsoft Sentinel'e anormal etkinlik uyarıları veya göstergeleri gönderin.
- Microsoft Sentinel'de bulut verilerini alma ve analiz etme
- Şirket içi verileri analiz etmek ve uyarılar oluşturmak için eski SIEM'inizi kullanın.
- Tek bir arabirim oluşturmak için uyarıları şirket içi SIEM'inizden Microsoft Sentinel'e iletin.
Örneğin, Logstash, API'ler veya Syslog kullanarak uyarıları iletin ve Bunları Microsoft Sentinel Log Analytics çalışma alanınızda JSON biçiminde depolayın.
Ekibiniz, eski SIEM'inizden Microsoft Sentinel'e uyarılar göndererek Microsoft Sentinel'de bu uyarıları çapraz ilişkilendirebilir ve araştırabilir. Ekip gerekirse daha ayrıntılı araştırma için eski SIEM'e erişmeye devam edebilir. Bu arada, uzun bir geçiş dönemi boyunca veri kaynaklarını dağıtmaya devam edebilirsiniz.
Bu önerilen, yan yana dağıtım yöntemi, Microsoft Sentinel'den tam değer ve kuruluşunuz için doğru hızda veri kaynakları dağıtma olanağı sağlar. Bu yaklaşım, veri kaynaklarınızı taşırken veri depolama ve veri alımı için yinelenen maliyetlerin çoğaltılmasını önler.
Daha fazla bilgi için bkz.
Microsoft Sentinel'e tam geçiş yapmak istiyorsanız, tam geçiş kılavuzunu gözden geçirin.
Yöntem 2: Microsoft Sentinel'den eski bir SIEM'e uyarılar ve zenginleştirilmiş olaylar gönderme
Microsoft Sentinel'de bulut verileri gibi bazı verileri analiz edin ve ardından oluşturulan uyarıları eski bir SIEM'e gönderin. Microsoft Sentinel'in oluşturduğu uyarılarla çapraz bağıntı yapmak için eski SIEM'yi tek arabiriminiz olarak kullanın. Microsoft Sentinel tarafından oluşturulan uyarıları daha ayrıntılı araştırmak için Microsoft Sentinel'i kullanmaya devam edebilirsiniz.
Bulut veri analizinizi maliyetleri yinelemeden veya veriler için iki kez ödeme yapmadan Microsoft Sentinel'e taşıyabileceğiniz için bu yapılandırma uygun maliyetlidir. Hala kendi hızınızda geçiş özgürlüğüne sahipsiniz. Veri kaynaklarını ve algılamaları Microsoft Sentinel'e geçirmeye devam ettikçe, birincil arabiriminiz olarak Microsoft Sentinel'e geçiş yapmak daha kolay hale gelir. Ancak zenginleştirilmiş olayları eski bir SIEM'e iletmek, Microsoft Sentinel'in araştırma, avcılık ve otomasyon özelliklerinden elde ettiğiniz değeri sınırlar.
Daha fazla bilgi için bkz.
- Eski SIEM'inize zenginleştirilmiş Microsoft Sentinel uyarıları gönderme
- IBM QRadar'a zenginleştirilmiş Microsoft Sentinel uyarıları gönderme
- Microsoft Sentinel uyarılarını Splunk'a alma
Diğer yöntemler
Aşağıdaki tabloda, nedenine ilişkin ayrıntılarla birlikte, önerilmez yan yana yapılandırmalar açıklanmaktadır:
| Metot | Açıklama |
|---|---|
| Microsoft Sentinel günlüklerini eski SIEM'inize gönderme | Bu yöntemle, şirket içi SIEM'inizin maliyet ve ölçek zorluklarını yaşamaya devam edersiniz. Eski SIEM'inizdeki depolama maliyetleriyle birlikte Microsoft Sentinel'de veri alımı için ödeme yaparsınız ve Microsoft Sentinel'in SIEM ve SOAR algılamaları, analizi, Kullanıcı Varlığı Davranış Analizi (UEBA), yapay zeka veya araştırma ve otomasyon araçlarından yararlanamazsınız. |
| Eski bir SIEM'den Microsoft Sentinel'e günlük gönderme | Bu yöntem Size Microsoft Sentinel'in tüm işlevselliğini sağlarken, kuruluşunuz yine de iki farklı veri alımı kaynağı için ödeme yapabilir. Bu model, mimari karmaşıklık eklemenin yanı sıra daha yüksek maliyetlere neden olabilir. |
| Microsoft Sentinel'i ve eski SIEM'inizi tamamen ayrı iki çözüm olarak kullanın | Bulut verileriniz gibi bazı veri kaynaklarını analiz etmek ve diğer kaynaklar için şirket içi SIEM'nizi kullanmaya devam etmek için Microsoft Sentinel'i kullanabilirsiniz. Bu kurulum, her çözümün ne zaman kullanılacağına ilişkin net sınırlar sağlar ve maliyetlerin çoğaltılmasını önler. Ancak çapraz bağıntı zorlaşır ve her iki veri kaynağı kümesini de aşan saldırıları tam olarak tanılayamazsınız. Tehditlerin genellikle bir kuruluş genelinde yandaki gibi hareket ettiği günümüzde, bu tür görünürlük boşlukları önemli güvenlik riskleri oluşturabilir. |
Otomasyon kullanarak süreçleri kolaylaştırma
Uyarıları ortak bir olay olarak gruplandırmak ve önceliklendirmek ve önceliğini değiştirmek için otomatik iş akışlarını kullanın.
Daha fazla bilgi için bkz.
- Microsoft Sentinel'de otomasyon: Güvenlik düzenleme, otomasyon ve yanıt (SOAR)
- Microsoft Sentinel'de playbook'larla tehdit yanıtlarını otomatikleştirme
- Microsoft Sentinel'de otomasyon kurallarıyla olay işlemeyi otomatikleştirme
İlgili içerik
Becerilerinizi genişletmek ve Microsoft Sentinel'in en iyi şekilde yararlanmak için Microsoft'un Microsoft Sentinel kaynaklarını keşfedin.
Microsoft Sentinel'i Microsoft Defender XDR ve tümleşik tehdit koruması için Bulut için Microsoft Defender kullanarak tehdit korumanızı artırmayı göz önünde bulundurun. Microsoft Sentinel'in sağladığı görünürlük kapsamından yararlanın ve ayrıntılı tehdit analizine daha ayrıntılı bir şekilde göz atın.
Daha fazla bilgi için bkz.
- Kural geçişi en iyi yöntemleri
- Web Semineri: Algılama Kurallarını Dönüştürmeye yönelik En İyi Yöntemler
- Olay ölçümleriyle SOC'nizi daha iyi yönetin
- Microsoft Sentinel öğrenme yolu
- SC-200 Microsoft Güvenlik İşlemleri Analisti sertifikası
- Microsoft Sentinel Ninja eğitimi
- Microsoft Sentinel ile karma bir ortama yönelik saldırıyı araştırma