Microsoft Sentinel geçişinizi planlama

Güvenlik operasyonları merkezi (SOC) ekipleri, merkezi olmayan dijital varlıklarını korumak için merkezi güvenlik bilgileri ve olay yönetimi (SIEM) ile güvenlik düzenleme, otomasyon ve yanıt (SOAR) çözümlerini kullanır. Eski SIEM'ler şirket içi varlıkları iyi bir şekilde kapsasa da, şirket içi mimariler Azure, Microsoft 365, AWS veya Google Cloud Platform (GCP) gibi bulut varlıkları için yetersiz kapsama sahip olabilir. Buna karşılık, Microsoft Sentinel hem şirket içi hem de bulut varlıklarından veri alabilir ve tüm varlıkların kapsamını sağlayabilir.

Bu makalede, eski bir SIEM'den geçişin nedenleri açıklanır ve geçişinizin farklı aşamalarını planlama işlemi açıklanır.

Geçiş adımları

Bu kılavuzda, eski SIEM'inizi Microsoft Sentinel geçirmeyi öğreneceksiniz. Geçiş işleminizi, işlemdeki farklı adımlarda gezinmeyi öğreneceğiniz bu makale dizisi aracılığıyla izleyin.

Not

Destekli geçiş işlemi için Microsoft Sentinel Geçiş ve Modernizasyon Programı'na katılın. Program, her aşamada en iyi uygulama rehberi, kaynaklar ve uzman yardımı da dahil olmak üzere geçişi basitleştirmenize ve hızlandırmanıza olanak tanır. Daha fazla bilgi edinmek için hesap ekibinize ulaşın.

Adım Makale
Geçişinizi planlama Buradasınız
Çalışma kitabıyla geçişi izleme Çalışma kitabıyla Microsoft Sentinel geçişinizi izleme
SIEM Geçişi deneyimini kullanma SIEM Geçişi
ArcSight'tan geçiş Geçiş algılama kuralları
SOAR otomasyonlarını geçirme
Geçmiş verileri dışarı aktarma
Splunk'tan geçiş SIEM Geçişi deneyimiyle başlayın
Geçiş algılama kuralları
SOAR otomasyonlarını geçirme
Geçmiş verileri dışarı aktarma

Splunk Gözlemlenebilirlik dağıtımınızı geçirmek istiyorsanız Splunk'tan Azure İzleme Günlüklerine geçiş hakkında daha fazla bilgi edinin.
QRadar'dan geçiş SIEM Geçişi deneyimiyle başlayın
Geçiş algılama kuralları
SOAR otomasyonlarını geçirme
Geçmiş verileri dışarı aktarma
Geçmiş verileri alma Dışarı aktarılan geçmiş verileri barındırmak için bir hedef Azure platformu seçin
Veri alımı aracı seçme
Geçmiş verileri hedef platformunuza alma
Panoları çalışma kitaplarına dönüştürme Panoları Azure Çalışma Kitaplarına dönüştürme
SOC işlemlerini güncelleştirme SOC işlemlerini güncelleştirme

Microsoft Sentinel nedir?

Microsoft Sentinel ölçeklenebilir, bulutta yerel, güvenlik bilgileri ve olay yönetimi (SIEM) ile güvenlik düzenleme, otomasyon ve yanıt (SOAR) çözümüdür. Microsoft Sentinel, kuruluş genelinde akıllı güvenlik analizi ve tehdit bilgileri sunar. Microsoft Sentinel saldırı algılama, tehdit görünürlüğü, proaktif avcılık ve tehdit yanıtı için tek bir çözüm sağlar. Microsoft Sentinel hakkında daha fazla bilgi edinin.

Neden eski bir SIEM'den geçiş?

SOC ekipleri, eski bir SIEM'i yönetirken bir dizi zorlukla karşı karşıya kalır:

  • Tehditlere yavaş yanıt. Eski SIEM'ler, yeni ortaya çıkan tehditleri tanımlamak için korunması zor ve etkisiz olan bağıntı kurallarını kullanır. Buna ek olarak, SOC analistleri büyük miktarlarda hatalı pozitif, birçok farklı güvenlik bileşeninden gelen birçok uyarı ve giderek daha yüksek hacimli günlüklerle karşı karşıya kalıyor. Bu verilerin çözümlenmesi, SOC ekiplerinin ortamdaki kritik tehditlere yanıt verme çabalarını yavaşlatır.
  • Ölçeklendirme zorlukları. Veri alımı hızları arttıkça SOC ekipleri SIEM'lerini ölçeklendirme konusunda zorlanır. SOC ekipleri, kuruluşun korunmasına odaklanmak yerine altyapı kurulumuna ve bakımına yatırım yapmalıdır ve depolama veya sorgu sınırlarına bağlıdır.
  • El ile analiz ve yanıt. SOC ekiplerinin büyük miktarlardaki uyarıları el ile işlemesi için yüksek beceriye sahip analistlere ihtiyacı vardır. SOC ekipleri fazla çalışıyor ve yeni analistleri bulmak zor.
  • Karmaşık ve verimli olmayan yönetim. SOC ekipleri genellikle düzenleme ve altyapıyı denetler, SIEM ile çeşitli veri kaynakları arasındaki bağlantıları yönetir ve güncelleştirmeleri ve düzeltme eklerini gerçekleştirir. Bu görevler genellikle kritik önceliklendirme ve analizden sorumludur.

Bulutta yerel bir SIEM bu zorlukları ele alır. Microsoft Sentinel verileri otomatik olarak ve uygun ölçekte toplar, bilinmeyen tehditleri algılar, yapay zeka ile tehditleri araştırır ve yerleşik otomasyonla olaylara hızlı bir şekilde yanıt verir.

Geçişinizi planlama

Planlama aşamasında mevcut SIEM bileşenlerinizi, mevcut SOC süreçlerinizi tanımlar ve yeni kullanım örnekleri tasarlar ve planlarsınız. Kapsamlı planlama, hem bulut tabanlı varlıklarınız (Microsoft Azure, AWS veya GCP) hem de Microsoft Office 365 gibi SaaS çözümleriniz için koruma sağlamanızı sağlar.

Bu diyagramda, tipik bir geçişin içerdiği üst düzey aşamalar açıklanmaktadır. Her aşama net hedefler, önemli etkinlikler ve belirtilen sonuçlar ile teslim edilebilir öğeleri içerir.

Bu diyagramdaki aşamalar, tipik bir geçiş yordamının nasıl tamamlanmasının yönergeleridir. Gerçek geçiş bazı aşamaları içermeyebilir veya daha fazla aşama içerebilir. Bu kılavuzdaki makaleler, aşamaların tamamını gözden geçirmek yerine, Microsoft Sentinel geçişi için özellikle önemli olan belirli görevleri ve adımları gözden geçirir.

Microsoft Sentinel geçiş aşamalarının diyagramı.

Husus -lar

Her aşama için bu önemli noktaları gözden geçirin.

Aşama Dikkate
Keşfetmek Bu aşamanın bir parçası olarak kullanım örneklerini ve geçiş önceliklerini belirleyin.
Design Microsoft Sentinel uygulamanız için ayrıntılı bir tasarım ve mimari tanımlayın. Uygulama aşamasına başlamadan önce ilgili paydaşlardan onay almak için bu bilgileri kullanacaksınız.
Uygulamak tasarım aşamasına göre Microsoft Sentinel bileşenleri uygularken ve altyapınızın tamamını dönüştürmeden önce, tüm bileşenleri geçirmek yerine kullanıma Microsoft Sentinel içeriği kullanıp kullanamayacağınızı düşünün. Birkaç kullanım örneği için en düşük uygun üründen (MVP) başlayarak Microsoft Sentinel aşamalı olarak kullanmaya başlayabilirsiniz. Daha fazla kullanım örneği eklerken, kullanım örneklerini doğrulamak için bu Microsoft Sentinel örneğini kullanıcı kabul testi (UAT) ortamı olarak kullanabilirsiniz.
Kullanıma hazır hale getirme Mevcut analist deneyiminin kesintiye uğramadığından emin olmak için içeriğinizi ve SOC süreçlerinizi geçirirsiniz .

Geçiş önceliklerinizi belirleme

Geçiş önceliklerinizi sabitlemek için şu soruları kullanın:

  • İşletmenizdeki en kritik altyapı bileşenleri, sistemleri, uygulamaları ve verileri nelerdir?
  • Geçişte paydaşlarınız kimler? SIEM geçişi büyük olasılıkla işletmenizin birçok alanına dokunabilir.
  • Önceliklerinizi ne yönlendirdi? Örneğin, en büyük iş riski, uyumluluk gereksinimleri, iş öncelikleri vb.
  • Geçiş ölçeğiniz ve zaman çizelgeniz nedir? Tarihlerinizi ve son tarihlerinizi etkileyen faktörler. Eski sistemin tamamını mı geçiriyorsunuz?
  • İhtiyacınız olan becerilere sahip misiniz? Güvenlik personeliniz eğitildi ve geçiş için hazır mı?
  • Kuruluşunuzda belirli engelleyiciler var mı? Geçiş planlamasını ve zamanlamayı etkileyen herhangi bir sorun var mı? Örneğin, personel ve eğitim gereksinimleri, lisans tarihleri, sabit duraklar, belirli iş gereksinimleri vb. gibi sorunlar.

Geçişe başlamadan önce, geçerli SIEM'inizdeki önemli kullanım örneklerini, algılama kurallarını, verileri ve otomasyonu tanımlayın. Geçişinize aşamalı bir işlem olarak yaklaşın. Öncelikle neleri geçirdiğinizden, nelerin önemli olmadığından ve gerçekten geçirilmesi gerekmeyen konularda bilinçli ve düşünceli olun. Ekibinizin geçerli SIEM'inizde çalışan çok fazla sayıda algılama ve kullanım örneği olabilir. Geçişe başlamadan önce, işletmeniz için hangilerinin etkin olarak yararlı olduğunu belirleyin.

Kullanım örneklerini belirleme

Bulma aşamasını planlarken, kullanım örneklerinizi tanımlamak için aşağıdaki kılavuzu kullanın.

  • Geçerli kullanım durumlarınızı tehdit, işletim sistemi, ürün vb. ile belirleyin ve analiz edin.
  • Kapsam nedir? Tüm kullanım örneklerini geçirmek mi yoksa bazı öncelik belirleme ölçütleri kullanmak mı istiyorsunuz?
  • Geçişiniz için en kritik güvenlik varlıklarını belirleyin.
  • Hangi kullanım örnekleri etkilidir? İyi bir başlangıç noktası, geçen yıl içinde hangi algılamaların sonuç ürettiğine bakmaktır (hatalı pozitif ve pozitif oran).
  • Kullanım örneği geçişini etkileyen iş öncelikleri nelerdir? İşletmeniz için en büyük riskler nelerdir? İşletmenizi en çok riske atan sorunlar ne tür?
  • Kullanım örneği özelliklerine göre öncelik belirleme.
    • Daha düşük ve daha yüksek öncelikleri ayarlamayı göz önünde bulundurun. Uyarı akışlarında yüzde 90 gerçek pozitifi zorlayan algılamalara odaklanmanızı öneririz. Hatalı pozitif oranın yüksek olmasına neden olan kullanım örnekleri işletmeniz için daha düşük bir öncelik olabilir.
    • Kural geçişini iş önceliği ve etkinlik açısından gerekçelendiren kullanım örneklerini seçin:
      • Son 6-12 ay içinde uyarı tetiklemeyen kuralları gözden geçirin.
      • Düzenli olarak yoksaydığınız düşük düzey tehditleri veya uyarıları ortadan kaldırın.
  • Doğrulama işlemi hazırlama. Test senaryolarını tanımlayın ve bir test betiği oluşturun.
  • Kullanım örneklerini önceliklendirmek için bir metodoloji uygulayabilir misiniz? Geçiş için daha yalın bir kullanım örnekleri kümesini önceliklendirmek için MoSCoW gibi bir metodolojiyi izleyebilirsiniz.

Sonraki adım

Bu makalede, geçişinizi planlamayı ve hazırlamayı öğrendinsiniz.

Çalışma kitabıyla geçişinizi izleme

  • Last updated on