Aracılığıyla paylaş

Microsoft Sentinel'e geçişinizi planlayın

Güvenlik Operasyon Merkezi (SOC) ekipleri, giderek daha fazla merkezi olmayan dijital mülklerini korumak için merkezi Güvenlik Bilgi ve Olay Yönetimi (SIEM) ve Güvenlik Orkestrasyonu, Otomasyon ve Müdahale (SOAR) çözümleri kullanır. Eski SIEM'ler, yerinde varlıkların iyi kapsamını sürdürebilirken, yerinde mimariler, Azure, Microsoft 365, AWS veya Google Cloud Platform (GCP) gibi bulut varlıklar için yetersiz kapsama sahip olabilir. Buna karşılık, Microsoft Sentinel, hem şirket içi hem de bulut varlıklarından veri alabilir ve tüm alanın kapsanmasını sağlayabilir.

Bu makale, eski bir SIEM'den geçiş yapmanın nedenlerini ele alır ve geçişinizin farklı aşamalarını nasıl planlayabileceğinizi açıklar.

Göç Adımları

Bu kılavuzda, eski SIEM'inizi Microsoft Sentinel'e nasıl taşıyacağınızı öğrenirsiniz. Göç etme sürecinizi, bu dizi makalelerde anlatılan adımları takip ederek öğrenebilir ve sürecin farklı aşamalarında nasıl ilerleyeceğinizi keşfedebilirsiniz.

Note

Kılavuzlu bir geçiş süreci için Microsoft Sentinel Taşıma ve Modernizasyon Programı'na katılın. Program, her aşamada en iyi uygulama rehberliği, kaynaklar ve uzman desteği dahil olmak üzere, geçişi basitleştirmenize ve hızlandırmanıza olanak tanır. Daha fazla bilgi edinmek için hesap ekibinizle iletişime geçin.

Adım Makale
Geçişinizi planlayın You are here
Bir çalışma kitabı ile göçü takip edin Bir çalışma kitabı ile Microsoft Sentinel geçişinizi takip edin
SIEM Geçiş deneyimini kullanın SIEM Migration (Preview)
ArcSight'ten Taşı Algılama kurallarını taşı
SOAR otomasyonunu taşı
Tarihsel verileri dışa aktar
Splunk'tan Geçiş Yap SIEM Geçiş deneyimi ile başlayın
Algılama kurallarını taşı
SOAR otomasyonunu taşımak
Tarihî verileri dışa aktar

Splunk Observability dağıtımınızı taşımak istiyorsanız, Splunk'tan Azure Monitor Günlüklerine nasıl geçiş yapılacağı hakkında daha fazla bilgi edinin.
QRadar'dan Geçiş Yapın Tespit kurallarını taşı
SOAR otomasyonunu taşı
Tarihsel verileri dışa aktar
Tarihi verileri içe aktar Dışa aktarılan tarihsel verileri barındırmak için bir hedef Azure platformu seç
Bir veri alma aracı seçin
Tarihsel verileri hedef platformunuza yükleyin
Panoları çalışma kitaplarına dönüştür Convert dashboards to Azure Workbooks
SOC süreçlerini güncelleştir SOC süreçlerini güncelle

What is Microsoft Sentinel?

Microsoft Sentinel, ölçeklenebilir, bulut tabanlı bir güvenlik bilgi ve olay yönetimi (SIEM) ile güvenlik orkestrasyonu, otomasyon ve yanıt (SOAR) çözümüdür. Microsoft Sentinel, kuruluş genelinde akıllı güvenlik analitiği ve tehdit istihbaratı sunar. Microsoft Sentinel, saldırı tespiti, tehdit görünürlüğü, proaktif avlanma ve tehdit yanıtı için tek bir çözüm sunar. Learn more about Microsoft Sentinel.

Why migrate from a legacy SIEM?

SOC ekipleri, eski bir SIEM'i yönetirken bir dizi zorlukla karşılaşır.

  • Tehditlere yavaş yanıt verilmesi. Eski SIEM'ler, bakımı zor olan ve ortaya çıkan tehditleri belirlemede etkisiz olan korelasyon kurallarını kullanır. Ek olarak, SOC analistleri büyük miktarda yanlış pozitifler, birçok farklı güvenlik bileşeninden gelen çok sayıda uyarı ve giderek artan log hacimleri ile karşı karşıya kalmaktadır. Verileri analiz etmek, SOC ekiplerinin ortamda kritik tehditlere yanıt verme çabalarını yavaşlatır.
  • Ölçeklendirme zorlukları. Veri alma oranları arttıkça, SOC ekipleri SIEM'lerini ölçeklendirmekte zorlanıyor. Kuruluşu korumaya odaklanmak yerine, SOC ekipleri altyapı kurulumu ve bakımına yatırım yapmalı ve depolama veya sorgu sınırlarına bağlı kalmalıdır.
  • Manuel analiz ve yanıt. SOC ekipleri, çok miktarda uyarıyı manuel olarak işlemek için yüksek yetenekli analistlere ihtiyaç duyar. SOC ekipleri çok çalışıyor ve yeni analistler bulmak zor.
  • Karmaşık ve verimsiz yönetim. SOC ekipleri genellikle orkestrasyonu ve altyapıyı denetler, SIEM ile çeşitli veri kaynakları arasındaki bağlantıları yönetir ve güncellemeleri ile yamaları gerçekleştirir. Bu görevler genellikle kritik triyaj ve analiz pahasına yapılır.

Bulut tabanlı bir SIEM bu zorlukları ele alır. Microsoft Sentinel, verileri otomatik ve geniş ölçekte toplar, bilinmeyen tehditleri tespit eder, tehditleri yapay zeka ile araştırır ve yerleşik otomasyon ile olaylara hızlı bir şekilde yanıt verir.

Göçünüzü planlayın

Planlama aşamasında, mevcut SIEM bileşenlerinizi, mevcut SOC süreçlerinizi belirler, ve yeni kullanım senaryolarını tasarlar ve planlarsınız. Thorough planning allows you to maintain protection for both your cloud-based assets—Microsoft Azure, AWS, or GCP—and your SaaS solutions, such as Microsoft Office 365.

Bu diyagram, tipik bir göçün içerebileceği üst düzey aşamaları tanımlar. Her aşama, açık hedefler, anahtar faaliyetler ve belirlenmiş sonuçlar ve teslimatlar içerir.

Bu diyagramdaki aşamalar, tipik bir göç prosedürünü tamamlama konusunda rehber niteliğindedir. Gerçek bir geçişte bazı aşamalar bulunmayabilir veya daha fazla aşama içerebilir. Tüm aşamaları gözden geçirmek yerine, bu kılavuzdaki makaleler Microsoft Sentinel geçişi için özellikle önemli olan belirli görevleri ve adımları inceler.

Microsoft Sentinel geçiş aşamalarının diyagramı.

Dikkat Edilecek Hususlar

Bu kilit öncelikleri her aşama için gözden geçirin.

Aşama Değerlendirme
Keşfet Kullanım durumlarını belirleyin ve geçiş önceliklerini bu aşamanın bir parçası olarak tanımlayın.
Tasarım Microsoft Sentinel uygulamanız için ayrıntılı bir tasarım ve mimari tanımlayın. Bu bilgileri kullanarak uygulama aşamasına başlamadan önce ilgili paydaşlardan onay alacaksınız.
Uygulamak Microsoft Sentinel bileşenlerini tasarım aşamasına göre uygularken ve tüm altyapınızı dönüştürmeden önce, bütün bileşenleri taşımak yerine Microsoft Sentinel'in hazır içeriklerini kullanıp kullanamayacağınızı düşünün. Microsoft Sentinel'i kullanmaya kademeli olarak başlayabilir, çeşitli kullanım senaryoları için minimum uygulanabilir bir ürün (MVP) ile başlayabilirsiniz. Daha fazla kullanım senaryosu ekledikçe, bu Microsoft Sentinel örneğini kullanım senaryolarını doğrulamak için kullanıcı kabul testi (UAT) ortamı olarak kullanabilirsiniz.
İşlevselleştirmek İçeriklerinizi ve SOC süreçlerinizi taşıyorsunuz ki mevcut analist deneyimi aksamasın.

Göç önceliklerinizi belirleyin

Göç önceliklerinizi belirlemek için bu soruları kullanın:

  • İşletmenizdeki en kritik altyapı bileşenleri, sistemler, uygulamalar ve veriler nelerdir?
  • Göç sürecinde paydaşlarınız kimler? SIEM geçişi, işinizin birçok alanını etkileme olasılığı taşır.
  • What drives your priorities? Örneğin, en büyük iş riski, uyumluluk gereklilikleri, iş öncelikleri ve benzeri.
  • Göç ölçeğiniz ve zaman çizelgeniz nedir? Tarihlerinizi ve son teslim tarihlerinizi etkileyen faktörler nelerdir? Tüm eski sistemi mi taşıyorsunuz?
  • İhtiyacınız olan becerilere sahip misiniz? Güvenlik personeliniz eğitimli ve geçişe hazır mı?
  • Kuruluşunuzda herhangi bir özel engel veya engel faktörü var mı? Göç planlama ve zamanlamasını etkileyen herhangi bir sorun var mı? Örneğin, personel alımı ve eğitim gereksinimleri, lisans tarihleri, sıkışma noktaları, belirli iş ihtiyaçları ve benzeri konular.

Before you begin migration, identify key use cases, detection rules, data, and automation in your current SIEM. Göçünüzü kademeli bir süreç olarak ele alın. İlk önce neyi taşıyacağınız, neyi öncelik sıralamasında aşağıya alacağınız ve aslında neyin taşınmasına gerek olmadığı konusunda bilinçli ve düşünceli olun. Ekibiniz, mevcut SIEM'nizde çalışan aşırı sayıda tespit ve kullanım durumu ile karşı karşıya kalabilir. Taşımaya başlamadan önce, hangilerinin işletmeniz için aktif olarak yararlı olduğunu belirleyin.

Kullanım senaryolarını belirleyin

Keşif aşamasını planlarken, kullanım senaryolarınızı belirlemek için aşağıdaki kılavuzu kullanın.

  • Identify and analyze your current use cases by threat, operating system, product, and so on.
  • What’s the scope? Tüm kullanım senaryolarını mı taşımak istiyorsunuz, yoksa bazı önceliklendirme kriterleri mi kullanmayı tercih edersiniz?
  • Göç sürecinizde hangi güvenlik varlıklarının en kritik olduğunu belirleyin.
  • Hangi kullanım senaryoları etkilidir? İyi bir başlangıç ​​noktası, son bir yıl içinde hangi tespitlerin sonuç ürettiğine bakmak olacaktır (yanlış pozitif oranına karşı gerçek pozitif oranı).
  • Kullanım durumunun taşınmasını etkileyen iş öncelikleri nelerdir? İşletmenizin karşı karşıya olduğu en büyük riskler nelerdir? İşletmenizi en çok hangi tür sorunlar riske atar?
  • Kullanım durumu özelliklerine göre öncelik verin.
    • Daha düşük ve daha yüksek öncelikler belirlemeyi düşünün. Uyarı akışlarında %90 doğru pozitif elde edilmesini sağlayacak tespitlere odaklanmanızı öneririz. Yüksek yanlış pozitif oranına neden olan kullanım durumları, işiniz için daha düşük öncelikli olabilir.
    • İş önceliği ve etkinlik açısından kural geçişini haklı çıkaran kullanım durumlarını seçin.
      • Son 6 ila 12 ay içinde herhangi bir uyarı tetiklememiş kuralları gözden geçirin.
      • Düşük seviyeli tehditleri veya rutin olarak göz ardı ettiğiniz uyarıları ortadan kaldırın.
  • Bir doğrulama süreci hazırlayın. Define test scenarios and build a test script.
  • Can you apply a methodology to prioritize use cases? You can follow a methodology such as MoSCoW to prioritize a leaner set of use cases for migration.

Sonraki adım

Bu makalede, göçünüzü planlamanın ve hazırlamanın nasıl olduğunu öğrendiniz.

Taşınmanızı bir çalışma kitabı ile takip edin

  • Last updated on