你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
将 Microsoft Sentinel 并排部署到现有的 SIEM
安全运营中心 (SOC) 团队使用集中式安全信息和事件管理 (SIEM) 以及安全业务流程、自动化和响应 (SOAR) 解决方案来保护日益分散的数字资产。
本文介绍如何将 Microsoft Sentinel 与现有 SIEM 并排配置一起部署。
选择并行方法
根据组织的 SIEM 需求,将并行体系结构用作短期过渡阶段来实现完全由云托管的 SIEM,或用作中长期操作模型。
例如,虽然建议的体系结构是使用并行体系结构合理的一段时间,只要能够完成到 Microsoft Sentinel 的迁移即可,但你的组织可能希望保持使用并行配置更长的时间(例如,你尚未准备好从旧式 SIEM 迁移时)。 通常,使用长期并行配置的组织只会使用 Microsoft Sentinel 来分析其云数据。
在确定使用哪种方法时,请考虑每种方法的优缺点。
注意
由于成本和复杂性,许多组织都会避免运行多个本地分析解决方案。
Microsoft Sentinel 提供即用即付定价和灵活的基础结构,使 SOC 团队有时间适应变化。 以最适合组织的速度部署和测试内容,并了解如何完全迁移到 Microsoft Sentinel。
短期方法
| 优点 | 缺点 |
|---|---|
| • 使 SOC 员工在部署工作负载和分析期间有时间适应新的过程。 • 获得搜寻方案的所有数据源之间的深度关联。 • 无需在 SIEM 之间执行分析、创建转发规则以及在两个位置结束调查。 • 可让 SOC 团队快速降级旧式 SIEM 解决方案,从而消除基础结构成本和许可成本。 |
• SOC 员工可能需要经历一段跨越式的学习曲线。 |
中长期方法
| 优点 | 缺点 |
|---|---|
| • 可让你使用重要的 Microsoft Sentinel 优势(例如 AI、ML 和调查功能),而无需完全从旧式 SIEM 迁移。 • 与旧式 SIEM 相比,在 Microsoft Sentinel 中分析云数据或 Microsoft 数据更节省成本。 |
• 需要隔离不同数据库的分析,因此复杂性更高。 • 根据多环境事件拆分案例管理和调查。 • 产生的人员成本和基础结构成本更高。 • 要求 SOC 员工了解两种不同的 SIEM 解决方案。 |
将警报从旧式 SIEM 发送到 Microsoft Sentinel(建议)
将警报或异常活动指标从旧式 SIEM 发送到 Microsoft Sentinel。
- 在 Microsoft Sentinel 中引入和分析云数据
- 使用旧式 SIEM 分析本地数据并生成警报。
- 将警报从本地 SIEM 转发到 Microsoft Sentinel 以建立一个接口。
例如,使用 Logstash、API 或 Syslog 转发警报,并将其以 JSON 格式存储在 Microsoft Sentinel Log Analytics 工作区中。
通过将警报从旧式 SIEM 发送到 Microsoft Sentinel,你的团队可在 Microsoft Sentinel 中交叉关联和调查这些警报。 如果需要,团队仍可以访问旧式 SIEM 以进行更深入的调查。 同时,可以在较长的过渡期内继续部署数据源。
这种建议的并行部署方法提供了 Microsoft Sentinel 的全部价值,使你可按照适合组织的节奏部署数据源。 此方法可避免在移动数据源时重复产生数据存储和引入成本。
有关详细信息,请参阅:
如果要完全迁移到 Microsoft Sentinel,请查看完整的迁移指南。
将警报和扩充的事件从 Microsoft Sentinel 发送到旧式 SIEM
分析 Microsoft Sentinel 中的某些数据(例如云数据),然后将生成的警报发送到旧式 SIEM。 使用旧式 SIEM 作为单一接口来与 Microsoft Sentinel 生成的警报进行交叉关联。 仍可使用 Microsoft Sentinel 对其自己生成的警报进行更深入的调查。
此配置经济高效,因为你可以将云数据分析迁移到 Microsoft Sentinel,且不会重复产生成本或者支付两次数据费用。 你仍可以按照自己的步调自由迁移。 随着你不断地将数据源和检测转移到 Microsoft Sentinel,迁移到用作主接口的 Microsoft Sentinel 会变得越来越容易。 不过,只是将扩充的事件转发到旧式 SIEM 并不能充分利用 Microsoft Sentinel 的调查、搜寻和自动化功能所带来的价值。
有关详细信息,请参阅:
- 将扩充的 Microsoft Sentinel 警报发送到旧式 SIEM
- 将扩充的 Microsoft Sentinel 警报发送到 IBM QRadar
- 将 Microsoft Sentinel 警报引入 Splunk
其他方法
下表描述了不建议的并行配置,并详细说明了原因:
| 方法 | 说明 |
|---|---|
| 将 Microsoft Sentinel 日志发送到旧式 SIEM | 使用此方法时,仍然遇到本地 SIEM 的成本和规模问题。 需要支付 Microsoft Sentinel 中的数据引入费用以及旧式 SIEM 中的存储费用,并且无法利用 Microsoft Sentinel 的 SIEM 和 SOAR 检测、分析、用户实体行为分析 (UEBA)、AI 或者调查和自动化工具。 |
| 将日志从旧式 SIEM 发送到 Microsoft Sentinel | 虽然此方法可提供 Microsoft Sentinel 的完整功能,但组织仍需要为两个不同的数据引入源付费。 除了增大体系结构复杂性之外,此模型还会导致成本提高。 |
| 将 Microsoft Sentinel 和旧式 SIEM 用作两个完全独立的解决方案 | 可以使用 Microsoft Sentinel 分析某些数据源(例如云数据),并继续使用本地 SIEM 分析其他源。 使用这种设置可以明确界定何时使用每个解决方案,并避免重复产生成本。 但是,交叉关联会变得困难,且无法完全诊断跨这两组数据源的攻击。 在当今的环境中,威胁通常会在整个组织中横向转移,这种可见性差距可能会带来严重的安全风险。 |
使用自动化来简化过程
使用自动工作流将警报分组为常见事件,并修改此事件的优先级。
有关详细信息,请参阅:
- Microsoft Sentinel 中的安全业务流程、自动化和响应 (SOAR)。
- 在 Microsoft Sentinel 中使用 playbook 自动响应威胁
- 在 Microsoft Sentinel 中使用自动化规则自动处理事件
后续步骤
请浏览 Microsoft 的 Microsoft Sentinel 资源以拓展自己的技能并充分利用 Microsoft Sentinel。
此外,请考虑使用 Microsoft Sentinel 和 Microsoft Defender XDR 和 Microsoft Defender for Cloud 来增强威胁防护,以便进行 集成威胁防护。 这样可以受益于 Microsoft Sentinel 提供的广泛可见性,同时可以更深入地研究详细的威胁分析结果。
有关详细信息,请参阅: