將 Microsoft Sentinel 並存部署至現有的 SIEM
您的安全性作業中心 (SOC) 小組將會使用集中式安全性資訊與事件管理 (SIEM) 和安全性協調流程、自動化和回應 (SOAR) 解決方案,以保護日益分散的數位資產。
本文說明在並存組態中將 Microsoft Sentinel 與現有 SIEM 一同部署時,應考慮的途徑和方法。
並存方法
視貴組織的 SIEM 需求而定,使用並存架構作為短期、過渡階段進而導向雲端裝載的 SIEM,或作為中期到長期作業模型。
例如,雖然建議的架構是使用剛好足以完成移轉至 Microsoft Sentinel 的並存架構,但是貴組織可能會想要保留並存組態較長的時間,例如,如果您尚未準備好離開舊版 SIEM。 一般而言,使用長期並存組態的組織會使用 Microsoft Sentinel 僅分析其雲端資料。 許多組織都因為成本和複雜度而避免執行多個內部部署分析解決方案。
Microsoft Sentinel 提供隨用隨付定價和彈性的基礎結構,讓 SOC 小組有時間適應變更。 以最適合貴組織的步調部署並測試您的內容,並瞭解如何完全移轉至 Microsoft Sentinel。
決定要使用的方法時,請考慮每個方法的優缺點。
短期方法
下表說明在相對較短期間內使用並存架構的優缺點。
| 優點 | 缺點 |
|---|---|
| • 讓 SOC 員工有時間能夠隨著您部署工作負載和分析而適應新的程序。 • 取得搜捕案例所有資料來源之間的深層相互關聯。 • 消除在 SIEM 之間執行分析、建立轉送規則,以及在兩個地方關閉調查的必要性。 • 讓您的 SOC 小組能夠快速降級舊版 SIEM 解決方案,消除基礎結構和授權成本。 |
• SOC 員工可能會有陡峭的學習曲線。 |
中期至長期方法
下表說明在相對中等或較長期間內使用並存架構的優缺點。
| 優點 | 缺點 |
|---|---|
| • 可讓您使用重要的 Microsoft Sentinel 優點,例如 AI、ML 和調查功能,而不需要完全離開舊版 SIEM。 • 相較於舊版 SIEM,透過分析 Microsoft Sentinel 中的雲端或 Microsoft 資料來節省金錢。 |
• 透過將分析分隔到不同的資料庫,增加複雜度。 • 分割多重環境事件的案例管理和調查。 • 產生更大的員工和基礎結構成本。 • 需要 SOC 員工具備兩個不同 SIEM 解決方案的知識。 |
並存方法
決定如何設定 Microsoft Sentinel 並將其與舊版 SIEM 並存使用。
方法 1:將警示從舊版 SIEM 傳送至 Microsoft Sentinel (建議)
將警示或異常活動的指標從舊版 SIEM 傳送至 Microsoft Sentinel。
- 在 Microsoft Sentinel 中擷取和分析雲端資料
- 使用舊版 SIEM 來分析內部部署資料並產生警示。
- 將警示從內部部署 SIEM 轉送至 Microsoft Sentinel,以建立單一介面。
例如,使用 Logstash、API (部分機器翻譯) 或 Syslog 來轉送警示,並且以 JSON (英文) 格式將其儲存在您的 Microsoft Sentinel Log Analytics 工作區中。
藉由將警示從舊版 SIEM 傳送至 Microsoft Sentinel,您的小組就可以交叉相互關聯,並在 Microsoft Sentinel 中調查這些警示。 小組仍可視需要存取舊版 SIEM 以進行更深入的調查。 同時,您可以繼續在延長轉換期間部署資料來源。
這個建議的並存部署方法可讓您獲得 Microsoft Sentinel 的完整價值,並且能夠依照適合貴組織的步調部署資料來源。 此方法可避免在移動資料來源時,產生重複的資料儲存和擷取成本。
如需詳細資訊,請參閱
如果您想要完全移轉至 Microsoft Sentinel,請檢閱完整的移轉指南。
方法 2:將警示和擴充事件從 Microsoft Sentinel 傳送至舊版 SIEM
分析 Microsoft Sentinel 中的某些資料,例如雲端資料,然後將產生的警示傳送至舊版 SIEM。 使用舊版 SIEM 作為您的單一介面,與 Microsoft Sentinel 產生的警示進行交叉相互關聯。 您仍然可以使用 Microsoft Sentinel 來深入調查 Microsoft Sentinel 產生的警示。
此組態符合成本效益,因為您可以將雲端資料分析移至 Microsoft Sentinel,而不會造成重複的成本或支付資料費用兩次。 您仍然可以自由地以自己的步調移轉。 當您繼續將資料來源和偵測移轉至 Microsoft Sentinel 時,移轉至 Microsoft Sentinel 作為主要介面會變得更容易。 不過,只是將擴充事件轉送到舊版 SIEM,會限制您從 Microsoft Sentinel 的調查、搜捕和自動化功能所獲得的價值。
如需詳細資訊,請參閱
- 將擴充的 Microsoft Sentinel 警示傳送至舊版 SIEM
- 將擴充的 Microsoft Sentinel 警示傳送至 IBM QRadar
- 將 Microsoft Sentinel 警示擷取至 Splunk
其他方法
下表說明不建議的並存組態,並且詳細說明原因:
| 方法 | 描述 |
|---|---|
| 將 Microsoft Sentinel 記錄傳送至舊版 SIEM | 透過此方法,您會持續體驗內部部署 SIEM 的成本和規模挑戰。 您要支付 Microsoft Sentinel 中的資料擷取費用,以及舊版 SIEM 中的儲存體成本,而且您無法利用 Microsoft Sentinel 的 SIEM 和 SOAR 偵測、分析、使用者實體行為分析 (UEBA)、AI 或調查與自動化工具。 |
| 將記錄從舊版 SIEM 傳送至 Microsoft Sentinel | 雖然此方法提供 Microsoft Sentinel 的完整功能,但是貴組織仍需支付兩個不同資料擷取來源的費用。 除了增加架構複雜度之外,此模型可能會產生較高的成本。 |
| 使用 Microsoft Sentinel 和舊版 SIEM 作為兩個完全獨立的解決方案 | 您可以使用 Microsoft Sentinel 來分析某些資料來源,例如您的雲端資料,並且針對其他來源繼續使用內部部署 SIEM。 此設定讓使用每個解決方案的時機有清楚界限,並避免重複的成本。 不過,交叉相互關聯變得困難,而且您無法完整診斷跨越這兩組資料來源的攻擊。 在現今的環境中,威脅通常會橫向移動到整個組織,這類可見度差距可能會造成重大的安全性風險。 |
使用自動化簡化程序
使用自動化工作流程,將警示分組並排定優先順序為一般事件,並修改其優先順序。
如需詳細資訊,請參閱
- Microsoft Sentinel 中的自動化:安全性協調流程、自動化和回應 (SOAR)
- 使用 Microsoft Sentinel 中的劇本將威脅回應自動化
- 使用自動化規則將 Microsoft Sentinel 中的事件處理自動化
相關內容
探索 Microsoft 的 Microsoft Sentinel 資源以擴充您的技能,並充分利用 Microsoft Sentinel。
請考慮使用 Microsoft Sentinel 以及 Microsoft Defender 全面偵測回應和適用於雲端的 Microsoft Defender 以獲得整合式威脅防護,從而增加您的威脅防護。 受益於 Microsoft Sentinel 提供的可見度廣度,同時能夠深入了解詳細的威脅分析。
如需詳細資訊,請參閱