Instrukcje migracji Google Cloud SIEM

Google Cloud SIEM Migration Instructions

Logo Google Cloud

Migracja SIEM do Google Cloud

Produkt do migracji Google-Cloud-SIEM

Informacje o produkcie

Dane techniczne:

  • Nazwa produktu: Przewodnik po migracji SIEM
  • Autor: Nieznany
  • Opublikowany Rok: Nie określono

Instrukcje użytkowania produktu

  • Wybór nowego SIEM
    Zacznij od zadania sobie i swojemu zespołowi kilku kluczowych pytań, które pomogą odkryć mocne i słabe strony każdej oferty. Szybko zidentyfikuj supermoce każdego SIEM i zaplanuj, w jaki sposób Twoja organizacja może je wykorzystaćtage z nich.
  • Natywny dla chmury system SIEM
    Zastanów się, czy SIEM jest oferowany przez głównego dostawcę usług w chmurze (CSP), który może zapewnić infrastrukturę na skalę światową po cenach hurtowych. Modele wdrożeniowe SIEM natywne dla chmury umożliwiają skalowalność i dynamiczne zarządzanie obciążeniami w chmurze.
  • SIEM z inteligencją
    Sprawdź, czy dostawca SIEM oferuje ciągłą analizę zagrożeń pierwszej linii, umożliwiającą natychmiastowe wykrywanie nowych i pojawiających się zagrożeń.

SIEM umarł, niech żyje SIEM

Jeśli jesteś podobny do nas, możesz być zaskoczony, że w 2024 r. systemy zarządzania informacjami i zdarzeniami dotyczącymi bezpieczeństwa (SIEM) nadal będą stanowić szkielet większości centrów operacji bezpieczeństwa (SOC). SIEM zawsze był używany do gromadzenia i analizowania danych dotyczących bezpieczeństwa z całej organizacji, aby pomóc Ci szybko i skutecznie identyfikować, badać i reagować na zagrożenia. Rzeczywistość jest jednak taka, że ​​dzisiejsze nowoczesne SIEM w niewielkim stopniu przypominają te zbudowane ponad 15 lat temu, przed pojawieniem się architektury natywnej w chmurze, analizy jednostek i zachowań użytkowników (UEBA), orkiestracji bezpieczeństwa, automatyzacji i reagowania (SOAR), zarządzania powierzchnią ataku i oczywiście sztuczna inteligencja, żeby wymienić tylko kilka.
Starsze rozwiązania SIEM są często powolne, kłopotliwe i trudne w użyciu. Ich dotychczasowa architektura często uniemożliwia im skalowanie w celu wykorzystania źródeł dzienników o dużej objętości i mogą nie być w stanie nadążać za najnowszymi zagrożeniami lub obsługiwać najnowsze funkcje i możliwości. Mogą nie oferować elastyczności niezbędnej do obsługi specyficznych wymagań Twojej organizacji lub nie być dostosowane do strategii wielu chmur, która jest obecnie rzeczywistością dla większości organizacji. Wreszcie, mogą być słabo przygotowani do atakutage z najnowszych osiągnięć technologicznych, takich jak sztuczna inteligencja (AI).
Tak więc, chociaż SIEM pod jakąkolwiek inną nazwą może brzmieć równie dobrze, zespoły operacyjne ds. bezpieczeństwa będą nadal na nim polegać
„platformy operacyjne bezpieczeństwa” (czy jakkolwiek się one nazywają) w dającej się przewidzieć przyszłości do wykrywania, badania i reagowania na zagrożenia.

Rozpoczęła się wielka migracja do SIEM

Migracja SIEM nie jest niczym nowym. Organizacje przestały kochać swój istniejący SIEM i przez lata szukały nowszych i lepszych opcji. Być może częściej organizacje znoszą słabo wydajny i/lub zbyt kosztowny SIEM dłużej, niż by chciały, częściowo z powodu obaw związanych ze złożonością konieczności radzenia sobie z migracją SIEM.
Jednak ostatnie miesiące przyniosły przesunięcia tektoniczne w przestrzeni SIEM, których nie można lekceważyć. Nie ma wątpliwości, że krajobraz SIEM zostanie całkowicie przekształcony w ciągu kilku krótkich lat – rodząc nowych liderów rynku i obserwując upadek, a może nawet upadek „dinozaurów”, które rządziły krainą SIEM od dziesięcioleci (lub „ eony” w kategoriach cyberbezpieczeństwa). Zmiany te niewątpliwie przyspieszą migrację ze starszych platform SIEM do nowoczesnych, a wiele organizacji stoi obecnie przed faktem, kiedy powinny przeprowadzić migrację, a nie, czy powinny migrować.

Oto podsumowanie głównych ruchów tylko w ciągu ostatnich 9 miesięcy:

Google-Cloud-SIEM-migracja-rys.- (1)

Zidentyfikowanie niedociągnięć w obecnym SIEM jest znacznie łatwiejsze niż wybranie najlepszego zamiennika i przeprowadzenie udanej migracji. Należy również pamiętać, że niepowodzenia we wdrożeniu SIEM mogą również wynikać z procesów (a czasami z ludzi), a nie tylko z technologii. I tu właśnie pojawia się ten artykuł. Autorzy, jako praktycy, analitycy i dostawcy, widzieli setki migracji SIEM na przestrzeni kilkudziesięciu lat. Podsumujmy więc najważniejsze wskazówki dotyczące migracji SIEM na rok 2024. Podzielimy tę listę na kategorie i dodamy wnioski, które wyciągnęliśmy z okopów.

Wybór nowego SIEM

Zacznij od zadania sobie i swojemu zespołowi kilku kluczowych pytań, które pomogą odkryć mocne i słabe strony każdej oferty. Zalecamy szybkie zidentyfikowanie „supermocy” każdego SIEM i zaplanowanie, w jaki sposób Twoja organizacja może je wykorzystaćtage z nich. Na przykładampna:

  • Natywny dla chmury system SIEM
    • Czy SIEM jest oferowany przez głównego dostawcę usług w chmurze (CSP), który może zapewnić infrastrukturę na światową skalę po cenach hurtowych?
      Z naszego doświadczenia wynika, że ​​dostawcy SIEM działający w chmurach, których nie posiadają, mają trudności z pokonaniem nieuniknionego „narzucania marży” towarzyszącego takim modelom. To pytanie jest nierozerwalnie związane z kosztami.
      Natywny dla chmury model wdrażania SIEM umożliwia także skalowanie SIEM w górę i w dół w odpowiedzi na nowe zagrożenia, a także zarządzanie dynamicznym charakterem obciążeń chmurowych organizacji. Infrastruktura i aplikacje w chmurze mogą znacząco wzrosnąć w ciągu kilku minut. Architektura SIEM natywna dla chmury umożliwia skalowanie kluczowych narzędzi zespołów ds. bezpieczeństwa w tym samym tempie, co potrzeby większej organizacji.
      Natywne rozwiązania SIEM dla chmury są również dobrze przygotowane do zabezpieczania obciążeń w chmurze. Zapewniają pobieranie danych z usług w chmurze o niskim opóźnieniu i są dostarczane z treściami wykrywającymi, które pomagają identyfikować ataki powszechne w chmurze.
  • SIEM z inteligencją
    • Czy dostawca SIEM dysponuje ciągłym źródłem informacji o zagrożeniach z pierwszej linii frontu, umożliwiającym natychmiastowe wykrywanie nowych i pojawiających się zagrożeń?
      Te złote źródła zwykle wynikają z najwyższej klasy praktyk reagowania na incydenty, obsługi masowych konsumenckich ofert chmurowych IaaS lub SaaS lub globalnych baz instalacyjnych oprogramowania zabezpieczającego lub systemów operacyjnych.
      Analiza zagrożeń ma kluczowe znaczenie dla organizacji, aby mogły skutecznie wykrywać, segregować, badać i reagować na incydenty związane z bezpieczeństwem. Szczególnie cenne są analizy zagrożeń pierwszej linii, ponieważ dostarczają w czasie rzeczywistym informacji o najnowszych zagrożeniach i lukach w zabezpieczeniach. Informacje te można wykorzystać do szybkiego identyfikowania i ustalania priorytetów incydentów związanych z bezpieczeństwem oraz do opracowywania i wdrażania skutecznych strategii reagowania.
      Aby ulepszyć możliwości wykrywania zagrożeń i reagowania w czasie rzeczywistym, organizacje zajmujące się bezpieczeństwem poszukują płynnej integracji analizy zagrożeń i powiązanych źródeł danych z przepływami pracy i narzędziami operacji bezpieczeństwa. Obrotowe krzesło, kopiuj-wklej i krucha integracja między SIEM a źródłami informacji o zagrożeniach drenują produktywność i mają negatywny wpływ na skuteczność zespołu i doświadczenie analityków.
  • SIEM z wyselekcjonowaną zawartością
    • Czy SIEM oferuje obszerną bibliotekę obsługiwanych analizatorów składni i reguł wykrywania oraz działań odpowiedzi?
      Wskazówka: Niektórzy dostawcy SIEM polegają niemal wyłącznie na społeczności użytkowników lub partnerach technicznych przy tworzeniu analizatorów składniowych dla popularnych źródeł danych. Chociaż dobrze prosperująca społeczność użytkowników jest niezbędna, problemem jest nadmierne poleganie na niej w zapewnianiu podstawowych funkcji, takich jak analizowanie. Parsery dla popularnych źródeł danych powinny być tworzone, utrzymywane i obsługiwane bezpośrednio przez dostawcę SIEM. Zastosuj to samo podejście, przeglądając treść reguły wykrywania. Reguły społeczności są niezbędne, ale należy oczekiwać od dostawcy, że utworzy i będzie utrzymywał solidną bibliotekę podstawowych wykryć, które będą regularnie testowane, wspierane i ulepszane. Wysokiej jakości, wyselekcjonowane wykrywanie zagrożeń ma kluczowe znaczenie dla skutecznego zarządzania stanem bezpieczeństwa organizacji. Google SecOps zapewnia gotowe do użycia wykrywanie nowych i pojawiających się zagrożeń, co może pomóc organizacjom szybko identyfikować incydenty związane z bezpieczeństwem i reagować na nie.
  • SIEM ze sztuczną inteligencją
    • Czy SIEM obejmuje sztuczną inteligencję i czy jest w stanie kontynuować innowacje?
      Rola sztucznej inteligencji w SIEM nadal nie jest w pełni zrozumiała (a tym bardziej wdrożona) przez żadnego dostawcę. Jednak wiodące rozwiązania SIEM już dziś dostarczają namacalne funkcje oparte na sztucznej inteligencji. Funkcje te obejmują przetwarzanie języka naturalnego na potrzeby wyrażania wyszukiwań i reguł, automatyczne podsumowywanie przypadków oraz zalecane działania w odpowiedzi. Większość klientów i obserwatorów branży uważa funkcje takie jak wykrywanie zagrożeń i predykcyjna analiza przeciwników za jedne ze „świętych Graali” możliwości SIEM opartych na sztucznej inteligencji. Żaden SIEM nie oferuje obecnie niezawodnie tych funkcji. Wybierając nowy SIEM w 2024 r., zastanów się, czy dostawca inwestuje zasoby niezbędne do poczynienia znaczących postępów w zakresie tych możliwości transformacyjnych.

Google Security Operations (dawniej Chronicle) to oparte na chmurze rozwiązanie SIEM oferowane przez Google Cloud. Został zaprojektowany, aby pomóc organizacjom w centralnym gromadzeniu dzienników i innych danych telemetrycznych dotyczących bezpieczeństwa, a następnie wykrywać, badać i reagować na zagrożenia bezpieczeństwa w czasie rzeczywistym. 

  • Wykrywaj i ustalaj priorytety zagrożeń bezpieczeństwa: Gotowe do użycia reguły wykrywania Google SecOps identyfikują i ustalają priorytety zagrożeń bezpieczeństwa w czasie rzeczywistym. Pomaga to organizacjom szybko i skutecznie reagować na najbardziej krytyczne zagrożenia.
  • Zbadaj incydenty związane z bezpieczeństwem: Google SecOps zapewnia scentralizowaną platformę do badania incydentów bezpieczeństwa. Pomaga to organizacjom szybko i skutecznie zebrać dowody i określić zakres incydentu.
  • Reaguj na incydenty związane z bezpieczeństwem: Google SecOps udostępnia różnorodne narzędzia pomagające organizacjom reagować na zdarzenia związane z bezpieczeństwem, takie jak automatyczne korygowanie. Łowcy zagrożeń uważają, że szybkość platformy, możliwości wyszukiwania i zastosowana analiza zagrożeń są bezcenne w tropieniu atakujących, którzy mogli prześlizgnąć się przez szczeliny. Pomaga to organizacjom szybko i skutecznie ograniczać i łagodzić skutki incydentów związanych z bezpieczeństwem.
    Google SecOps ma wiele zalettages w stosunku do tradycyjnych rozwiązań SIEM, w tym:
  • Sztuczna inteligencja: Google SecOps korzysta z technologii Google Gemini AI, aby umożliwić obrońcom przeszukiwanie ogromnych ilości danych w ciągu kilku sekund przy użyciu języka naturalnego i szybsze podejmowanie decyzji poprzez odpowiadanie na pytania, podsumowywanie zdarzeń, polowanie na zagrożenia, tworzenie reguł i dostarczanie zalecanych działań na podstawie kontekstu dochodzeń. Zespoły ds. bezpieczeństwa mogą również używać Gemini w Security Operations do łatwego tworzenia scenariuszy reagowania, dostosowywania konfiguracji i stosowania najlepszych praktyk, co pomaga uprościć czasochłonne zadania wymagające głębokiej wiedzy specjalistycznej.
  • Zastosowane informacje o zagrożeniach: Google SecOps natywnie integruje się z Google Threat Intelligence (GTI), która obejmuje połączone analizy z VirusTotal, Mandiant Threat Intelligence i wewnętrznych źródeł Google Threat Intelligence, aby pomóc klientom wykrywać więcej zagrożeń przy mniejszym wysiłku.
  • Skalowalność: Google SecOps to rozwiązanie oparte na chmurze, dzięki czemu może wykorzystywać hiperskalową infrastrukturę chmurową udostępnianą przez Google Cloud, aby zaspokoić potrzeby w zakresie pojemności i wydajności każdej organizacji, niezależnie od jej wielkości.
  • Integracja z Google Cloud: Google SecOps jest ściśle zintegrowane z innymi produktami i usługami Google Cloud, takimi jak Google Cloud Security Command Center Enterprise (SCCE). Integracja ta ułatwia organizacjom zarządzanie operacjami związanymi z bezpieczeństwem na jednej, ujednoliconej platformie. Google SecOps to najlepszy SIEM do telemetrii usług GCP, który zawiera także gotowe do użycia treści do wykrywania dla innych głównych dostawców usług w chmurze, takich jak AWS i Azure.

Zastosowana analiza zagrożeń w Google SecOps
Google SecOps umożliwia zespołom ds. bezpieczeństwa zarządzanie i analizowanie danych dotyczących bezpieczeństwa, które są automatycznie korelowane i wzbogacane o dane o zagrożeniach. Integrując analizę zagrożeń bezpośrednio z SIEM, organizacje mogą:

  • Popraw wykrywanie i segregację: Dane o zagrożeniach można wykorzystać bezpośrednio do tworzenia reguł, które pomogą zidentyfikować złośliwą aktywność w czasie rzeczywistym. Dane te są również wykorzystywane do dodawania kontekstu do innych alertów i automatycznego dostosowywania zaufania do alertu. Pomaga to organizacjom szybko wykrywać i segregować incydenty związane z bezpieczeństwem oraz koncentrować swoje zasoby na najbardziej krytycznych zagrożeniach.
  • Usprawnij dochodzenie i reakcję: Analizę zagrożeń można wykorzystać do zapewnienia kontekstu i spostrzeżeń podczas dochodzeń w sprawie bezpieczeństwa. Może to pomóc analitykom szybko zidentyfikować pierwotną przyczynę incydentu oraz opracować i wdrożyć skuteczne strategie reagowania.
  • Wyprzedź krajobraz zagrożeń: Analiza zagrożeń może pomóc organizacjom wyprzedzić krajobraz zagrożeń, dostarczając informacji o najnowszych zagrożeniach i lukach w zabezpieczeniach. Informacje te można wykorzystać do opracowania i wdrożenia proaktywnych środków bezpieczeństwa, takich jak wykrywanie zagrożeń i szkolenia w zakresie świadomości bezpieczeństwa.

Wykrywanie zagrożeń w Google SecOps
Wykrywanie zagrożeń w ramach usługi Google SecOps opiera się na ciągłym strumieniu informacji o zagrożeniach dostarczanych przez zespoły Google ds. bezpieczeństwa. Ta inteligencja służy do tworzenia reguł i alertów, które mogą identyfikować złośliwą aktywność w czasie rzeczywistym. Google SecOps wykorzystuje również analizę zachowań i ocenę ryzyka, aby identyfikować podejrzane wzorce w danych dotyczących bezpieczeństwa. Dzięki temu usługa Google SecOps może wykrywać zagrożenia, których nie można wykryć za pomocą tradycyjnych reguł wykrywania.

Wartość wysokiej jakości, wyselekcjonowanego wykrywania zagrożeń jest oczywista. Organizacje korzystające z Google SecOps mogą zyskać:

  • Ulepszone wykrywanie i segregacja: Google SecOps może pomóc organizacjom szybko identyfikować i klasyfikować incydenty związane z bezpieczeństwem. Dzięki temu organizacje mogą skoncentrować swoje zasoby na najbardziej krytycznych zagrożeniach.
  • Ulepszone badanie i reagowanie: Google SecOps może zapewnić kontekst i statystyki podczas dochodzeń w sprawie bezpieczeństwa. Może to pomóc analitykom szybko zidentyfikować pierwotną przyczynę incydentu oraz opracować i wdrożyć skuteczne strategie reagowania.
  • Wyprzedź krajobraz zagrożeń: Google SecOps może pomóc organizacjom wyprzedzić krajobraz zagrożeń, dostarczając informacje o najnowszych zagrożeniach i lukach w zabezpieczeniach. Informacje te można wykorzystać do opracowania i wdrożenia proaktywnych środków bezpieczeństwa, takich jak wykrywanie zagrożeń i szkolenia w zakresie świadomości bezpieczeństwa.

Migracja SIEM-a

Więc zdecydowałeś się na ten ruch. Twoje podejście do migracji ma kluczowe znaczenie dla utrzymania wymaganych możliwości i jak najszybszego rozpoczęcia wydobywania wartości z nowej platformy. To sprowadza się do ustalania priorytetów. Typowym kompromisem jest świadomość, że chociaż migracja SIEM stanowi okazję do unowocześnienia całego podejścia do badania, wykrywania i reagowania, wiele migracji SIEM kończy się niepowodzeniem, ponieważ organizacje próbują „zagotować ocean”.

Oto nasze najlepsze wskazówki dotyczące planowania i przeprowadzania udanej migracji SIEM:

  • Zdefiniuj cele migracji. Wydaje się to oczywiste, ale migracja SIEM to długotrwały proces, dlatego określenie pożądanych rezultatów (np. szybsze wykrywanie zagrożeń, łatwiejsze raportowanie zgodności, lepsza widoczność, mniejsza praca analityków przy jednoczesnym obniżeniu kosztów) jest silnie skorelowane z sukcesem.
  • Wykorzystaj migrację jako okazję do oczyszczenia domu. To dobry czas na sprzątanie reguły wykrywania i źródła logów i migruj tylko te, których faktycznie używasz. To także dobry czas na ponowną wizytęview procesy selekcji i dostrajania alertów oraz upewnij się, że są one aktualne.
  • Nie migruj każdego źródła dziennika. Przejście na nowy SIEM to świetna okazja, aby zdecydować, jakich dzienników potrzebujesz, czy to ze względów zgodności, czy bezpieczeństwa. Wiele organizacji gromadzi z biegiem czasu ogromną ilość danych dzienników i nie wszystkie z nich są koniecznie wartościowe i istotne. Poświęcając czas na ocenę źródeł dzienników przed ich migracją, możesz usprawnić SIEM i skoncentrować się na danych, które są najważniejsze dla Twoich potrzeb w zakresie bezpieczeństwa i zgodności.
  • Nie migruj całej zawartości. Migracja całej istniejącej zawartości, reguł, alertów, pulpitów nawigacyjnych, wizualizacji i podręczników do wykrywania do nowego SIEM nie zawsze jest konieczna. Poświęć trochę czasu na ocenę bieżącego zasięgu wykrywania i ustal priorytet migracji potrzebnych reguł. Znajdziesz możliwości konsolidacji reguł, eliminowania reguł, które nigdy nie mogłyby zostać uruchomione z powodu braku telemetrii lub błędnej logiki, lub reguł, które są lepiej obsługiwane przez gotową zawartość. Zapytaj dowolnego dostawcę lub partnera wdrożeniowego, który zaleca migrację reguł jeden do jednego.
  • Nadaj priorytet wczesnej migracji treści. Rozpocznij migrację treści wykrywających natychmiast po udostępnieniu źródeł dzienników i wzbogaceń wymaganych dla każdego konkretnego przypadku użycia. To podejście oparte na danych, dopasowujące źródła do przypadków użycia, umożliwia równoległą migrację w celu uzyskania optymalnej wydajności i wyników.
  • Migracja treści wykrywających jest procesem prowadzonym przez człowieka. Przygotuj się do przebudowania treści wykrywania (reguł, alertów, pulpitów nawigacyjnych, modeli itp.) (głównie) od podstaw, wykorzystując swoją starą zawartość jako inspirację. Obecnie nie ma niezawodnej metody automatycznego konwertowania reguł z jednej platformy SIEM na inną. Chociaż niektórzy dostawcy oferują tłumacze składni, zazwyczaj stanowią one dobry punkt wyjścia, a nie doskonale przetłumaczoną regułę, wyszukiwanie lub pulpit nawigacyjny. Powinieneś wziąć maksimum Advantagz tych narzędzi, ale pamiętaj, że nie są one panaceum.
  • Treści służące do wykrywania pochodzą z wielu źródeł. Przeanalizuj swoje potrzeby w zakresie zasięgu wykrywania, a następnie zastosuj lub utwórz przypadki użycia wykrywania, jeśli zajdzie taka potrzeba. Twój dostawca SIEM dostarczy gotową zawartość, z której zawsze powinieneś korzystać, jeśli możesz. Weź także pod uwagę repozytoria reguł społeczności i zewnętrznych dostawców treści wykrywających. Jeśli to konieczne, napisz własne reguły i pamiętaj, że większość reguł, niezależnie od ich pochodzenia, należy dostosować do specyficznego środowiska Twojej organizacji.
  • Opracuj realistyczny harmonogram migracji. Obejmuje to rozliczanie transferu danych, testowanie, dostrajanie, szkolenie i potencjalne nakładanie się działań, w przypadku których może być konieczne równoległe uruchamianie obu systemów. Dobrze zdefiniowany plan migracji pomoże Ci zidentyfikować i złagodzić ryzyko, a także zapewni pomyślne zakończenie migracji. Plan powinien zawierać szczegółowy harmonogram, listę zadań, zasobów i budżet. Należy pamiętać, że duże projekty, takie jak migracja SIEM, należy podzielić na etapy.
  • Testowanie. Zalecamy praktykę testowania SIEM i zawartości wykrywania poprzez regularne wstrzykiwanie danych, które spowodują wykrycie, sprawdzanie analizy i sprawdzanie przepływu danych od wykrycia do podręcznika przypadku do odpowiedzi. Migracja SIEM to idealny moment na przyjęcie rygorystycznego rozwiązania program inżynierii wykrywania obejmuje to takie testy.
  • Przygotuj się na okres przejściowy, podczas którego będziesz korzystać zarówno ze starych, jak i nowych narzędzi. Unikaj destrukcyjnego podejścia „zgraj i zamień”. Migracja etapowa, podczas której migrowane są źródła dzienników i przypadki użycia, pomaga stopniowo kontrolować proces i zmniejsza ryzyko. Zastanów się także dwa razy nad ponownym przyjęciem danych ze starego SIEM do nowego. W niektórych przypadkach możesz mieć możliwość pozostawienia poprzedniego SIEM uruchomionego na dłuższy czas, aby umożliwić dostęp do danych historycznych.
  • Włącz swoje zespoły. Twoja migracja SIEM nie powiedzie się, jeśli analitycy nie będą mogli korzystać z nowego systemu. Dobry plan migracji będzie uwzględniał głębokie możliwości dla Twoich zespołów. Pomyśl o szkoleniu inżynierów w zakresie dołączania i analizowania danych, szkoleniu analityków w zakresie zarządzania przypadkami/badań/segregacji, łowcom zagrożeń w zakresie wykrywania/wyszukiwania anomalii oraz inżynierom ds. wykrywania w zakresie pisania reguł. Czas ma kluczowe znaczenie dla umożliwienia. Najlepiej szkolić personel już na etapie migracji, a nie zanim umiejętności te będą wymagane.
  • Sprowadź pomoc! Jeśli masz szczęście (a może pecha?) jako praktyk lub lider, być może przeszedłeś w swojej karierze jedną lub dwie migracje do SIEM. Dlaczego nie zwrócić się o pomoc do specjalistów, którzy robili to dziesiątki lub setki razy? Profesjonalne zespoły serwisowe od dostawcy i/lub zespoły konsultacyjne od wykwalifikowanych partnerów serwisowych to doskonały wybór. Migracje SIEM to w dużej mierze wysiłki skupiające się na człowieku.

Google-Cloud-SIEM-migracja-rys.- (2)

Kluczowy proces: wybierz partnera wdrożeniowego
Żadna decyzja nie będzie miała większego wpływu na ostateczny sukces migracji SIEM niż wybór partnera wdrożeniowego. Platformy SIEM to złożone, wielkoskalowe systemy korporacyjne. Nie próbuj działać sam; trzymaj się partnera wdrożeniowego, który przeszedł wiele migracji.

Partnerem wdrożeniowym może być po prostu dział usług profesjonalnych nowego dostawcy SIEM. Jednak częściej do przeprowadzenia migracji wybiera się partnera zewnętrznego. Pamiętaj, że migracja SIEM to przedsięwzięcie kierowane przez człowieka. Najlepiej wybrać partnera posiadającego certyfikaty w nowym SIEM i dużą liczbę godnych zaufania partnerów. Pomocne jest również, jeśli mają oni wiedzę specjalistyczną w zakresie SIEM, z którego migrujesz. Poza referencjami, sprytnym sposobem na określenie poziomu doświadczenia partnera w zakresie nowego SIEM jest sprawdzenie forów społeczności, aby sprawdzić, czy zespół wniósł aktywny wkład. Zdaniem autorów wysoce zaangażowany personel partnerów koreluje z pomyślnymi migracjami SIEM. Oprócz szczegółów technicznych migracji SIEM możesz także wybrać partnerów, którzy mają określone doświadczenie w Twojej branży, w Twoim środowisku compliance lub w Twój region lub wszystkie trzy! Umiejętności językowych i zasobów możesz szukać w advantagróżne strefy czasowe. Możesz także poszukać partnerów, którzy obsługują Twój SIEM dla Ciebie lub którzy zapewniają podobne wyniki jak zarządzany dostawca usług bezpieczeństwa, który może częściowo lub całkowicie zlecić SIEM Twojej organizacji.

Kluczowy proces: dokumentowanie bieżącej konfiguracji i przypadków użycia
Wdrożenia SIEM są zwykle ekspansywne, a ich zakres i złożoność stale rosną wraz z upływem lat. Przygotuj się na niewielką ilość dokumentacji lub jej brak. Należy się spodziewać, że personel, który przeprowadzał wstępną konfigurację i dostosowywanie SIEM, często już dawno nie pracuje. Dokładne udokumentowanie konfiguracji i możliwości na początku procesu migracji może zadecydować o sukcesie lub porażce.

  • Udokumentuj zarządzanie tożsamością i dostępem stosowane przez SIEM. Z pewnością będziesz musiał zachować dostęp do danych i funkcji oparty na rolach. Z drugiej strony migracja jest okazją do analizy i rozwiązania problemu rozrostu dostępu, który występuje naturalnie w większości organizacji. Możesz także spojrzeć na proces migracji jako na okazję do unowocześnienia metod uwierzytelniania/autoryzacji, w tym łączenia tożsamości ze standardami korporacyjnymi i wdrażania uwierzytelniania wieloskładnikowego.
  • Przechwyć nazwy gromadzonych typów danych. Należy pamiętać, że niektóre SIEM-y nazywają te nazwy „typem źródła” lub „typem dziennika”. Rejestruj ilość przepływających danych każdego typu, używając gigabajtów dziennie jako metryki. Udokumentuj potok danych dla każdego źródła danych (oparty na agentach, zapytanie API, web hook, pozyskiwanie wiadra w chmurze, interfejs API przetwarzania, odbiornik HTTP itp.) i przechwytywanie konfiguracji analizatora składni SIEM wraz z wszelkimi dostosowaniami.
  • Zbierz zapisane wyszukiwania, definicje pulpitów nawigacyjnych i reguły wykrywania. Wiele SIEM ma również trwałe mechanizmy przechowywania danych, takie jak tabele przeglądowe. Pamiętaj, aby zrozumieć i udokumentować, w jaki sposób są one wypełniane i wykorzystywane.
  • Zrób inwentaryzację integracji z systemami zewnętrznymi. Wiele SIEM integruje się z systemami zarządzania przypadkami, relacyjnymi bazami danych, usługami powiadomień (e-mail, SMS itp.) i platformami analizy zagrożeń.
  • Przechwytuj treść odpowiedzi, taką jak podręczniki, szablony zarządzania sprawami i wszelkie aktywne integracje, które nie zostały jeszcze udokumentowane.

Oprócz zebrania tych ważnych szczegółów technicznych, niezwykle ważne jest poświęcenie czasu na interakcjęview użytkownikom istniejącego SIEM, aby mogli zrozumieć swoje przepływy pracy. Zapytaj, jak korzystają z SIEM, jakie standardowe procedury operacyjne opierają się na SIEM. Ważne jest również zadawanie ogólnych pytań, takich jak to, które zespoły spoza bezpieczeństwa mogą korzystać z SIEM. Na przykładample, nierzadko zdarza się, że zespoły ds. zgodności lub personel operacyjny IT polegają na SIEM. Nieuchwycenie tych przypadków użycia może spowodować, że oczekiwania nie zostaną spełnione na późniejszym etapie procesu migracji.

Kluczowy proces: migracja źródła dziennika
Migracja źródła logów polega na przeniesieniu źródeł danych ze starego SIEM do nowego SIEM. Proces ten zależy od dokumentacji bieżącej konfiguracji zebranej w pliku Proces: Udokumentuj bieżącą konfigurację i użytkowanie sekcja.

W procesie migracji źródła dziennika zazwyczaj wykonywane są następujące kroki:

  1. Odkrycie i inwentaryzacja: Pierwszym krokiem jest wykrycie i zinwentaryzowanie wszystkich źródeł logów, które są aktualnie przetwarzane przez stary SIEM. Można to zrobić różnymi metodami, np. revieww konfiguracji SIEM files lub przy użyciu interfejsów API i powiązanych narzędzi.
  2. Priorytetyzacja: Po odkryciu i zinwentaryzowaniu źródeł dzienników należy nadać im priorytet migracji. Można to zrobić na podstawie wielu czynników, takich jak analizy oparte na źródle dziennika, ilość danych, krytyczność danych, wymagania dotyczące zgodności i złożoność procesu migracji.
  3. Planowanie migracji: Po ustaleniu priorytetów źródeł dzienników należy opracować plan migracji.
  4. Wykonanie migracji: Następnie proces migracji może zostać przeprowadzony zgodnie z planem. Może to obejmować różne zadania, takie jak konfiguracja kanałów w nowym SIEM, instalacja agentów, konfiguracja interfejsów API itp.
  5. Testowanie i walidacja: Po zakończeniu migracji ważne jest przetestowanie i sprawdzenie, czy dane dziennika są prawidłowo pozyskiwane. Wykorzystaj to jako okazję do skonfigurowania alertów dla źródeł danych, które przestały działać.
  6. Dokumentacja: Na koniec ważne jest udokumentowanie nowej konfiguracji źródła dziennika.

Kluczowy proces: migracja treści dotyczących wykrywania i reagowania
Treść wykrywania i reagowania SIEM składa się z reguł, wyszukiwań, podręczników, pulpitów nawigacyjnych i innych konfiguracji, które definiują, o czym wysyłane są alerty SIEM i w jaki sposób pomaga to analitykom w obsłudze tych alertów. Bez odpowiednio skonfigurowanej treści SIEM jest po prostu fantazyjnym sposobem wyszukiwania. To „drogi grep” – termin ukuty przez kolegę autorów kilka lat temu. Zawartość SIEM odgrywa kluczową rolę w definiowaniu zasięgu wykrywania w Twojej organizacji.

  • Reguły wykrywania służą do identyfikowania incydentów bezpieczeństwa. Piszą je inżynierowie ds. wykrywania, którzy mają głęboką wiedzę na temat podmiotów zagrażających bezpieczeństwu oraz typowych dla nich taktyk, technik i procedur (TTP). Reguły wykrywania szukają wzorców reprezentujących te TTP w danych dziennika. Reguły wykrywania często korelują ze sobą różne źródła dzienników i wykorzystują dane dotyczące zagrożeń.
  • Podręczniki odpowiedzi służą do automatyzacji reakcji na alerty zabezpieczeń. Mogą obejmować zadania takie jak wysyłanie powiadomień, izolowanie zaatakowanych hostów, wzbogacanie alertów o dane kontekstowe/analizę zagrożeń oraz uruchamianie skryptów zaradczych.
  • Pulpity nawigacyjne służą do wizualizacji danych dotyczących bezpieczeństwa i śledzenia statusu incydentów bezpieczeństwa. Można ich używać do monitorowania ogólnego stanu bezpieczeństwa organizacji oraz identyfikowania trendów i wzorców.
  • Opracowywanie nowych treści dotyczących wykrywania i reagowania jest procesem iteracyjnym. Ważne jest ciągłe monitorowanie SIEM i wprowadzanie zmian w treści w razie potrzeby. Migracja SIEM to doskonały czas na ulepszenie procesów przy użyciu takich podejść, jak wykrywanie jako kod (DaC).

Kluczowy proces: szkolenie i wspomaganie
Często pomijanym procesem podczas migracji SIEM jest szkolenie użytkowników. SIEM jest prawdopodobnie najważniejszym pojedynczym narzędziem, z którego korzysta zespół ds. operacji bezpieczeństwa. Ich zdolność do skutecznego i produktywnego korzystania z nich będzie odgrywać dużą rolę w powodzeniu migracji i ich zdolności do ochrony Twojej organizacji. Polegaj na swoim dostawcy SIEM i partnerze wdrożeniowym, jeśli chodzi o zapewnienie treści szkoleniowych i realizację. Oto krótka lista tematów, w których Twoje zespoły powinny być włączone.

  • Rejestruj pozyskiwanie i analizowanie kanału
  • Szukaj / Dochodzenie
  • Zarządzanie Sprawami
  • Tworzenie reguł
  • Rozwój pulpitu nawigacyjnego
  • Poradnik / Automatyzacja

Wniosek

  • Ostatecznie migracja ze starszego rozwiązania SIEM do nowoczesnego rozwiązania jest nieunikniona. Chociaż wyzwania mogą wydawać się trudne, dobrze zaplanowana i przeprowadzona migracja może prowadzić do znacznych ulepszeń w zakresie wykrywania zagrożeń, możliwości reagowania i ogólnego stanu bezpieczeństwa.
  • Uważnie rozważając wybór nowego SIEM, wykorzystując mocne strony architektury natywnej w chmurze, włączając zaawansowaną analizę zagrożeń i wykorzystując funkcje oparte na sztucznej inteligencji, organizacje mogą umożliwić swoim zespołom ds. bezpieczeństwa proaktywną obronę przed stale ewoluującymi zagrożeniami. Pomyślny proces migracji obejmuje skrupulatne planowanie, kompleksową dokumentację, strategiczną migrację źródeł logów i treści, dokładne testowanie i kompleksowe szkolenie użytkowników.
  • Współpraca z doświadczonymi specjalistami wdrożeniowymi może być nieoceniona w radzeniu sobie ze złożonością i zapewnieniu płynnego przejścia. Dzięki zaangażowaniu w ciągłe doskonalenie i skupieniu się na inżynierii wykrywania, organizacje mogą w pełni wykorzystać możliwości
  • potencjał ich nowego SIEM i wzmocnić swoje zabezpieczenia na nadchodzące lata.

Dodatkowe materiały do ​​czytania

Więcej informacji znajdziesz na stronie chmura.google.com

Często zadawane pytania

P: Jaki jest cel przewodnika po Wielkiej migracji SIEM?
O: Przewodnik ma na celu pomóc organizacjom w przejściu z przestarzałych rozwiązań SIEM na nowsze, bardziej wydajne opcje wykrywania zagrożeń i reagowania na nie.

P: Jakie korzyści mogę uzyskać z rozwiązania SIEM natywnego w chmurze?
Odp.: Natywne rozwiązania SIEM dla chmury zapewniają skalowalność, efektywność kosztową i skuteczne bezpieczeństwo obciążeń w chmurze dzięki swojej architekturze i możliwościom.

Dokumenty / Zasoby

PDF thumbnailMigracja SIEM-a
Instructions · SIEM Migration, Migration

Odniesienia

Zadaj pytanie

Use this section to ask about setup, compatibility, troubleshooting, or anything missing from this manual.

Zadaj pytanie

Ask about setup, compatibility, troubleshooting, or anything missing from this manual. Name and email are optional.