Udostępnij za pośrednictwem

Planowanie migracji do usługi Microsoft Sentinel

  • Artykuł

Zespoły centrum operacji zabezpieczeń (SOC) używają scentralizowanych rozwiązań do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) oraz aranżacji zabezpieczeń, automatyzacji i reagowania (SOAR) w celu ochrony coraz bardziej zdecentralizowanego majątku cyfrowego. Chociaż starsze rozwiązania SIEM mogą obsługiwać dobre pokrycie zasobów lokalnych, architektury lokalne mogą mieć niewystarczający zakres dla zasobów w chmurze, takich jak na platformie Azure, microsoft 365, AWS lub google Cloud Platform (GCP). Natomiast usługa Microsoft Sentinel może pozyskiwać dane zarówno z zasobów lokalnych, jak i w chmurze, zapewniając pokrycie całego majątku.

W tym artykule omówiono przyczyny migracji ze starszej wersji rozwiązania SIEM i opisano sposób planowania różnych faz migracji.

Kroki migracji

Z tego przewodnika dowiesz się, jak przeprowadzić migrację starszej wersji rozwiązania SIEM do usługi Microsoft Sentinel. Postępuj zgodnie z procesem migracji w tej serii artykułów, w których dowiesz się, jak poruszać się po różnych krokach w procesie.

Uwaga

W przypadku procesu migracji z przewodnikiem dołącz do programu migracji i modernizacji usługi Microsoft Sentinel. Program umożliwia uproszczenie i przyspieszenie migracji, w tym wskazówki dotyczące najlepszych rozwiązań, zasoby i pomoc ekspertów na każdym etapie. Aby dowiedzieć się więcej, skontaktuj się z zespołem ds. kont.

Krok Artykuł
Zaplanuj migrację Jesteś tutaj
Śledzenie migracji za pomocą skoroszytu Śledzenie migracji usługi Microsoft Sentinel za pomocą skoroszytu
Korzystanie z środowiska migracji rozwiązania SIEM Migracja rozwiązania SIEM (wersja zapoznawcza)
Migrowanie z usługi ArcSight Reguły wykrywania migracji
Migrowanie automatyzacji SOAR
Eksportowanie danych historycznych
Migrowanie z rozwiązania Splunk Rozpocznij od środowiska migracji rozwiązania SIEM
Reguły wykrywania migracji
Migrowanie automatyzacji SOAR
Eksportowanie danych historycznych

Jeśli chcesz przeprowadzić migrację wdrożenia funkcji Obserwacja splunk, dowiedz się więcej o sposobie migracji z rozwiązania Splunk do dzienników usługi Azure Monitor.
Migrowanie z usługi QRadar Reguły wykrywania migracji
Migrowanie automatyzacji SOAR
Eksportowanie danych historycznych
Pozyskiwanie danych historycznych Wybierz docelową platformę Azure do hostowania wyeksportowanych danych historycznych
Wybieranie narzędzia do pozyskiwania danych
Pozyskiwanie danych historycznych na platformę docelową
Konwertowanie pulpitów nawigacyjnych na skoroszyty Konwertowanie pulpitów nawigacyjnych na skoroszyty platformy Azure
Aktualizowanie procesów SOC Aktualizowanie procesów SOC

Co to jest usługa Microsoft Sentinel?

Microsoft Sentinel to skalowalne, natywne dla chmury rozwiązanie do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) oraz aranżacja zabezpieczeń, automatyzacja i reagowanie (SOAR). Usługa Microsoft Sentinel zapewnia inteligentną analizę zabezpieczeń i analizę zagrożeń w całym przedsiębiorstwie. Usługa Microsoft Sentinel udostępnia jedno rozwiązanie do wykrywania ataków, widoczności zagrożeń, proaktywnego wyszukiwania zagrożeń i reagowania na zagrożenia. Dowiedz się więcej o usłudze Microsoft Sentinel.

Dlaczego warto przeprowadzić migrację ze starszej wersji rozwiązania SIEM?

Zespoły SOC stoją przed zestawem wyzwań podczas zarządzania starszym rozwiązaniem SIEM:

  • Powolne reagowanie na zagrożenia. Starsze rozwiązania SIEM używają reguł korelacji, które są trudne do utrzymania i nieskuteczne do identyfikowania pojawiających się zagrożeń. Ponadto analitycy SOC mają do czynienia z dużą ilością wyników fałszywie dodatnich, wieloma alertami z wielu różnych składników zabezpieczeń i coraz większymi ilościami dzienników. Analizowanie tych danych spowalnia zespoły SOC w swoich wysiłkach w celu reagowania na krytyczne zagrożenia w środowisku.
  • Wyzwania związane ze skalowaniem. W miarę wzrostu szybkości pozyskiwania danych zespoły SOC są kwestionowane ze skalowaniem rozwiązania SIEM. Zamiast skupiać się na ochronie organizacji, zespoły SOC muszą inwestować w konfigurację i konserwację infrastruktury i są powiązane z limitami magazynu lub zapytań.
  • Ręczna analiza i odpowiedź. Zespoły SOC potrzebują wysoko wykwalifikowanych analityków, aby ręcznie przetwarzać duże ilości alertów. Zespoły SOC są przepracowane, a nowi analitycy są trudne do znalezienia.
  • Złożone i nieefektywne zarządzanie. Zespoły SOC zwykle nadzorują aranżację i infrastrukturę, zarządzają połączeniami między rozwiązaniem SIEM i różnymi źródłami danych oraz wykonują aktualizacje i poprawki. Te zadania są często kosztem krytycznej klasyfikacji i analizy.

Rozwiązanie SIEM natywne dla chmury rozwiązuje te wyzwania. Usługa Microsoft Sentinel zbiera dane automatycznie i na dużą skalę, wykrywa nieznane zagrożenia, bada zagrożenia za pomocą sztucznej inteligencji i szybko reaguje na zdarzenia dzięki wbudowanej automatyzacji.

Zaplanuj migrację

W fazie planowania identyfikujesz istniejące składniki rozwiązania SIEM, istniejące procesy SOC oraz projektujesz i planujesz nowe przypadki użycia. Dokładne planowanie pozwala zachować ochronę zasobów opartych na chmurze — Microsoft Azure, AWS lub GCP — oraz rozwiązań SaaS, takich jak Microsoft Office 365.

Na tym diagramie opisano fazy wysokiego poziomu, które obejmuje typowa migracja. Każda faza obejmuje jasne cele, kluczowe działania oraz określone wyniki i elementy dostarczane.

Fazy na tym diagramie są wskazówkami dotyczącymi wykonywania typowej procedury migracji. Rzeczywista migracja może nie zawierać niektórych faz lub może zawierać więcej faz. Zamiast przeglądać pełny zestaw faz, artykuły w tym przewodniku przejrzyją konkretne zadania i kroki, które są szczególnie ważne dla migracji usługi Microsoft Sentinel.

Diagram faz migracji usługi Microsoft Sentinel.

Kwestie wymagające rozważenia

Zapoznaj się z tymi kluczowymi zagadnieniami dotyczącymi każdej fazy.

Faza Kwestie wymagające rozważenia
Odnajdywanie Identyfikowanie przypadków użycia i priorytetów migracji w ramach tej fazy.
Projektowanie Zdefiniuj szczegółowy projekt i architekturę implementacji usługi Microsoft Sentinel. Te informacje będą używane do uzyskania zatwierdzenia od odpowiednich uczestników projektu przed rozpoczęciem fazy implementacji.
Implementowanie Podczas implementowania składników usługi Microsoft Sentinel zgodnie z fazą projektowania i przed przekonwertowaniem całej infrastruktury należy rozważyć, czy możesz używać gotowej zawartości usługi Microsoft Sentinel zamiast migrować wszystkie składniki. Możesz stopniowo korzystać z usługi Microsoft Sentinel, począwszy od minimalnej opłacalnej wersji produktu (MVP) dla kilku przypadków użycia. W miarę dodawania kolejnych przypadków użycia możesz użyć tego wystąpienia usługi Microsoft Sentinel jako środowiska testowania akceptacyjnego użytkownika (UAT), aby zweryfikować przypadki użycia.
Operacjonalizowanie Migrujesz zawartość i procesy SOC, aby upewnić się, że istniejące środowisko analityka nie jest zakłócane.

Identyfikowanie priorytetów migracji

Użyj tych pytań, aby przypinać priorytety migracji:

  • Jakie są najbardziej krytyczne składniki infrastruktury, systemy, aplikacje i dane w firmie?
  • Kim są Twoi uczestnicy migracji? Migracja rozwiązania SIEM może dotknąć wielu obszarów twojej firmy.
  • Co wpływa na priorytety? Na przykład największe ryzyko biznesowe, wymagania dotyczące zgodności, priorytety biznesowe itd.
  • Jaka jest skala i oś czasu migracji? Jakie czynniki wpływają na daty i terminy. Czy przeprowadzasz migrację całego starszego systemu?
  • Czy masz potrzebne umiejętności? Czy personel ds. zabezpieczeń jest przeszkolony i gotowy do migracji?
  • Czy w twojej organizacji istnieją jakieś konkretne blokady? Czy jakiekolwiek problemy wpływają na planowanie i planowanie migracji? Na przykład problemy, takie jak wymagania dotyczące personelu i szkolenia, daty licencji, twarde przystanki, konkretne potrzeby biznesowe itd.

Przed rozpoczęciem migracji zidentyfikuj kluczowe przypadki użycia, reguły wykrywania, dane i automatyzację w bieżącym rozwiązaniu SIEM. Podejście do migracji jako proces stopniowy. Bądź celowy i przemyślany, co najpierw przeprowadzasz migrację, co jest depriorytowane i co faktycznie nie musi być migrowane. Twój zespół może mieć przytłaczającą liczbę wykryć i przypadków użycia uruchomionych w bieżącym rozwiązaniu SIEM. Przed rozpoczęciem migracji zdecyduj, które z nich są aktywnie przydatne dla Twojej firmy.

Identyfikowanie przypadków użycia

Podczas planowania fazy odnajdywania skorzystaj z poniższych wskazówek, aby zidentyfikować przypadki użycia.

  • Zidentyfikuj i przeanalizuj bieżące przypadki użycia według zagrożeń, systemu operacyjnego, produktu itd.
  • Jaki jest zakres? Czy chcesz przeprowadzić migrację wszystkich przypadków użycia lub użyć niektórych kryteriów określania priorytetów?
  • Zidentyfikuj, które zasoby zabezpieczeń są najbardziej krytyczne dla migracji.
  • Jakie przypadki użycia są skuteczne? Dobrym miejscem wyjścia jest przyjrzenie się, które wykrycia przyniosły wyniki w ciągu ostatniego roku (fałszywie dodatnie i dodatnie).
  • Jakie są priorytety biznesowe wpływające na migrację przypadków użycia? Jakie są największe zagrożenia dla Twojej firmy? Jakiego typu problemy najbardziej zagrażają Twojej firmie?
  • Określanie priorytetów według cech przypadków użycia.
    • Rozważ ustawienie niższych i wyższych priorytetów. Zalecamy skoncentrowanie się na wykrywaniu, które wymuszałyby 90 procent wyników prawdziwie dodatnich dla kanałów informacyjnych alertów. Przypadki użycia, które powodują wysoką liczbę wyników fałszywie dodatnich, mogą być niższym priorytetem dla Twojej firmy.
    • Wybierz przypadki użycia, które uzasadniają migrację reguł pod względem priorytetu biznesowego i skuteczności:
      • Przejrzyj reguły, które nie wyzwoliły żadnych alertów w ciągu ostatnich 6 do 12 miesięcy.
      • Wyeliminuj zagrożenia niskiego poziomu lub alerty, które rutynowo ignorujesz.
  • Przygotuj proces weryfikacji. Definiowanie scenariuszy testowych i tworzenie skryptu testowego.
  • Czy można zastosować metodologię do określania priorytetów przypadków użycia? Możesz postępować zgodnie z metodologią, taką jak MoSCoW, aby określić priorytetowy zestaw przypadków użycia na potrzeby migracji.

Następny krok

W tym artykule przedstawiono sposób planowania i przygotowania do migracji.

Śledzenie migracji za pomocą skoroszytu