Планирование миграции на Microsoft Sentinel

Команды центра информационной безопасности (SOC) используют централизованные решения для управления информационной безопасностью и событиями безопасности (SIEM) и оркестрации, автоматизации и реагирования (SOAR), чтобы защитить все более децентрализованное цифровое пространство. Хотя устаревшие SIEM могут обеспечивать достаточный охват локальных ресурсов, у локальных архитектур может быть недостаточно средств для защиты облачных ресурсов, таких как ресурсы Azure, Microsoft 365, AWS или Google Cloud Platform (GCP). В противоположность этому, Microsoft Sentinel может принимать данные как из локальных, так и из облачных ресурсов, обеспечивая охват всего пространства.

В этой статье объясняется, зачем нужно переходить с устаревшей SIEM и как спланировать различные этапы миграции.

Шаги миграции

Из этого руководства вы узнаете, как перейти с устаревшей SIEM на Microsoft Sentinel. Воспользуйтесь для миграции этой серией статей, в которых объясняется, как пройти каждый из этапов этого процесса.

Примечание.

Для интерактивного процесса миграции присоединитесь к программе миграции и модернизации Microsoft Sentinel. Программа позволяет упростить и ускорить миграцию, включая рекомендации, ресурсы и экспертную помощь на каждом этапе. Чтобы узнать больше, обратитесь к вашей группе учетных записей.

Этап	Статья
Планирование миграции	Это текущая статья.
Отслеживание миграции с помощью книги	Отслеживание миграции на Microsoft Sentinel с помощью книги
Использование интерфейса миграции SIEM	Миграция SIEM (предварительная версия)
Миграция из ArcSight	• Перенос правил обнаружения • Перенос автоматизации SOAR • Экспорт исторических данных
Миграция со Splunk	• Начало работы с миграцией SIEM • Перенос правил обнаружения • Перенос автоматизации SOAR • Экспорт исторических данных Если вы хотите перенести развертывание Splunk Observability, узнайте больше о том, как выполнить миграцию из Splunk в журналы Azure Monitor.
Миграция из QRadar	• Перенос правил обнаружения • Перенос автоматизации SOAR • Экспорт исторических данных
Прием исторических данных	• Выбор целевой платформы Azure для размещения экспортированных исторических данных • Выбор средства приема данных • Прием исторических данных на целевую платформу
Преобразование панелей мониторинга в книги	Преобразование панелей мониторинга в книги Azure
Обновление процессов SOC	Обновление процессов SOC

Что такое Microsoft Sentinel?

Microsoft Sentinel — это масштабируемое ориентированное на облако решение для управления информационной безопасностью и событиями безопасности (SIEM), а также для автоматического реагирования с помощью оркестрации операций защиты (SOAR). Microsoft Sentinel предоставляет интеллектуальную аналитику безопасности и аналитику угроз на предприятии. В Microsoft Sentinel реализовано единое решение для обнаружения атак, отображения угроз, их упреждающего поиска и реагирования на них. Узнайте больше сведения о Microsoft Sentinel.

Зачем переходить с устаревшей SIEM?

Команды центра информационной безопасности (SOC) сталкиваются с целым рядом проблем при управлении устаревшей SIEM:

• Медленное реагирование на угрозы. Устаревшие SIEM используют правила корреляции, которые сложны в обслуживании и неэффективны для выявления возникающих угроз. Кроме того, аналитики SOC сталкиваются с большим количеством ложных срабатываний, множеством оповещений от различных компонентов системы безопасности и растущим объемом журналов. Анализ этих данных усложняет командам SOC задачу реагирования на критические угрозы в среде.
• Масштабирование проблем. По мере роста скорости приема данных команды SOC сталкиваются с проблемой масштабирования своих SIEM. Вместо того чтобы сосредоточиться на защите организации, специалистам SOC приходится тратить силы на настройку и обслуживание инфраструктуры, и они связаны ограничениями в отношении хранилища или запросов.
• Анализ и реагирование вручную. Командам SOC требуются высококвалифицированные аналитики для обработки вручную большого количества предупреждений. Специалисты SOC перегружены, и новых аналитиков трудно найти.
• Сложное и неэффективное управление. Команды SOC обычно контролируют оркестрацию и инфраструктуру, управляют подключениями между SIEM и различными источниками данных, а также выполняют обновления и исправления. Эти задачи часто отвлекают силы и средства от критического рассмотрения и анализа.

Облачная система SIEM решает эти проблемы. Microsoft Sentinel автоматически собирает данные в большом масштабе, обнаруживает неизвестные угрозы, анализирует их с применением искусственного интеллекта и быстро реагирует на инциденты с помощью встроенной автоматизации.

Планирование миграции

На этапе планирования определяются существующие компоненты SIEM и существующие процессы SOC, а также разрабатываются и планируются новые варианты использования. Тщательное планирование позволяет обеспечить защиту облачных ресурсов (Microsoft Azure, AWS или GCP) и решений SaaS, таких как Microsoft Office 365.

На этой схеме представлено общее описание этапов, из которых обычно состоит процесс миграции. Каждый этап включает четкие цели, ключевые меры, а также определенные конечные результаты.

Этапы на этой схеме могут послужить основой для типичной процедуры миграции. Реальный процесс миграции может не содержать некоторые из них или включать дополнительные этапы. Вместо подробного анализа каждого этапа в статьях этого руководства рассматриваются конкретные задачи и действия, которые особенно важны для миграции на Microsoft Sentinel.

Рекомендации

Ознакомьтесь с этими ключевыми рекомендациями по каждому этапу.

Этап	Фактор
Обнаружить	На этом этапе определите варианты использования и приоритеты миграции.
Проект	Определите подробную структуру и архитектуру для реализации Microsoft Sentinel. Эти сведения будут использоваться для получения утверждения от соответствующих заинтересованных лиц перед началом этапа реализации.
Внедрение	По мере реализации компонентов Microsoft Sentinel согласно плану, выработанному на этапе проектирования, и перед преобразованием всей инфраструктуры подумайте, нельзя ли вместо переноса всех компонентов использовать встроенное готовое содержимое Microsoft Sentinel. Вы можете переходить на Microsoft Sentinel постепенно, начиная с продукта с минимальной функциональностью для отдельных вариантов использования. При добавлении дополнительных сценариев этот экземпляр Microsoft Sentinel может послужить средой пользовательского приемочного тестирования (UAT) для их проверки.
Ввод в эксплуатацию	Вы переносите свое содержимое и процессы SOC таким образом, чтобы не нарушить существующие процессы анализа.

Определение приоритетов миграции

Воспользуйтесь вопросами ниже, чтобы определить для себя приоритеты миграции.

• Каковы наиболее важные компоненты инфраструктуры, системы, приложения и данные в вашей организации?
• Кто является лицами, заинтересованными в миграции? Миграция SIEM, скорее всего, затрагивает различные сферы вашей деятельности.
• Что определяет ваши приоритеты? Это может быть максимальный бизнес-риск, требования к соответствию, приоритеты бизнеса и т. д.
• Какова масштабы и график миграции? Какие факторы влияют на даты и сроки? Вы переносите всю устаревшую систему?
• У вас есть необходимые навыки? Готовы ли к миграции ваши специалисты по безопасности?
• Существуют ли в вашей организации какие-то конкретные препятствия и ограничители? Влияют ли какие-либо проблемы на планирование и график миграции? Например, это могут быть требования к персоналу и обучению, даты истечения срока действия лицензий, жесткие ограничители, конкретные потребности бизнеса и т. д.

Перед началом миграции определите ключевые варианты использования, правила обнаружения, данные и механизмы автоматизации в текущей SIEM-системе. Рассматривайте миграцию как постепенный процесс. Осознанно и вдумчиво отнеситесь к тому, что вы переносите в первую очередь, чему отдаете приоритет и что на самом деле не нужно переносить. В текущей версии SIEM ваша команда может иметь дело с колоссальным числом срабатываний и вариантов использования. Перед началом миграции определите, какие из них действительно иметь смысл для вашей компании.

Определение вариантов использования

При планировании этапа обнаружения используйте приведенные ниже рекомендации, которые помогут вам определить ваши варианты использования.

• Определите и проанализируйте текущие варианты использования по угрозам, операционным системам, продуктам и т. д.
• Каков масштаб миграции? Вы хотите перенести все варианты использования, или у вас есть какие-то критерии приоритета?
• Определите, какие ресурсы безопасности наиболее важны для миграции.
• Какие варианты использования эффективны? Для начала имеет смысл проверить, какие случаи обнаружения дали результаты за прошедший год (отношение числа ложноположительных к числу положительных срабатываний).
• Каковы приоритеты бизнеса, влияющие на миграцию вариантов использования? В чем заключаются наибольшие риски для вашего бизнеса? Проблемы какого плана в наибольшей степени угрожают вашей деятельности?
• Расставьте приоритеты в зависимости от характеристик вариантов использования.
  • Подумайте, какие приоритеты можно повысить, а какие — понизить. Мы рекомендуем сосредоточиться на обнаружениях, которые будут обеспечивать 90 процентов истинноположительных результатов в веб-каналах оповещений. Варианты использования с высоким уровнем ложноположительных результатов могут быть более низкий приоритет.
  • Выберите варианты использования, которые оправдывают миграцию правил с точки зрения приоритета бизнеса и эффективности:
    • Просмотрите правила, которые не активировали никаких оповещений за последние 6–12 месяцев.
    • Удалите низкоуровневые угрозы или оповещения, которые обычно игнорируются.
• Подготовьте процесс проверки. Определите сценарии тестирования и составьте тестовый скрипт.
• Можно ли применить ту или иную методику для назначения приоритетов вариантам использования? Чтобы подобрать более узкий набор вариантов использования для миграции, можно воспользоваться такой методикой, как, например, MoSCoW.

Следующий шаг

Из этой статьи вы узнали, как спланировать миграцию и подготовиться к ней.

Отслеживание миграции с помощью книги