Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Zespoły centrum operacji zabezpieczeń (SOC) używają scentralizowanych rozwiązań do zarządzania informacjami o zabezpieczeniach i zdarzeniami (SIEM) oraz aranżacji zabezpieczeń, automatyzacji i reagowania (SOAR), aby chronić swoją coraz bardziej zdecentralizowaną infrastrukturę cyfrową. Chociaż starsze moduły SIEM mogą zapewnić dobre pokrycie zasobów lokalnych, architektury lokalne mogą nie mieć wystarczającego pokrycia zasobów w chmurze, takich jak Azure, Microsoft 365, AWS lub Google Cloud Platform (GCP). Natomiast Microsoft Sentinel może pozyskiwać dane zarówno z zasobów lokalnych, jak i chmurowych, zapewniając pokrycie całego środowiska.
W tym artykule omówiono przyczyny migracji ze starszego rozwiązania SIEM i opisano sposób planowania różnych faz migracji.
proces migracji Microsoft Sentinel
Z tego przewodnika dowiesz się, jak przeprowadzić migrację starszego rozwiązania SIEM do Microsoft Sentinel. Prześledź proces migracji w tej serii artykułów, z której dowiesz się, jak przejść przez poszczególne etapy tego procesu.
Uwaga
Aby skorzystać z prowadzonego procesu migracji, dołącz do programu Migration and Modernization Program dla Microsoft Sentinel. Program umożliwia uproszczenie i przyspieszenie migracji, w tym wskazówki dotyczące najlepszych rozwiązań, zasoby i pomoc ekspertów na każdym etapie. Aby dowiedzieć się więcej, skontaktuj się z zespołem ds. konta.
Co to jest usługa Microsoft Sentinel?
Microsoft Sentinel to skalowalne, natywne dla chmury rozwiązanie do zarządzania informacjami o zabezpieczeniach i zdarzeniami (SIEM) oraz aranżacji zabezpieczeń, automatyzacji i reagowania (SOAR). Microsoft Sentinel zapewnia inteligentną analizę zabezpieczeń i analizę zagrożeń w całym przedsiębiorstwie. Microsoft Sentinel udostępnia pojedyncze rozwiązanie do wykrywania ataków, widoczności zagrożeń, proaktywnego wyszukiwania zagrożeń i reagowania na zagrożenia. Dowiedz się więcej o Microsoft Sentinel.
Dlaczego warto przeprowadzić migrację ze starszej wersji rozwiązania SIEM?
Zespoły SOC stoją przed zestawem wyzwań związanych z zarządzaniem starszym rozwiązaniem SIEM:
- Powolna reakcja na zagrożenia. Starsze maszyny SIEM używają reguł korelacji, które są trudne do utrzymania i nieskuteczne w identyfikowaniu pojawiających się zagrożeń. Ponadto analitycy SOC mają do czynienia z dużymi ilościami wyników fałszywie dodatnich, wieloma alertami z wielu różnych składników zabezpieczeń i coraz większymi ilościami dzienników. Analizowanie tych danych spowalnia zespoły SOC w ich wysiłkach na rzecz reagowania na krytyczne zagrożenia w środowisku.
- Wyzwania związane ze skalowaniem. Wraz ze wzrostem tempa napływu danych zespoły SOC stają przed wyzwaniem skalowania systemu SIEM. Zamiast koncentrować się na ochronie organizacji, zespoły SOC muszą inwestować w wdrażanie i utrzymanie infrastruktury oraz są ograniczone przez limity pamięci masowej lub liczby zapytań.
- Ręczna analiza i odpowiedź. Zespoły SOC potrzebują wysoko wykwalifikowanych analityków do ręcznego przetwarzania dużych ilości alertów. Zespoły SOC są przepracowane i trudno znaleźć nowych analityków.
- Złożone i nieefektywne zarządzanie. Zespoły SOC zazwyczaj nadzorują orkiestrację i infrastrukturę, zarządzają połączeniami między rozwiązaniem SIEM i różnymi źródłami danych oraz wykonują aktualizacje i poprawki. Te zadania są często kosztem krytycznej klasyfikacji i analizy.
Natywny dla chmury model SIEM rozwiązuje te problemy. Microsoft Sentinel zbiera dane automatycznie i na dużą skalę, wykrywa nieznane zagrożenia, bada zagrożenia za pomocą sztucznej inteligencji i szybko reaguje na zdarzenia dzięki wbudowanej automatyzacji.
Planowanie migracji
W fazie planowania należy zidentyfikować istniejące składniki SIEM, istniejące procesy SOC oraz zaprojektować i zaplanować nowe przypadki użycia. Dokładne planowanie pozwala zachować ochronę zarówno zasobów opartych na chmurze — microsoft Azure, AWS lub GCP — jak i rozwiązań SaaS, takich jak Microsoft Office 365.
Na tym diagramie opisano fazy wysokiego poziomu, które obejmuje typowa migracja. Każda faza obejmuje jasne cele, kluczowe działania oraz określone wyniki i elementy dostarczane.
Fazy na tym diagramie są wskazówką dotyczącą wykonywania typowej procedury migracji. Rzeczywista migracja może nie obejmować niektórych faz lub może obejmować więcej faz. Zamiast omawiać pełny zestaw faz, zadania i kroki migracji w usłudze Microsoft Sentinel koncentrują się na konkretnych zadaniach i krokach, które są szczególnie ważne podczas migracji do usługi Microsoft Sentinel.
Zagadnienia dotyczące planowania migracji
Zapoznaj się z tymi kluczowymi zagadnieniami dla każdej fazy.
| Faza | Kwestie do rozważenia |
|---|---|
| Odkryj | Identyfikowanie przypadków użycia i priorytetów migracji w ramach tej fazy. |
| Projektowanie | Zdefiniuj szczegółowy projekt i architekturę dla implementacji Microsoft Sentinel. Te informacje zostaną użyte do uzyskania zatwierdzenia od odpowiednich uczestników projektu przed rozpoczęciem fazy implementacji. |
| Wdroż | Podczas wdrażania składników Microsoft Sentinel zgodnie z założeniami fazy projektowania, a przed przeprowadzeniem konwersji całej infrastruktury, warto rozważyć, czy zamiast migrowania wszystkich składników można użyć wbudowanej zawartości Microsoft Sentinel. Możesz zacząć stopniowo korzystać z Microsoft Sentinel, zaczynając od produktu o minimalnej opłacalności (MVP) dla kilku przypadków użycia. W miarę dodawania kolejnych przypadków użycia możesz wykorzystać to wystąpienie Microsoft Sentinel jako środowisko testów akceptacyjnych użytkownika (UAT), aby zweryfikować przypadki użycia. |
| Wdrożyć | Należy przeprowadzić migrację treści i procesów SOC, aby mieć pewność, że dotychczasowy sposób pracy analityków nie zostanie zakłócony. |
Identyfikowanie priorytetów migracji
Użyj tych pytań, aby określić priorytety migracji:
- Jakie są najważniejsze składniki infrastruktury, systemy, aplikacje i dane w Firmie?
- Kto jest Twoimi interesariuszami zaangażowanymi w migrację? Migracja SIEM prawdopodobnie dotknie wielu obszarów twojej firmy.
- Co wpływa na Twoje priorytety? Na przykład największe ryzyko biznesowe, wymagania dotyczące zgodności, priorytety biznesowe itd.
- Jaka jest skala migracji i harmonogram? Jakie czynniki wpływają na daty i terminy. Czy migrujesz cały starszy system?
- Czy masz potrzebne umiejętności? Czy pracownicy ochrony są przeszkoleni i gotowi do migracji?
- Czy w twojej organizacji istnieją jakieś konkretne blokady? Czy jakiekolwiek problemy wpływają na planowanie i planowanie migracji? Na przykład problemy, takie jak wymagania dotyczące personelu i szkolenia, daty licencji, stałe przystanki, konkretne potrzeby biznesowe itd.
Przed rozpoczęciem migracji zidentyfikuj kluczowe przypadki użycia, reguły wykrywania, dane i automatyzację w bieżącym systemie SIEM. Podejście do migracji jako procesu stopniowego. Podchodź świadomie i rozważnie do tego, co migrujesz najpierw, co odkładasz na później, a czego w ogóle nie trzeba migrować. Twój zespół może mieć przytłaczającą liczbę wykryć i scenariuszy użycia skonfigurowanych w obecnie używanym systemie SIEM. Przed rozpoczęciem migracji zdecyduj, które z nich są aktywnie przydatne dla Twojej firmy.
Identyfikowanie przypadków użycia
Podczas planowania fazy odnajdywania skorzystaj z poniższych wskazówek, aby zidentyfikować przypadki użycia.
- Identyfikowanie i analizowanie bieżących przypadków użycia według zagrożeń, systemu operacyjnego, produktu itd.
- Jaki jest zakres? Czy chcesz przeprowadzić migrację wszystkich przypadków użycia lub użyć pewnych kryteriów priorytetyzacji?
- Określ, które zasoby zabezpieczeń mają największe znaczenie dla migracji.
- Jakie przypadki użycia są skuteczne? Dobrym punktem wyjścia jest sprawdzenie, które wykrycia dały wyniki w ciągu ostatniego roku (odsetek wyników fałszywie dodatnich w porównaniu z odsetkiem trafnych wykryć).
- Jakie są priorytety biznesowe, które wpływają na migrację przypadków użycia? Jakie są największe zagrożenia dla Twojej firmy? Jakiego typu problemy najbardziej narażają Twoją firmę na niebezpieczeństwo?
- Określanie priorytetów według charakterystyk przypadków użycia.
- Rozważ ustawienie niższych i wyższych priorytetów. Zalecamy skoncentrowanie się na detekcjach, które zapewniłyby 90-procentowy odsetek trafień prawdziwie dodatnich w strumieniach alertów. Przypadki użycia, które powodują wysoki odsetek wyników fałszywie dodatnich, mogą mieć niższy priorytet w Twojej firmie.
- Wybierz przypadki użycia, które uzasadniają migrację reguł pod względem priorytetu biznesowego i skuteczności:
- Przejrzyj reguły, które nie wyzwoliły żadnych alertów w ciągu ostatnich 6–12 miesięcy.
- Eliminuj zagrożenia niskiego poziomu lub alerty, które rutynowo ignorujesz.
- Przygotowanie procesu weryfikacji. Definiowanie scenariuszy testowych i tworzenie skryptu testowego.
- Czy można zastosować metodologię określania priorytetów przypadków użycia? Możesz zastosować metodologię taką jak MoSCoW, aby ustalić priorytety dla bardziej ograniczonego zestawu przypadków użycia na potrzeby migracji.
Następny krok
W tym artykule przedstawiono sposób planowania i przygotowania do migracji.