Google Cloud SIEM migrācija

Informācija par produktu

Specifikācijas:

• Produkta nosaukums: SIEM migrācijas rokasgrāmata
• Autors: Nezināms
• Publicēts gads: Nav norādīts

Produkta lietošanas instrukcijas

• Jauna SIEM izvēle
  Sāciet, uzdodot sev un savai komandai dažus galvenos jautājumus, lai palīdzētu atklāt katra piedāvājuma stiprās un vājās puses. Ātri identificējiet katra SIEM lielvaras un plānojiet, kā jūsu organizācija var gūt panākumustage no tiem.
• Mākoņvietējā SIEM
  Apsveriet, vai SIEM piedāvā primārais mākoņpakalpojumu sniedzējs (CSP), kas var nodrošināt pasaules mēroga infrastruktūru par vairumtirdzniecības cenām. Mākoņvietējie SIEM izvietošanas modeļi nodrošina mākoņa darba slodzes mērogojamību un dinamisku pārvaldību.
• SIEM ar intelektu
  Pārbaudiet, vai SIEM pārdevējs piedāvā nepārtrauktu frontālās draudu izlūkošanas informāciju, lai veicinātu jaunu un jaunu apdraudējumu atklāšanu.

SIEM ir miris, lai dzīvo SIEM

Ja esat līdzīgs mums, jūs varat būt pārsteigts, ka 2024. gadā drošības informācijas un notikumu pārvaldības (SIEM) sistēmas joprojām ir lielākās daļas drošības operāciju centru (SOC) mugurkauls. SIEM vienmēr ir izmantoti drošības datu apkopošanai un analīzei no visas jūsu organizācijas, lai palīdzētu jums ātri un efektīvi identificēt, izmeklēt un reaģēt uz draudiem. Taču realitāte ir tāda, ka mūsdienu modernajiem SIEM ir maz līdzības ar tiem, kas tika izveidoti pirms 15+ gadiem, pirms parādījās mākoņdatošanas arhitektūras, lietotāju entītiju un uzvedības analīzes (UEBA), drošības koordinācijas, automatizācijas un reaģēšanas (SOAR), uzbrukuma virsmas pārvaldības. un, protams, AI, lai nosauktu dažus.
Mantotie SIEM bieži ir lēni, apgrūtinoši un grūti lietojami. To mantotā arhitektūra bieži neļauj tiem mērogot, lai uzņemtu liela apjoma žurnālu avotus, un tie var nespēt sekot līdzi jaunākajiem draudiem vai atbalstīt jaunākās funkcijas un iespējas. Tie var nepiedāvāt elastību, lai atbalstītu jūsu organizācijas īpašās prasības, vai arī tie nav piemēroti vairāku mākoņu stratēģijai, kas mūsdienās ir realitāte lielākajai daļai organizāciju. Visbeidzot, tie var būt slikti novietoti, lai gūtu panākumustage no jaunākajiem tehnoloģiju sasniegumiem, piemēram, mākslīgais intelekts (AI).
Tātad, lai gan SIEM ar jebkuru citu nosaukumu var izklausīties tikpat jauki, drošības operāciju komandas turpinās paļauties uz to
“drošības operāciju platformas” (vai kāds no tiem nosaukums ir) pārskatāmā nākotnē draudu atklāšanai, izmeklēšanai un reaģēšanai.

Lielā SIEM migrācija ir sākusies

SIEM migrācija nav nekas jauns. Organizācijas ir iemīlējušās savā esošajā SIEM un gadiem ilgi meklējušas jaunākas un labākas iespējas. Iespējams, organizācijas biežāk ir paciešas ar savu neefektīvo un/vai pārāk dārgo SIEM ilgāk, nekā tās būtu gribējušas, daļēji tāpēc, ka ir bažas par SIEM migrācijas sarežģītību.
Taču pēdējie mēneši ir ieviesuši tektoniskas izmaiņas SIEM telpā, kuras nevar novērtēt par zemu. Nav šaubu, ka SIEM ainava tiks pilnībā pārveidota dažu īsu gadu laikā, radot jaunus tirgus līderus un redzot lejupslīdi un, iespējams, pat to "dinozauru" nāvi, kuri gadu desmitiem ir valdījuši SIEM zemē (vai " eons” kiberdrošības izteiksmē). Šie notikumi neapšaubāmi paātrinās migrāciju no mantotajām SIEM platformām uz modernajām, un daudzas organizācijas tagad saskaras ar realitāti, kad tām vajadzētu migrēt, nevis migrēt.

Šeit ir kopsavilkums par svarīgākajām darbībām tikai pēdējo 9 mēnešu laikā:

Pašreizējā SIEM trūkumu identificēšana ir daudz vienkāršāka nekā labākā nomaiņas izvēle un veiksmīgas migrācijas veikšana. Ir arī svarīgi atzīmēt, ka SIEM izvietošanas kļūmes var izraisīt arī procesi (un dažkārt cilvēki), nevis tikai tehnoloģija. Šeit tiek izmantots šis dokuments. Autori ir redzējuši simtiem SIEM migrāciju kā praktiķi, analītiķi un pārdevēji vairāku gadu desmitu laikā. Apskatīsim populārākos SIEM migrācijas padomus 2024. gadam. Mēs sadalīsim šo sarakstu kategorijās un iekļausim mācības, ko esam guvuši no ierakumiem.

Jauna SIEM izvēle

Sāciet, uzdodot sev un savai komandai dažus galvenos jautājumus, lai palīdzētu atklāt katra piedāvājuma stiprās un vājās puses. Mēs iesakām ātri noteikt katra SIEM “lielspējas” un plānot, kā jūsu organizācija var gūt panākumustage no tiem. Piemēram,ample:

• Mākoņvietējā SIEM
  
  • Vai SIEM piedāvā primārais mākoņpakalpojumu sniedzējs (CSP), kas var nodrošināt pasaules mēroga infrastruktūru par vairumtirdzniecības cenām?
    Mūsu pieredze liecina, ka SIEM pakalpojumu sniedzējiem, kas darbojas mākoņos, kas viņiem nepieder, ir grūtības pārvarēt neizbēgamo “margin stacking”, kas nāk ar šādiem modeļiem. Šis jautājums ir nesaraujami saistīts ar izmaksām.
    Mākoņvietējais SIEM izvietošanas modelis arī ļauj SIEM palielināt un samazināt, reaģējot uz jauniem draudiem, kā arī pārvaldīt organizācijas mākoņa darba slodzes dinamisko raksturu. Mākoņu infrastruktūra un lietojumprogrammas var ievērojami pieaugt dažu minūšu laikā. Mākoņvietējā SIEM arhitektūra ļauj drošības komandu kritiskajiem rīkiem mērogot tādā pašā ātrumā līdz ar lielākas organizācijas vajadzībām.
    Mākoņvietējie SIEM ir arī labi novietoti, lai nodrošinātu mākoņa darba slodzi. Tie nodrošina zema latentuma datu ievadi no mākoņpakalpojumiem un piegādā ar noteikšanas saturu, lai palīdzētu identificēt mākonī izplatītos uzbrukumus.
• SIEM ar intelektu
  • Vai SIEM pārdevējam ir nepārtraukta draudu izlūkošanas informācijas plūsma, kas palīdz nekavējoties atklāt jaunus un jaunus draudus?
    Šie zelta avoti parasti rodas no augstākā līmeņa incidentu reaģēšanas prakses, plaša patērētāju IaaS vai SaaS mākoņa piedāvājumu darbības vai globālās drošības programmatūras produktu vai operētājsistēmu instalēšanas bāzes.
    Draudi izlūkošana ir ļoti svarīga organizācijām, lai tās varētu efektīvi atklāt, šķirot, izmeklēt drošības incidentus un reaģēt uz tiem. Frontline draudu izlūkošana jo īpaši ir vērtīga, jo tā nodrošina reāllaika informāciju par jaunākajiem draudiem un ievainojamībām. Šo informāciju var izmantot, lai ātri identificētu drošības incidentus un noteiktu to prioritātes, kā arī izstrādātu un ieviestu efektīvas reaģēšanas stratēģijas.
    Lai uzlabotu draudu noteikšanas un reaģēšanas iespējas reāllaikā, drošības organizācijas cenšas netraucēti integrēt draudu izlūkošanas informāciju un saistīto datu plūsmas savās drošības operāciju darbplūsmās un rīkos. Grozāmais krēsls, copy-paste un trauslā integrācija starp SIEM un draudu informācijas avotiem ir produktivitātes aizplūšana, un tiem ir negatīva ietekme uz komandas efektivitāti un analītiķu pieredzi.
• SIEM ar atlasītu saturu
  • Vai SIEM piedāvā plašu atbalstīto parsētāju un noteikšanas noteikumu un atbildes darbību bibliotēku?
    Padoms: Daži SIEM pārdevēji paļaujas gandrīz tikai uz savu lietotāju kopienu vai tehniskās alianses partneriem, lai izveidotu parsētājus populārām datu plūsmām. Lai gan plaukstoša lietotāju kopiena ir būtiska, pārmērīga paļaušanās uz to, lai nodrošinātu tādas pamatiespējas kā parsēšana, ir problēma. Parasētāji parastajiem datu avotiem ir jāizveido, jāuztur un jāatbalsta tieši SIEM piegādātājam. Izmantojiet to pašu pieeju, aplūkojot noteikšanas kārtulas saturu. Kopienas noteikumi ir būtiski, taču jums vajadzētu sagaidīt, ka jūsu pārdevējs izveidos un uzturēs stabilu galveno noteikšanu bibliotēku, kas tiek regulāri pārbaudīta, atbalstīta un uzlabota. Augstas kvalitātes, atlasīta draudu noteikšana ir ļoti svarīga organizācijām, lai tās varētu efektīvi pārvaldīt savu drošības stāvokli. Google SecOps nodrošina jaunu un jaunu apdraudējumu tūlītēju noteikšanu, kas var palīdzēt organizācijām ātri identificēt drošības incidentus un reaģēt uz tiem.
• SIEM ar AI
  • Vai SIEM ir iekļauts AI, un vai tas ir piemērots, lai turpinātu inovācijas?
    Mākslīgā intelekta lomu SIEM joprojām pilnībā neizprot (un vēl mazāk to īsteno) neviens pārdevējs. Tomēr vadošajiem SIEM jau šodien tiek piegādātas taustāmas AI vadītas funkcijas. Šīs funkcijas ietver dabiskās valodas apstrādi meklēšanas un kārtulu izteikšanai, automatizētu gadījumu apkopošanu un ieteicamās atbildes darbības. Lielākā daļa klientu un nozares novērotāju uzskata, ka tādas funkcijas kā draudu noteikšana un paredzamā pretinieku analīze ir daži no AI vadīto SIEM iespēju “svētajiem grāliem”. Mūsdienās neviens SIEM nepiedāvā šīs funkcijas. Izvēloties jaunu SIEM 2024. gadā, apsveriet, vai pārdevējs iegulda nepieciešamos resursus, lai panāktu nozīmīgu progresu šo pārveidošanas iespēju jomā.

Google Security Operations (iepriekš Chronicle) ir uz mākoņiem balstīts SIEM risinājums, ko piedāvā Google Cloud. Tas ir izstrādāts, lai palīdzētu organizācijām centralizēti apkopot žurnālus un citus drošības telemetrijas datus, pēc tam atklāt, izmeklēt un reaģēt uz drošības apdraudējumiem reāllaikā. 

• Atklājiet drošības apdraudējumus un piešķiriet tiem prioritāti: Google SecOps gatavās noteikšanas kārtulas nosaka drošības apdraudējumus un nosaka to prioritātes reāllaikā. Tas palīdz organizācijām ātri un efektīvi reaģēt uz vissvarīgākajiem draudiem.
• Izmeklēt drošības incidentus: Google SecOps nodrošina centralizētu platformu drošības incidentu izmeklēšanai. Tas palīdz organizācijām ātri un efektīvi savākt pierādījumus un noteikt incidenta apjomu.
• Reaģējiet uz drošības incidentiem: Google SecOps nodrošina dažādus rīkus, lai palīdzētu organizācijām reaģēt uz drošības incidentiem, piemēram, automatizētu atlīdzināšanu. Draudi mednieki uzskata, ka platformas ātrums, meklēšanas iespējas un pielietotā draudu informācija ir nenovērtējama, lai izsekotu uzbrucējiem, kuri varētu būt izslīdējuši cauri spraugām. Tas palīdz organizācijām ātri un efektīvi ierobežot un mazināt drošības incidentu ietekmi.
  Google SecOps ir vairākas priekšrocībastagir salīdzinājumā ar tradicionālajiem SIEM risinājumiem, tostarp:
• Mākslīgais intelekts: Google SecOps izmanto Google Gemini AI tehnoloģiju, lai ļautu aizstāvjiem sekunžu laikā meklēt milzīgu datu apjomu, izmantojot dabisku valodu, un ātrāk pieņemt lēmumus, atbildot uz jautājumiem, apkopojot notikumus, meklējot draudus, veidojot noteikumus un veicot ieteicamās darbības, pamatojoties uz izmeklēšanas kontekstu. Drošības komandas var arī izmantot Gemini drošības operācijās, lai viegli izveidotu atbildes rokasgrāmatas, pielāgotu konfigurācijas un iekļautu labāko praksi, palīdzot vienkāršot laikietilpīgos uzdevumus, kuriem nepieciešamas dziļas zināšanas.
• Lietišķā draudu izlūkošana: Google SecOps sākotnēji integrējas ar Google Threat Intelligence (GTI), kas ietver apvienoto izlūkdatu no VirusTotal, Mandiant Threat Intelligence un iekšējiem Google Threat izlūkošanas avotiem, lai palīdzētu klientiem atklāt vairāk draudu ar mazāku piepūli.
• Mērogojamība: Google SecOps ir uz mākoņiem balstīts risinājums, tāpēc tas var izmantot Google mākoņa nodrošināto hipermēroga mākoņa infrastruktūru, lai apmierinātu jebkuras organizācijas jaudas un veiktspējas vajadzības neatkarīgi no lieluma.
• Integrācija ar Google Cloud: Google SecOps ir cieši integrēts ar citiem Google mākoņa produktiem un pakalpojumiem, piemēram, Google Cloud Security Command Center Enterprise (SCCE). Šī integrācija ļauj organizācijām viegli pārvaldīt savas drošības darbības vienā, vienotā platformā. Google SecOps ir labākais SIEM GCP pakalpojumu telemetrijai, un tajā ir iekļauts arī ārpus kastes noteikšanas saturs citiem galvenajiem mākoņpakalpojumu sniedzējiem, piemēram, AWS un Azure.

Lietišķā draudu izlūkošana pakalpojumā Google SecOps
Google SecOps ļauj drošības komandām pārvaldīt un analizēt drošības datus, kas tiek automātiski korelēti un bagātināti ar draudu datiem. Integrējot draudu izlūkošanas informāciju tieši jūsu SIEM, organizācijas var:

• Uzlabojiet noteikšanu un šķirošanu: Draudi datus var izmantot tieši, lai izveidotu noteikumus, kas var palīdzēt identificēt ļaunprātīgu darbību reāllaikā. Šie dati tiek izmantoti arī, lai pievienotu kontekstu citiem brīdinājumiem un automātiski pielāgotu brīdinājuma uzticamību. Tas palīdz organizācijām ātri atklāt un sakārtot drošības incidentus un koncentrēt savus resursus uz vissvarīgākajiem draudiem.
• Uzlabojiet izmeklēšanu un atbildi: Draudi izlūkošanas datus var izmantot, lai nodrošinātu kontekstu un ieskatu drošības izmeklēšanas laikā. Tas var palīdzēt analītiķiem ātri noteikt negadījuma galveno cēloni un izstrādāt un ieviest efektīvas reaģēšanas stratēģijas.
• Esiet priekšā draudu ainavai: Draudi izlūkošana var palīdzēt organizācijām būt priekšā draudu ainavai, sniedzot informāciju par jaunākajiem draudiem un ievainojamībām. Šo informāciju var izmantot, lai izstrādātu un īstenotu proaktīvus drošības pasākumus, piemēram, draudu meklēšanu un drošības izpratnes apmācību.

Draudu noteikšana pakalpojumā Google SecOps
Google SecOps draudu noteikšana ir balstīta uz nepārtrauktu Google drošības komandu sniegto informāciju par draudiem. Šī informācija tiek izmantota, lai izveidotu noteikumus un brīdinājumus, kas var identificēt ļaunprātīgu darbību reāllaikā. Google SecOps izmanto arī uzvedības analīzi un riska vērtēšanu, lai identificētu aizdomīgus drošības datu modeļus. Tas ļauj Google SecOps atklāt draudus, kurus nevar noteikt ar tradicionālajiem noteikšanas noteikumiem.

Augstas kvalitātes, atlasītas draudu noteikšanas vērtība ir skaidra. Organizācijas, kas izmanto Google SecOps, var gūt labumu no:

• Uzlabota noteikšana un šķirošana: Google SecOps var palīdzēt organizācijām ātri identificēt un noteikt drošības incidentus. Tas ļauj organizācijām koncentrēt savus resursus uz vissvarīgākajiem draudiem.
• Uzlabota izmeklēšana un reakcija: Google SecOps drošības izmeklēšanas laikā var sniegt kontekstu un ieskatus. Tas var palīdzēt analītiķiem ātri noteikt negadījuma galveno cēloni un izstrādāt un ieviest efektīvas reaģēšanas stratēģijas.
• Esiet priekšā draudu ainavai: Google SecOps var palīdzēt organizācijām būt priekšā draudu ainavai, sniedzot informāciju par jaunākajiem draudiem un ievainojamībām. Šo informāciju var izmantot, lai izstrādātu un īstenotu proaktīvus drošības pasākumus, piemēram, draudu meklēšanu un drošības izpratnes apmācību.

SIEM migrācija

Tātad jūs esat nolēmis rīkoties. Jūsu pieeja migrācijai ir ļoti svarīga, lai nodrošinātu, ka saglabājat nepieciešamās iespējas un pēc iespējas ātrāk sākat iegūt vērtību no jaunās platformas. Tas attiecas uz prioritāšu noteikšanu. Tipisks kompromiss ir atzīšana, ka, lai gan SIEM migrācija ir iespēja modernizēt visu jūsu pieeju izmeklēšanai, atklāšanai un reaģēšanai, daudzas SIEM migrācijas neizdodas, jo organizācijas cenšas "uzvārīt okeānu".

Tātad, šeit ir mūsu labākie padomi veiksmīgas SIEM migrācijas plānošanai un izpildei:

• Definējiet savus migrācijas mērķus. Tas izklausās acīmredzami, taču jūsu SIEM migrēšana ir ilgstošs process, tāpēc vēlamo rezultātu noteikšana (piemēram, ātrāka draudu noteikšana, vieglāka atbilstības ziņošana, uzlabota redzamība, samazināts analītiķa darbs, vienlaikus samazinot izmaksas) ir cieši saistīta ar panākumiem.
• Izmantojiet migrāciju kā iespēju iztīrīt māju. Šis ir labs laiks sakopšanai jūsu noteikšanas noteikumi un žurnālu avoti un migrēt tikai tos, kurus faktiski izmantojat. Tas ir arī labs laiks, lai atjaunotosview brīdinājumu šķirošanas un regulēšanas procesus un pārliecinieties, ka tie ir atjaunināti.
• Nemigrējiet katru žurnāla avotu. Pāreja uz jaunu SIEM ir lieliska iespēja izlemt, kādi žurnāli jums ir nepieciešami gan atbilstības, gan drošības apsvērumu dēļ. Daudzas organizācijas laika gaitā uzkrāj milzīgu žurnāldatu daudzumu, un ne visi tie noteikti ir vērtīgi vai atbilstoši. Atvēlot laiku, lai novērtētu žurnāla avotus pirms to migrēšanas, varat racionalizēt savu SIEM un koncentrēties uz datiem, kas ir vissvarīgākie jūsu drošības un atbilstības vajadzībām.
• Nemigrējiet visu saturu. Visa esošā noteikšanas satura, noteikumu, brīdinājumu, informācijas paneļu, vizualizāciju un rokasgrāmatu migrēšana uz jaunu SIEM ne vienmēr ir nepieciešama. Veltiet laiku, lai novērtētu savu pašreizējo noteikšanas aptvērumu un noteiktu nepieciešamo noteikumu migrācijas prioritāti. Jūs atradīsit iespējas konsolidēt noteikumus, novērst noteikumus, kas nekad nevarētu tikt aktivizēti telemetrijas trūkuma vai kļūdainas loģikas dēļ, vai noteikumus, kurus labāk pārvalda nepareizs saturs. Uzdodiet jautājumus jebkuram pārdevējam vai izvietošanas partnerim, kurš atbalsta kārtulas migrāciju viens pret vienu.
• Piešķiriet prioritāti agrīnai satura migrācijai. Nekavējoties sāciet satura noteikšanas migrāciju, tiklīdz ir pieejami žurnālu avoti un katram konkrētajam lietošanas gadījumam nepieciešamie papildinājumi. Šī uz datiem balstītā pieeja, saskaņojot avotus ar lietošanas gadījumiem, nodrošina paralēlas migrācijas centienus, lai nodrošinātu optimālu efektivitāti un rezultātus.
• Atklāšanas satura migrācija ir cilvēka vadīts process. Sagatavojieties no jauna atjaunot noteikšanas saturu (kārtulas, brīdinājumus, informācijas paneļus, modeļus utt.) (galvenokārt) no jauna, izmantojot savu veco saturu kā iedvesmu. Mūsdienās nav drošas metodes, lai automātiski pārveidotu noteikumus no vienas SIEM platformas citā. Lai gan daži pārdevēji piedāvā sintakses tulkotājus, tie parasti nodrošina labu pārejas punktu, nevis perfekti iztulkotu kārtulu, meklēšanu vai informācijas paneli. Jums vajadzētu izmantot maksimālo avansutage no šiem rīkiem, taču atzīstiet, ka tie nav panaceja.
• Atklāšanas saturs nāk no daudziem avotiem. Analizējiet savas noteikšanas pārklājuma vajadzības, pēc tam pieņemiet vai izveidojiet noteikšanas lietošanas gadījumus, ja nepieciešams. Jūsu SIEM pārdevējs nodrošinās gatavu saturu, kas jums vienmēr ir jāizmanto, ja iespējams. Apsveriet arī kopienas noteikumu krātuves un trešās puses noteikšanas satura nodrošinātājus. Ja nepieciešams, uzrakstiet savus noteikumus un atcerieties lielāko daļu noteikumu neatkarīgi no to izcelsmes, tie ir jāpielāgo jūsu organizācijas konkrētajai videi.
• Izstrādājiet reālistisku migrācijas laika grafiku. Tas ietver datu pārsūtīšanas, testēšanas, regulēšanas, apmācības un iespējamās pārklāšanās uzskaiti, ja jums, iespējams, vajadzēs darbināt abas sistēmas paralēli. Precīzi definēts migrācijas plāns palīdzēs jums identificēt un mazināt riskus, kā arī nodrošināt, ka migrācija tiek veiksmīgi pabeigta. Plānā jāiekļauj detalizēts laika grafiks, uzdevumu saraksts, resursi un budžets. Atzīstiet, ka lielie projekti, piemēram, SIEM migrācija, ir jāsadala fāzēs.
• Testēšana. Mēs iesakām pārbaudīt savu SIEM un noteikšanas saturu, regulāri ievadot datus, kas aktivizēs jūsu noteikšanu, pārbaudot parsēšanu un validējot datu plūsmu no noteikšanas līdz gadījumam līdz atbildes rokasgrāmatai. SIEM migrācija ir ideāls laiks, lai pieņemtu stingru atklāšanas inženierijas programma kas ietver šādas pārbaudes.
• Sagatavojieties pārejas periodam, kura laikā darbināsiet gan vecos, gan jaunos rīkus. Izvairieties no traucējošas pieejas “izvilkt un aizstāt”. Pakāpeniska migrācija, kurā jūs migrējat žurnālu avotus un lietošanas gadījumus, pakāpeniski palīdz kontrolēt procesu un samazina risku. Padomājiet arī par datu atkārtotu ievadīšanu no vecā SIEM jaunajā. Dažos gadījumos jums var būt iespēja atstāt iepriekšējo SIEM darboties ilgāku laiku, lai nodrošinātu piekļuvi vēsturiskajiem datiem.
• Iespējojiet savas komandas. Jūsu SIEM migrācija neizdosies, ja jūsu analītiķi nevarēs izmantot jauno sistēmu. Labs migrācijas plāns ietvers dziļas iespējas jūsu komandām. Padomājiet par inženieru apmācību par datu iekļaušanu un parsēšanu, analītiķu apmācību par gadījumu pārvaldību/izmeklēšanu/šķirošanu, par draudu medniekiem par anomāliju noteikšanu/meklēšanu un par atklāšanas inženieriem par noteikumu rakstīšanu. Laiks ir ļoti svarīgs iespējošanai. Vislabāk ir apmācīt personālu, kad viņi sāk konkrētus migrācijas posmus, nevis apmācīt, pirms šīs prasmes būs nepieciešamas.
• Saņemiet palīdzību! Ja jums ir paveicies (vai varbūt nepaveicies?) kā praktizējošam vai vadītājam, iespējams, savā karjerā būsiet piedzīvojis vienu vai divas SIEM migrācijas. Kāpēc gan nemeklēt palīdzību pie speciālistiem, kuri to darījuši desmitiem vai simtiem reižu? Profesionālas pakalpojumu komandas no pārdevēja un/vai konsultāciju komandas no kvalificētiem pakalpojumu partneriem ir lieliska izvēle. SIEM migrācija lielākoties ir uz cilvēku vērsti centieni.

Galvenais process: izvēlieties izvietošanas partneri
Nevienam lēmumam nebūs lielāka ietekme uz SIEM migrācijas galīgajiem panākumiem kā izvietošanas partnera izvēlei. SIEM platformas ir liela mēroga, sarežģītas uzņēmuma sistēmas. Nemēģiniet to darīt vienatnē; pieturieties pie izvietošanas partnera, kurš ir piedzīvojis daudzas migrācijas.

Izvēršanas partneris varētu vienkārši būt jaunā SIEM pārdevēja profesionālo pakalpojumu grupa. Tomēr biežāk migrācijas veikšanai tiek izvēlēts trešās puses partneris. Atcerieties, ka SIEM migrācija ir cilvēka vadīts darbs. Vislabāk ir izvēlēties partneri ar sertifikātiem jaunajā SIEM un daudziem atsaucīgiem partneriem. Tas arī palīdz, ja viņiem ir zināšanas par SIEM, no kura migrējat. Papildus atsaucēm gudrs veids, kā noteikt partnera pieredzes līmeni ar jauno SIEM, ir apmeklēt kopienas forumus, lai noskaidrotu, vai komanda ir bijusi aktīva līdzstrādniece. Pēc autoru domām, ļoti iesaistīts partneru personāls korelē ar veiksmīgu SIEM migrāciju. Papildus SIEM migrācijas tehniskajiem bitiem un baitiem varat izvēlēties arī partnerus, kuriem ir īpaša pieredze jūsu nozares vertikālē vai atbilstības vidē, vai savu reģionu vai visus trīs! Valodu prasmes un resursus varat meklēt iepriekštageous laika joslas. Varat arī meklēt partnerus, kas pārvalda jūsu SIEM jūsu vietā vai nodrošina līdzīgus rezultātus kā pārvaldīts drošības pakalpojumu sniedzējs, kurš var daļēji vai pilnībā izmantot jūsu organizācijas SIEM ārpakalpojumus.

Galvenais process: dokumentējiet pašreizējos konfigurācijas un lietošanas gadījumus
SIEM izvietošana parasti ir plaša, un to apjoms un sarežģītība gadu gaitā nepārtraukti pieaug. Sagatavojieties nelielai dokumentācijai vai tās neesamībai. Sagaidiet, ka darbinieki, kas veica SIEM sākotnējo konfigurēšanu un pielāgošanu, bieži vien jau sen vairs nav. Rūpīga konfigurācijas un iespēju dokumentēšana migrācijas procesa sākumā var nozīmēt atšķirību starp panākumiem un neveiksmēm.

• Dokumentējiet SIEM izmantoto identitāti un piekļuves pārvaldību. Jums noteikti būs jāsaglabā zināma uz lomu balstīta piekļuve datiem un līdzekļiem. No otras puses, migrācija ir iespēja analizēt un risināt piekļuves izplešanos, kas dabiski notiek lielākajā daļā organizāciju. Varat arī aplūkot migrācijas procesu kā iespēju modernizēt autentifikācijas/autorizācijas metodes, tostarp identitātes apvienošanu ar korporatīvajiem standartiem un daudzfaktoru autentifikācijas ieviešanu.
• Uztveriet apkopojamo datu tipu nosaukumus. Ņemiet vērā, ka daži SIEM šos nosaukumus sauc par “avota tipu” vai “logtype”. Uzņemiet, cik daudz datu no katra datu veida plūst, kā metriku izmantojot gigabaitus dienā. Dokumentējiet katra datu avota datu cauruļvadu (pamatojoties uz aģentu, API vaicājumu, web āķis, mākoņa segmenta ievadīšana, ievadīšanas API, HTTP klausītājs utt.), un tveriet SIEM parsētāja konfigurāciju kopā ar jebkādiem pielāgojumiem.
• Apkopojiet saglabātos meklēšanas vaicājumus, informācijas paneļa definīcijas un noteikšanas noteikumus. Daudziem SIEM ir arī pastāvīgi datu uzglabāšanas mehānismi, piemēram, uzmeklēšanas tabulas. Noteikti izprotiet un dokumentējiet, kā tie tiek aizpildīti un izmantoti.
• Veiciet integrāciju ar ārējām sistēmām inventarizāciju. Daudzi SIEM ir integrēti ar lietu pārvaldības sistēmām, relāciju datu bāzēm, paziņojumu pakalpojumiem (e-pasts, SMS utt.) un draudu izlūkošanas platformām.
• Uztveriet atbildes saturu, piemēram, rokasgrāmatas, lietu pārvaldības veidnes un visas aktīvās integrācijas, kas vēl nav dokumentētas.

Papildus šo svarīgo tehnisko detaļu apkopošanai ir svarīgi veltīt laiku, lai sazinātosview esošā SIEM lietotājiem, lai izprastu viņu darbplūsmas. Jautājiet, kā viņi izmanto SIEM, kādas standarta darbības procedūras balstās uz SIEM. Ir svarīgi arī uzdot plašus jautājumus, piemēram, kādas komandas ārpus drošības varētu izmantot SIEM. Piemēram,ampTas nav nekas neparasts, ka atbilstības komandas vai IT operāciju darbinieki paļaujas uz SIEM. Ja šos lietošanas gadījumus neizdodas tvert, vēlāk migrēšanas procesā var tikt nepamatotas cerības.

Galvenais process: žurnāla avota migrācija
Žurnāla avota migrācija ietver datu avotu pārvietošanu no vecā SIEM uz jauno SIEM. Šis process ir atkarīgs no pašreizējās konfigurācijas dokumentācijas, kas apkopota Process: dokumentējiet pašreizējo konfigurāciju un lietošanu sadaļā.

Žurnāla avota migrācijas procesā parasti tiek iesaistītas šādas darbības:

1. Atklāšana un inventārs: Pirmais solis ir atklāt un inventarizēt visus žurnālu avotus, kurus pašlaik pārņem vecais SIEM. To var izdarīt, izmantojot dažādas metodes, piemēram, reviewSIEM konfigurāciju files vai izmantojot API un saistītos rīkus.
2. Prioritātes noteikšana: kad žurnālu avoti ir atklāti un inventarizēti, tiem ir jāpiešķir prioritāte migrācijai. To var izdarīt, pamatojoties uz vairākiem faktoriem, piemēram, žurnāla avota vadīto analīzi, datu apjomu, datu kritiskumu, atbilstības prasībām un migrācijas procesa sarežģītību.
3. Migrācijas plānošana: Kad žurnālu avotiem ir noteikta prioritāte, ir jāizstrādā migrācijas plāns.
4. Migrācijas izpilde: Pēc tam migrācijas procesu var veikt saskaņā ar plānu. Tas var ietvert dažādus uzdevumus, piemēram, plūsmu konfigurēšanu jaunajā SIEM, aģentu instalēšanu, API konfigurēšanu utt.
5. Testēšana un apstiprināšana: Kad migrēšana ir pabeigta, ir svarīgi pārbaudīt un apstiprināt, vai žurnāla dati tiek uzņemti pareizi. Izmantojiet šo iespēju, lai konfigurētu brīdinājumus par datu avotiem, kas ir kļuvuši klusi.
6. Dokumentācija: Visbeidzot, ir svarīgi dokumentēt jauno žurnāla avota konfigurāciju.

Galvenais process: noteikšanas un atbildes satura migrēšana
SIEM noteikšanas un atbildes saturs sastāv no kārtulām, meklēšanas vaicājumiem, rokasgrāmatām, informācijas paneļiem un citām konfigurācijām, kas nosaka SIEM brīdinājumus un to, kā tas palīdz analītiķiem apstrādāt šos brīdinājumus. Bez pareizi konfigurēta satura SIEM ir tikai izdomāts meklēšanas veids. Tas ir “dārgais grep” – termins, ko pirms vairākiem gadiem izdomājis kāds autoru kolēģis. SIEM saturam ir galvenā loma jūsu organizācijas atklāšanas pārklājuma noteikšanā.

• Atklāšanas noteikumi tiek izmantoti, lai identificētu drošības incidentus. Atklāšanas inženieri, kuriem ir padziļinātas zināšanas par drošības apdraudējumiem un viņiem ierasto taktiku, paņēmieniem un procedūrām (TTP), tos raksta. Atklāšanas kārtulas meklē modeļus, kas žurnāla datos attēlo šos TTP. Atklāšanas noteikumi bieži vien korelē dažādus žurnālu avotus un izmanto draudu izlūkošanas datus.
• Atbildes rokasgrāmatas tiek izmantotas, lai automatizētu atbildi uz drošības brīdinājumiem. Tie var ietvert tādus uzdevumus kā paziņojumu sūtīšana, apdraudētu saimniekdatoru izolēšana, brīdinājumu bagātināšana ar kontekstuālajiem datiem/draudu izlūkošanas informāciju un labošanas skriptu palaišana.
• Informācijas paneļi tiek izmantoti, lai vizualizētu drošības datus un izsekotu drošības incidentu statusu. Tos var izmantot, lai uzraudzītu vispārējo organizācijas drošības stāvokli un noteiktu tendences un modeļus.
• Jauna noteikšanas un atbildes satura izstrāde ir iteratīvs process. Ir svarīgi nepārtraukti uzraudzīt SIEM un pēc vajadzības veikt satura pielāgojumus. SIEM migrācija ir lielisks laiks, lai uzlabotu procesus, izmantojot tādas pieejas kā noteikšana kā kods (DaC).

Galvenais process: apmācība un iespējošana
Bieži aizmirsts process SIEM migrācijas laikā ir lietotāju apmācība. SIEM, iespējams, ir vissvarīgākais rīks, ko izmanto drošības operāciju komanda. Viņu spējai to efektīvi un produktīvi izmantot būs liela nozīme migrācijas panākumos, kā arī viņu spējai aizsargāt jūsu organizāciju. Paļaujieties uz savu SIEM nodrošinātāju un izvietošanas partneri, lai nodrošinātu apmācību saturu un piegādi. Šeit ir īss to tēmu saraksts, kurās jūsu komandām jābūt iespējotām.

• Žurnāla plūsmas uzņemšana un parsēšana
• Meklēšana / Izmeklēšana
• Lietu pārvaldība
• Noteikumu autorēšana
• Informācijas paneļa izstrāde
• Rokasgrāmata / Automatizācija

Secinājums

• Galu galā migrācija no mantotā SIEM uz modernu risinājumu ir neizbēgama. Lai gan problēmas var šķist biedējošas, labi plānota un izpildīta migrācija var ievērojami uzlabot draudu noteikšanu, reaģēšanas spējas un vispārējo drošības stāvokli.
• Rūpīgi apsverot jauna SIEM izvēli, izmantojot mākoņdatošanas arhitektūras stiprās puses, iekļaujot uzlabotu draudu izlūkošanu un izmantojot AI vadītas funkcijas, organizācijas var dot iespēju savām drošības komandām aktīvi aizsargāties pret pastāvīgi mainīgiem draudiem. Veiksmīgs migrācijas process ietver rūpīgu plānošanu, visaptverošu dokumentāciju, stratēģisku žurnāla avotu un satura migrāciju, rūpīgu testēšanu un visaptverošu lietotāju apmācību.
• Sadarbība ar pieredzējušiem izvietošanas speciālistiem var būt nenovērtējama, lai pārvarētu sarežģījumus un nodrošinātu vienmērīgu pāreju. Apņemoties pastāvīgi uzlabot un koncentrējoties uz atklāšanas inženieriju, organizācijas var izmantot visas iespējas
• jaunā SIEM potenciālu un stiprinās viņu drošības aizsardzību turpmākajiem gadiem.

Papildu lasīšana

• Papīrs “Kā Google SecOps var palīdzēt palielināt jūsu SIEM kaudzi”.
• "SOC nākotne: evolūcija vai optimizācija — izvēlieties savu ceļu" papīrs
• Google mākoņdrošības kopienas emuārs
• Detection Engineering Weekly Newsletter
• atklāt.fyi – Uz praktiķiem vērsti padomi atklāšanas inženierijā
• Darba sākšana ar Detection-as-Code un Google drošības darbībām — Deivids Frenčs (pirmā daļa, otrā daļa)
• Mūsdienīgas noteikšanas inženierijas darbplūsmas ieviešana — Dens Lusjē (Pirmā daļa, otrā daļa, trešā daļa)

Lai iegūtu vairāk informācijas, apmeklējiet cloud.google.com

FAQ

J: Kāds ir Lielās SIEM migrācijas rokasgrāmatas mērķis?
A. Rokasgrāmatas mērķis ir palīdzēt organizācijām pāriet no novecojušiem SIEM risinājumiem uz jaunākām, efektīvākām draudu noteikšanas un reaģēšanas iespējām.

J: Kā es varu gūt labumu no mākoņa SIEM?
A. Mākoņvietējie SIEM nodrošina mērogojamību, izmaksu efektivitāti un efektīvu mākoņa darba slodzes drošību, pateicoties to arhitektūrai un iespējām.

Dokumenti / Resursi

Google Cloud SIEM migrācija [pdfNorādījumi SIEM migrācija, migrācija

Atsauces

• Lietotāja rokasgrāmata