Google Wolk SIEM-migrasie-instruksies

Google Wolk SIEM Migrasie

Produk inligting

Spesifikasies:

• Produk Naam: SIEM-migrasiegids
• Skrywer: Onbekend
• Gepubliseer Jaar: Nie gespesifiseer nie

Produkgebruiksinstruksies

• Kies 'n nuwe SIEM
  Begin deur jouself en jou span 'n paar sleutelvrae te vra om te help om elke aanbod se sterk- en swakpunte te ontbloot. Identifiseer vinnig elke SIEM se supermoondhede en beplan hoe jou organisasie voordeel kan trektage van hulle.
• Wolk-inheemse SIEM
  Oorweeg of die SIEM aangebied word deur 'n primêre wolkdiensverskaffer (CSP) wat wêreldskaalse infrastruktuur teen groothandelpryse kan verskaf. Wolk-inheemse SIEM-ontplooiingsmodelle maak voorsiening vir skaalbaarheid en dinamiese bestuur van wolkwerkladings.
• SIEM met intelligensie
  Kyk of die SIEM-verkoper deurlopende voorlynbedreigingsintelligensie bied om nuwe en opkomende bedreigings buite die boks te bespeur.

SIEM is dood, lank lewe SIEM

As jy soos ons is, sal jy dalk verbaas wees dat sekuriteitsinligting- en gebeurtenisbestuurstelsels (SIEM) in 2024 steeds die ruggraat van die meeste sekuriteitsbedryfsentrums (SOC) is. SIEM's is nog altyd gebruik vir die insameling en ontleding van sekuriteitsdata van regoor jou organisasie om jou te help om bedreigings vinnig en doeltreffend te identifiseer, te ondersoek en daarop te reageer. Maar die realiteit is dat vandag se moderne SIEM's min ooreenkomste het met dié wat 15+ jaar gelede gebou is, voor die opkoms van wolk-inheemse argitektuur, gebruikersentiteit- en gedragsanalise (UEBA), sekuriteitsorkestrasie, outomatisering en reaksie (SOAR), aanvaloppervlakbestuur en natuurlik KI, om 'n paar te noem.
Ouderwetse SIEM's is dikwels stadig, omslagtig en moeilik om te gebruik. Hul erfenis-argitektuur verhoed hulle dikwels om te skaal om hoëvolume-logboekbronne in te neem, en hulle kan dalk nie tred hou met die nuutste bedreigings of die nuutste kenmerke en vermoëns ondersteun nie. Hulle bied dalk nie die buigsaamheid om jou organisasie se spesifieke vereistes te ondersteun of om geskik te wees vir die multi-wolk-strategie wat vandag vir die meeste organisasies die werklikheid is nie. Ten slotte kan hulle swak geposisioneer wees om voordeel te trektage van die nuutste tegnologiese ontwikkelings, soos kunsmatige intelligensie (KI).
Dus, terwyl 'n SIEM met enige ander naam net so soet kan klink, sal sekuriteitsbedrywighede spanne voortgaan om op staat te maak
"veiligheidsoperasies platforms" (of watter naam hulle ook al noem) in die afsienbare toekoms vir bedreiging opsporing, ondersoek en reaksie.

Die Groot SIEM-migrasie het begin

SIEM-migrasie is nie nuut nie. Organisasies het verlief geraak op hul bestaande SIEM en het jare lank nuwe en beter opsies gesoek. Miskien meer dikwels het organisasies hul onderpresterende en/of te duur SIEM langer verduur as wat hulle sou wou hê, deels weens kommer oor die kompleksiteit van die hantering van SIEM-migrasie.
Maar die afgelope maande het tektoniese verskuiwings in die SIEM-ruimte ingestel wat nie onderskat kan word nie. Daar is min twyfel dat die SIEM-landskap binne 'n paar kort jare van nou af heeltemal getransformeer sal word - wat geboorte gee aan nuwe markleiers en die agteruitgang en miskien selfs die ondergang van "dinosourusse" sien wat SIEM-land vir dekades regeer (of " eons” in kuberveiligheidsterme). Hierdie ontwikkelings sal ongetwyfeld die migrasie van verouderde SIEM-platforms na modernes versnel, met baie organisasies wat nou die realiteit in die gesig staar van wanneer hulle moet migreer in plaas van of hulle moet migreer.

Hier is 'n opsomming van groot skuiwe in die afgelope 9 maande alleen:

Om tekortkominge in jou huidige SIEM te identifiseer is baie makliker as om die beste plaasvervanger te kies en 'n suksesvolle migrasie uit te voer. Dit is ook belangrik om daarop te let dat SIEM-ontplooiingsmislukkings ook kan spruit uit prosesse (en soms mense), en nie net tegnologie nie. Dit is waar hierdie artikel inkom. Die skrywers het honderde SIEM-migrasies as praktisyns, ontleders en verskaffers oor verskeie dekades gesien. Dus, laat ons die beste SIEM-migrasiewenke vir 2024 opneem. Ons sal hierdie lys in kategorieë verdeel en lesse wat ons uit die loopgrawe geleer het, sprinkel.

Kies 'n nuwe SIEM

Begin deur jouself en jou span 'n paar sleutelvrae te vra om te help om elke aanbod se sterk- en swakpunte te ontbloot. Ons beveel aan om vinnig elke SIEM se “superkragte” te identifiseer en te beplan hoe jou organisasie voordeel kan trektage van hulle. Byvoorbeeldample:

• Wolk-inheemse SIEM
  
  • Word die SIEM aangebied deur 'n primêre wolkdiensverskaffer (CSP) wat wêreldskaalse infrastruktuur teen groothandelpryse kan verskaf?
    Ons ervaring toon dat SIEM-verskaffers wat in wolke werk wat hulle nie besit nie, sukkel om die onontkombare "marge-stacking" wat met sulke modelle kom, te oorkom. Hierdie vraag is onlosmaaklik gekoppel aan koste.
    'n Wolk-inheemse SIEM-ontplooiingsmodel laat die SIEM ook toe om op en af ​​te skaal in reaksie op nuwe bedreigings en ook die dinamiese aard van 'n organisasie se wolkwerkladings te bestuur. Wolkinfrastruktuur en toepassings kan binne minute dramaties groei. 'n Wolk-inheemse SIEM-argitektuur laat die sekuriteitspanne se kritiese gereedskap toe om teen dieselfde tempo te skaal saam met die behoeftes van die groter organisasie.
    Wolk-inheemse SIEM's is ook goed geposisioneer om wolkwerkladings te beveilig. Hulle verskaf lae-latency data-inname van wolkdienste en stuur met opsporingsinhoud om te help om aanvalle wat algemeen in die wolk voorkom, te identifiseer.
• SIEM met intelligensie
  • Het die SIEM-verkoper 'n deurlopende stroom van frontlinie-bedreigingsintelligensie om nuwe en opkomende bedreigings buite die boks te bespeur?
    Hierdie goue bronne spruit tipies uit topvlak-voorvalreaksiepraktyke, die werking van massiewe verbruikers IaaS- of SaaS-wolkaanbiedinge, of globale installasiebasisse van sekuriteitsagtewareprodukte of bedryfstelsels.
    Bedreigingsintelligensie is van kritieke belang vir organisasies om effektief sekuriteitsinsidente op te spoor, te ondersoek, te ondersoek en daarop te reageer. Veral frontline bedreigingsintelligensie is waardevol omdat dit intydse inligting oor die jongste bedreigings en kwesbaarhede verskaf. Hierdie inligting kan gebruik word om sekuriteitsinsidente vinnig te identifiseer en te prioritiseer, en om effektiewe reaksiestrategieë te ontwikkel en te implementeer.
    Om intydse bedreigingopsporing en -reaksievermoëns te verbeter, soek sekuriteitsorganisasies naatlose integrasie van bedreigingsintelligensie en gepaardgaande datavoere in hul sekuriteitsbedrywighede se werkvloeie en gereedskap. Draaistoel, copy-paste en bros integrasies tussen SIEM en bedreigingsintelbronne is produktiwiteitsdreineer en het 'n negatiewe impak op die span se doeltreffendheid en op ontlederservaring.
• SIEM met saamgestelde inhoud
  • Bied die SIEM 'n uitgebreide biblioteek van ondersteunde ontleders en opsporingreëls, en reaksie-aksies?
    Wenk: Sommige SIEM-verskaffers maak byna uitsluitlik staat op hul gebruikersgemeenskap of tegniese alliansievennote om ontleders vir gewilde datavoere te skep. Alhoewel 'n florerende gebruikersgemeenskap noodsaaklik is, is oormatige vertroue daarop om fundamentele vermoëns soos ontleding te verskaf 'n probleem. Ontleders vir algemene databronne moet direk deur die SIEM-verskaffer geskep, onderhou en ondersteun word. Neem dieselfde benadering wanneer u na die inhoud van die opsporingreël kyk. Gemeenskapsreëls is noodsaaklik, maar jy moet van jou verskaffer verwag om 'n soliede biblioteek van kernbespeurings te skep en in stand te hou wat gereeld getoets, ondersteun en verbeter word. Hoëgehalte, saamgestelde bedreigingopsporing is van kritieke belang vir organisasies om hul sekuriteitsposisie effektief te bestuur. Google SecOps verskaf onmiddellike opsporing van nuwe en opkomende bedreigings, wat organisasies kan help om vinnig sekuriteitsinsidente te identifiseer en daarop te reageer.
• SIEM met AI
  • Inkorporeer die SIEM KI, en is dit geposisioneer om voort te gaan innoveer?
    Die rol van kunsmatige intelligensie in SIEM word steeds nie ten volle verstaan ​​nie (veel minder geïmplementeer) deur enige verkoper. Vooraanstaande SIEM's het egter reeds vandag tasbare KI-gedrewe kenmerke wat gestuur word. Hierdie kenmerke sluit natuurlike taalverwerking in vir die uitdrukking van soektogte en reëls, outomatiese saakopsomming en aanbevole reaksieaksies. Die meeste klante en bedryfswaarnemers beskou kenmerke soos dreigementopsporing en voorspellende teëstanderontleding as van die “heilige grale” van KI-gedrewe SIEM-vermoëns. Geen SIEM bied vandag hierdie kenmerke betroubaar nie. Terwyl jy 'n nuwe SIEM in 2024 kies, oorweeg of die verkoper die nodige hulpbronne belê om betekenisvolle vordering met hierdie transformasievermoëns te maak.

Google Security Operations (voorheen Chronicle) is 'n wolkgebaseerde SIEM-oplossing wat deur Google Cloud aangebied word. Dit is ontwerp om organisasies te help om logs en ander sekuriteitstelemetrie sentraal te versamel, en dan intyds sekuriteitsbedreigings op te spoor, te ondersoek en daarop te reageer. 

• Bespeur en prioritiseer sekuriteitsbedreigings: Google SecOps se uit-die-boks-opsporingsreëls identifiseer en prioritiseer sekuriteitsbedreigings intyds. Dit help organisasies om vinnig en doeltreffend op die mees kritieke bedreigings te reageer.
• Ondersoek sekuriteitsvoorvalle: Google SecOps bied 'n gesentraliseerde platform om sekuriteitsinsidente te ondersoek. Dit help organisasies om vinnig en doeltreffend bewyse te versamel en die omvang van die voorval te bepaal.
• Reageer op sekuriteitsinsidente: Google SecOps bied 'n verskeidenheid nutsmiddels om organisasies te help reageer op sekuriteitsinsidente, soos outomatiese remediëring. Bedreigingjagters vind die platform se spoed, soekvermoë en toegepaste bedreigingsintelligensie van onskatbare waarde om aanvallers op te spoor wat moontlik deur die krake geglip het. Dit help organisasies om die impak van sekuriteitsinsidente vinnig en doeltreffend te bevat en te versag.
  Google SecOps het 'n aantal voordeletages oor tradisionele SIEM-oplossings, insluitend:
• Kunsmatige intelligensie: Google SecOps gebruik Google se Gemini KI-tegnologie om verdedigers in staat te stel om groot hoeveelhede data binne sekondes deur natuurlike taal te soek en vinniger besluite te neem deur vrae te beantwoord, gebeure op te som, op soek na dreigemente, reëls te skep en aanbevole aksies te lewer gebaseer op die konteks van ondersoeke. Sekuriteitspanne kan ook Gemini in Sekuriteitsbedrywighede gebruik om maklik reaksie-speelboeke te bou, konfigurasies aan te pas en beste praktyke in te sluit – wat help om tydrowende take te vereenvoudig wat diep kundigheid vereis.
• Toegepaste bedreigingsintelligensie: Google SecOps integreer inheems met Google Threat Intelligence (GTI) wat gekombineerde intelligensie van VirusTotal, Mandiant Threat Intelligence en interne Google Threat-intelligensiebronne insluit, om kliënte te help om meer bedreigings met minder moeite op te spoor.
• Skaalbaarheid: Google SecOps is 'n wolkgebaseerde oplossing, dus kan dit hiperskaal-wolkinfrastruktuur wat deur Google-wolk verskaf word, benut om aan die kapasiteit- en werkverrigtingbehoeftes van enige organisasie te voldoen, ongeag die grootte.
• Integrasie met Google Wolk: Google SecOps is stewig geïntegreer met ander Google Wolk-produkte en -dienste, soos Google Cloud Security Command Center Enterprise (SCCE). Hierdie integrasie maak dit maklik vir organisasies om hul sekuriteitsbedrywighede in 'n enkele, verenigde platform te bestuur. Google SecOps is die beste SIEM vir GCP-dienstelemetrie en sluit ook uit die boks opsporinginhoud vir ander groot wolkverskaffers soos AWS en Azure in.

Toegepaste bedreigingsintelligensie in Google SecOps
Google SecOps laat sekuriteitspanne toe om sekuriteitsdata te bestuur en te ontleed wat outomaties gekorreleer en met bedreigingsdata verryk word. Deur bedreigingsintelligensie direk in jou SIEM te integreer, kan organisasies:

• Verbeter opsporing en triage: Bedreigingsdata kan direk gebruik word om reëls te skep wat kan help om kwaadwillige aktiwiteit in reële tyd te identifiseer. Hierdie data word ook gebruik om konteks by ander waarskuwings te voeg en outomaties vertroue in die waarskuwing aan te pas. Dit help organisasies om sekuriteitsinsidente vinnig op te spoor en te ondersoek, en om hul hulpbronne op die mees kritieke bedreigings te fokus.
• Verbeter ondersoek en reaksie: Bedreigingsintelligensie kan gebruik word om konteks en insigte tydens sekuriteitsondersoeke te verskaf. Dit kan ontleders help om vinnig die oorsaak van 'n voorval te identifiseer en effektiewe reaksiestrategieë te ontwikkel en te implementeer.
• Bly voor die bedreigingslandskap: Bedreigingsintelligensie kan organisasies help om voor die bedreiginglandskap te bly deur inligting oor die jongste bedreigings en kwesbaarhede te verskaf. Hierdie inligting kan gebruik word om proaktiewe sekuriteitsmaatreëls te ontwikkel en te implementeer, soos dreigementjag en sekuriteitsbewusmakingsopleiding.

Bedreigingsopsporing in Google SecOps
Google SecOps-bedreigingopsporing is gebaseer op 'n deurlopende stroom van voorlynbedreigingsintelligensie van Google se sekuriteitspanne. Hierdie intelligensie word gebruik om reëls en waarskuwings te skep wat kwaadwillige aktiwiteite intyds kan identifiseer. Google SecOps gebruik ook gedragsanalise en risikotelling om verdagte patrone in sekuriteitsdata te identifiseer. Dit laat Google SecOps toe om bedreigings op te spoor wat nie deur tradisionele opsporingsreëls opgespoor kan word nie.

Die waarde van hoëgehalte, saamgestelde bedreigingopsporing is duidelik. Organisasies wat Google SecOps gebruik, kan baat vind by:

• Verbeterde opsporing en triage: Google SecOps kan organisasies help om sekuriteitsinsidente vinnig te identifiseer en te ondersoek. Dit stel organisasies in staat om hul hulpbronne op die mees kritieke bedreigings te fokus.
• Verbeterde ondersoek en reaksie: Google SecOps kan konteks en insigte verskaf tydens sekuriteitsondersoeke. Dit kan ontleders help om vinnig die oorsaak van 'n voorval te identifiseer en effektiewe reaksiestrategieë te ontwikkel en te implementeer.
• Bly voor die bedreiginglandskap: Google SecOps kan organisasies help om voor die bedreiginglandskap te bly deur inligting oor die jongste bedreigings en kwesbaarhede te verskaf. Hierdie inligting kan gebruik word om proaktiewe sekuriteitsmaatreëls te ontwikkel en te implementeer, soos dreigementjag en sekuriteitsbewusmakingsopleiding.

SIEM-migrasie

So jy het besluit om die skuif te maak. Jou benadering tot migrasie is van kritieke belang om te verseker dat jy die vereiste vermoëns behou en so gou moontlik waarde uit die nuwe platform begin onttrek. Dit kom neer op prioritisering. 'n Tipiese afweging is om te erken dat hoewel 'n SIEM-migrasie 'n geleentheid is om jou hele benadering tot ondersoek, opsporing en reaksie te moderniseer, baie SIEM-migrasies misluk omdat organisasies probeer om "die see te kook."

Hier is dus ons beste wenke vir die beplanning en uitvoering van u suksesvolle SIEM-migrasie:

• Definieer jou migrasie doelwitte. Dit klink voor die hand liggend, maar jou SIEM-migrasie is 'n lang proses, so om jou gewenste uitkomste te definieer (bv. vinniger opsporing van bedreigings, makliker voldoeningsverslaggewing, verbeterde sigbaarheid, verminderde ontleder-arbeid, terwyl dit ook koste verlaag) is sterk gekorreleer met sukses.
• Gebruik die migrasie as 'n geleentheid om huis skoon te maak. Dit is 'n goeie tyd om skoon te maak jou opsporingsreëls en log bronne en migreer net die wat jy werklik gebruik. Dit is ook 'n goeie tyd om te herview jou waarskuwing triage en tuning prosesse en maak seker dat hulle op datum is.
• Moenie elke logbron migreer nie. Om na 'n nuwe SIEM te skuif, is 'n wonderlike geleentheid om te besluit watter logs jy nodig het, of dit nou om nakoming of sekuriteitsredes is. Baie organisasies versamel 'n groot hoeveelheid logdata oor tyd, en nie alles is noodwendig waardevol of relevant nie. Deur die tyd te neem om jou log bronne te evalueer voordat jy dit migreer, kan jy jou SIEM stroomlyn en fokus op die data wat die belangrikste is vir jou sekuriteit en voldoeningsbehoeftes.
• Moenie alle inhoud migreer nie. Om al jou bestaande opsporingsinhoud, reëls, waarskuwings, kontroleskerms, visualiserings en speelboeke na 'n nuwe SIEM te migreer, is nie altyd nodig nie. Neem die tyd om jou huidige opsporingsdekking te evalueer en prioritiseer migrasie van die reëls wat jy nodig het. Jy sal geleenthede vind om reëls te konsolideer, om reëls uit te skakel wat nooit kan brand nie weens 'n gebrek aan telemetrie of foutiewe logika, of reëls wat beter hanteer word deur out of the box inhoud. Bevraagteken enige verkoper of ontplooiingsvennoot wat voorstander is van een-tot-een-reëlmigrasie.
• Prioritiseer vroeë inhoudmigrasie. Begin onmiddellik migrasie van opsporingsinhoud sodra die logbronne en verrykings beskikbaar is wat vir elke spesifieke gebruiksgeval vereis word. Hierdie data-gedrewe benadering, wat bronne in lyn bring met gebruiksgevalle, maak parallelle migrasiepogings moontlik vir optimale doeltreffendheid en resultate.
• Migrasie van opsporingsinhoud is 'n mens-geleide proses. Berei voor om opsporingsinhoud (reëls, waarskuwings, dashboards, modelle, ens.) (meestal) van nuuts af te herbou, deur jou ou inhoud as inspirasie te gebruik. Vandag is daar geen onfeilbare metode om reëls outomaties van een SIEM-platform na 'n ander om te skakel nie. Terwyl sommige verskaffers sintaksisvertalers aanbied, lei dit gewoonlik tot 'n goeie wegspringpunt eerder as 'n perfek vertaalde reël, soektog of dashboard. Jy moet maksimum voordeel neemtage van hierdie gereedskap, maar erken dat hulle nie 'n wondermiddel is nie.
• Opsporingsinhoud kom uit baie bronne. Ontleed jou opsporingsdekkingbehoeftes, neem dan jou opsporingsgebruikgevalle aan of skep dit soos nodig. Jou SIEM-verkoper sal 'n bietjie buite die boks-inhoud verskaf wat jy altyd moet gebruik as jy kan. Oorweeg ook gemeenskapsreëlbewaarplekke en verskaffers van derdeparty-bespeuringinhoud. Wanneer nodig, skryf jou eie reëls en onthou die meeste reëls, ongeag hul herkoms, moet ingestel wees vir jou organisasie se spesifieke omgewing.
• Ontwikkel 'n realistiese migrasietydlyn. Dit sluit in rekeningkunde vir data-oordrag, toetsing, instel, opleiding en potensiële oorvleuelings waar jy dalk albei stelsels parallel moet laat loop. 'n Goed gedefinieerde migrasieplan sal jou help om risiko's te identifiseer en te versag, en verseker dat die migrasie suksesvol voltooi word. Die plan moet 'n gedetailleerde tydlyn, 'n lys take, hulpbronne en 'n begroting insluit. Erken dat groot projekte soos 'n SIEM-migrasie in fases opgedeel moet word.
• Toets. Ons beveel die praktyk aan om jou SIEM en bespeuring-inhoud te toets deur gereeld data in te spuit wat jou bespeurings sal aktiveer, ontleding na te gaan en datavloei van bespeuring tot geval tot antwoord-speelboek te bekragtig. 'N SIEM-migrasie is die perfekte tyd om 'n streng aan te neem opsporingsingenieursprogram dit sluit toetse soos hierdie in.
• Berei voor vir 'n oorgangstydperk waartydens jy beide ou en nuwe nutsgoed sal gebruik. Vermy 'n ontwrigtende "skeur en vervang"-benadering. 'n Gefaseerde migrasie, waar jy log-bronne migreer en gebruik gevalle geleidelik help om die proses te beheer en risiko te verminder. Dink ook twee keer oor die herinname van data van jou ou SIEM na die nuwe. In sommige gevalle het jy dalk die vermoë om die vorige SIEM vir lang tydperke te laat loop om toegang tot historiese data toe te laat.
• Aktiveer jou spanne. Jou SIEM-migrasie sal misluk as jou ontleders nie die nuwe stelsel kan gebruik nie. 'n Goeie migrasieplan sal diepgaande aktivering vir u spanne insluit. Dink aan die opleiding van ingenieurs oor data-inskrywing en -ontleding, opleiding van ontleders oor gevallebestuur/ondersoek/triage, bedreigingjagters oor anomalie-opsporing/-soektog, en opsporingsingenieurs oor die skryf van reëls. Tydsberekening is krities vir aktivering. Dit is die beste om personeel op te lei terwyl hulle met spesifieke fases van migrasie begin, eerder as opleiding voordat daardie vaardighede vereis word.
• Kry hulp! As jy gelukkig (of dalk ongelukkig?) as praktisyn of leier is, sal jy dalk deur een of twee SIEM-migrasies in jou loopbaan gegaan het. Hoekom soek jy nie hulp van spesialiste wat dit dosyne of honderde kere gedoen het nie? Professionele diensspanne van die verkoper en/of konsultasiespanne van gekwalifiseerde diensvennote is 'n uitstekende keuse. SIEM-migrasies is grootliks mensgesentreerde pogings.

Sleutelproses: Kies 'n ontplooiingsvennoot
Geen besluit sal 'n groter impak op die uiteindelike sukses van 'n SIEM-migrasie hê as die keuse van 'n ontplooiingsvennoot nie. SIEM-platforms is grootskaalse, komplekse ondernemingstelsels. Moenie probeer om dit alleen te doen nie; hou by 'n ontplooiingsvennoot wat deur baie migrasies is.

Die ontplooiingsvennoot kan bloot die professionele dienste-arm van die nuwe SIEM-verskaffer wees. Dit is egter meer algemeen om 'n derdeparty-vennoot te kies om die migrasie uit te voer. Onthou SIEM-migrasie is 'n mens-geleide poging. Dit is die beste om 'n vennoot te kies met sertifisering in die nuwe SIEM en baie verwysbare vennote. Dit help ook as hulle kundigheid het in die SIEM waarvandaan jy migreer. Behalwe vir verwysings, is 'n slim manier om die vlak van ervaring van 'n vennoot met jou nuwe SIEM te bepaal, om na gemeenskapsforums te kyk om te sien of die span 'n aktiewe bydraer was. Na die mening van die skrywers korreleer hoogs betrokke vennootpersoneel met suksesvolle SIEM-migrasies. Behalwe die tegniese stukkies en grepe van die SIEM-migrasie, kan jy ook vennote kies wat spesifieke ondervinding het in jou bedryfsvertikaal, of in jou nakomingsomgewing, of in jou streek, of al drie! Jy kan vooraf na taalvaardighede en hulpbronne soektageuse tydsones. Jy kan ook vennote soek wat jou SIEM vir jou bedryf, of wat soortgelyke uitkomste lewer as 'n bestuurde sekuriteitsdiensverskaffer wat jou organisasie se SIEM gedeeltelik of ten volle kan uitkontrakteer.

Sleutelproses: Dokumenteer huidige konfigurasie en gebruiksgevalle
SIEM-ontplooiings is gewoonlik uitgestrek, en groei geleidelik in omvang en kompleksiteit oor jare se gebruik. Berei voor vir min of geen dokumentasie. Verwag dat personeel wat aanvanklike konfigurasie en aanpassing van die SIEM uitgevoer het, dikwels lankal weg is. Om die konfigurasie en vermoëns vroeg in die migrasieproses deeglik te dokumenteer, kan die verskil tussen sukses en mislukking beteken.

• Dokumenteer die identiteit en toegangsbestuur wat deur die SIEM gebruik word. U sal beslis 'n mate van rolgebaseerde toegang tot data en kenmerke moet behou. Aan die ander kant is migrasie 'n geleentheid om toegang te ontleed en aan te spreek wat natuurlik in die meeste organisasies voorkom. U kan ook na die migrasieproses kyk as 'n geleentheid om verifikasie-/magtigingsmetodes te moderniseer, insluitend die federasie van identiteit met korporatiewe standaarde en die implementering van multi-faktor-verifikasie.
• Vang die name van die datatipes wat ingesamel word vas. Let daarop dat sommige SIEM's hierdie name "brontipe" of "logtipe" noem. Vang vas hoeveel data van elke datatipe vloei met behulp van gigagrepe/dag as die maatstaf. Dokumenteer die datapyplyn vir elke databron (agent-gebaseerde, API-navraag, web haak, wolkemmer-inname, inname API, HTTP-luisteraar, ens.), en vang die SIEM se ontleder-konfigurasie saam met enige aanpassings vas.
• Versamel gestoorde soektogte, kontroleskermdefinisies en opsporingreëls. Baie SIEM's het ook aanhoudende databergingsmeganismes soos opsoektabelle. Maak seker dat u verstaan ​​en dokumenteer hoe dit gevul en gebruik word.
• Maak 'n inventaris van integrasies met eksterne stelsels. Baie SIEM's integreer met saakbestuurstelsels, relasionele databasisse, kennisgewingdienste (e-pos, SMS, ens.), en bedreigingsintelligensieplatforms.
• Vang reaksie-inhoud vas soos speelboeke, gevallebestuursjablone en enige aktiewe integrasies wat nie reeds gedokumenteer is nie.

Behalwe om hierdie belangrike tegniese besonderhede in te samel, is dit van kritieke belang om tyd te neem om in te mengview gebruikers van die bestaande SIEM om hul werkvloei te verstaan. Vra hoe hulle die SIEM gebruik, watter standaard bedryfsprosedures op die SIEM staatmaak. Dit is ook belangrik om breë vrae te vra, soos watter spanne buite sekuriteit die SIEM kan gebruik. Byvoorbeeldample, dit is nie ongewoon dat voldoeningspanne of IT-bedryfspersoneel op die SIEM staatmaak nie. As u nie hierdie gebruiksgevalle vaslê nie, kan dit later in die migrasieproses gemis verwagtinge veroorsaak.

Sleutelproses: Logbronmigrasie
Logbronmigrasie behels die verskuiwing van die databronne van die ou SIEM na die nuwe SIEM. Hierdie proses hang af van die dokumentasie van die huidige konfigurasie wat in die Proses: Dokumenteer huidige konfigurasie en gebruik afdeling.

Die volgende stappe is tipies betrokke by die logbron-migrasieproses:

1. Ontdekking en voorraad: Die eerste stap is om al die log-bronne wat tans deur die ou SIEM ingeneem word, te ontdek en inventaris te maak. Dit kan gedoen word met behulp van 'n verskeidenheid metodes, soos reviewdie SIEM se konfigurasie files of die gebruik van API's en verwante gereedskap.
2. Prioritisering: Sodra die log bronne ontdek en inventaris is, moet hulle geprioritiseer word vir migrasie. Dit kan gedoen word op grond van 'n aantal faktore, soos die analise wat deur die logbron gedryf word, die volume data, die kritiekheid van die data, voldoeningsvereistes en die kompleksiteit van die migrasieproses.
3. Migrasiebeplanning: Sodra die logbronne geprioritiseer is, moet 'n migrasieplan ontwikkel word.
4. Migrasie uitvoering: Die migrasieproses kan dan volgens die plan uitgevoer word. Dit kan 'n verskeidenheid take behels, soos die opstel van strome in die nuwe SIEM, die installering van agente, die opstel van API's, ens.
5. Toets en validering: Sodra die migrasie voltooi is, is dit belangrik om te toets en te bevestig dat die logdata behoorlik ingeneem word. Gebruik dit as 'n geleentheid om waarskuwing op te stel vir databronne wat stil geword het.
6. Dokumentasie: Ten slotte is dit belangrik om die nuwe log-bronkonfigurasie te dokumenteer.

Sleutelproses: Migreer opsporing en reaksie-inhoud
SIEM-bespeuring en reaksie-inhoud bestaan ​​uit reëls, soektogte, speelboeke, kontroleskerms en ander konfigurasies wat definieer waarop jou SIEM-waarskuwings en hoe dit ontleders help om daardie waarskuwings te hanteer. Sonder behoorlik gekonfigureerde inhoud is die SIEM net 'n spoggerige manier om te soek. Dit is "duur grep" - 'n term wat 'n kollega van die skrywers 'n aantal jare gelede geskep het. SIEM-inhoud speel 'n sleutelrol in die definisie van jou organisasie se ontdekkingsdekking.

• Opsporingsreëls word gebruik om sekuriteitsinsidente te identifiseer. Opsporingsingenieurs wat diepgaande kennis het van akteurs vir sekuriteitsbedreigings en die taktieke, tegnieke en prosedures (TTP's) wat aan hulle algemeen is, skryf dit. Opsporingsreëls soek patrone wat hierdie TTP's in die logdata verteenwoordig. Opsporingsreëls korreleer dikwels verskillende logbronne met mekaar en maak gebruik van bedreigingsintelligensiedata.
• Reaksie-speelboeke word gebruik om die reaksie op sekuriteitwaarskuwings te outomatiseer. Dit kan take insluit soos die stuur van kennisgewings, die isolering van gekompromitteerde gashere, die verryking van waarskuwings met kontekstuele data/bedreigingsintelligensie, en die uitvoer van remediëringsskrifte.
• Dashboards word gebruik om sekuriteitsdata te visualiseer en die status van sekuriteitsinsidente na te spoor. Hulle kan gebruik word om die algehele sekuriteitsposisie van die organisasie te monitor en om tendense en patrone te identifiseer.
• Die ontwikkeling van nuwe opsporing- en reaksie-inhoud is 'n iteratiewe proses. Dit is belangrik om die SIEM deurlopend te monitor en aanpassings aan die inhoud te maak soos nodig. SIEM-migrasie is 'n uitstekende tyd om u prosesse te verbeter deur benaderings soos opsporing as kode (DaC) te gebruik.

Sleutelproses: Opleiding en bemagtiging
'n Proses wat dikwels oor die hoof gesien word tydens SIEM-migrasie is gebruikersopleiding. Die SIEM is miskien die belangrikste enkele instrument wat 'n sekuriteitsbedrywighedespan gebruik. Hul vermoë om dit effektief en produktief te gebruik sal 'n groot rol speel in die sukses van die migrasie, en hul vermoë om jou organisasie te beskerm. Maak staat op jou SIEM-verskaffer en ontplooiingsvennoot om opleidingsinhoud en aflewering te verskaf. Hier is 'n kort lys van onderwerpe waaroor jou spanne geaktiveer moet word.

• Log voerinname en ontleding aan
• Soek / Ondersoek
• Gevallebestuur
• Reël Skrywer
• Dashboard ontwikkeling
• Speelboek / Outomatisering

Gevolgtrekking

• Uiteindelik is migrasie van 'n erfenis-SIEM na 'n moderne oplossing onvermydelik. Alhoewel die uitdagings dalk skrikwekkend lyk, kan 'n goed beplande en uitgevoer migrasie lei tot beduidende verbeterings in bedreigingsopsporing, reaksievermoëns en algehele sekuriteitsposisie.
• Deur die keuse van 'n nuwe SIEM noukeurig te oorweeg, die sterkpunte van wolk-inheemse argitektuur te benut, gevorderde bedreigingsintelligensie in te sluit en KI-gedrewe kenmerke te gebruik, kan organisasies hul sekuriteitspanne bemagtig om proaktief teen voortdurend ontwikkelende bedreigings te verdedig. Die suksesvolle migrasieproses behels noukeurige beplanning, omvattende dokumentasie, strategiese logbron- en inhoudmigrasie, deeglike toetsing en omvattende gebruikersopleiding.
• Samewerking met ervare ontplooiingspesialiste kan van onskatbare waarde wees om die kompleksiteite te navigeer en 'n gladde oorgang te verseker. Met 'n verbintenis tot voortdurende verbetering en 'n fokus op opsporingsingenieurswese, kan organisasies die volle benut
• potensiaal van hul nuwe SIEM en versterk hul sekuriteitsverdediging vir die komende jare.

Bykomende leeswerk

• "Hoe Google SecOps kan help om jou SIEM-stapel aan te vul" -vraestel
• "Toekoms van die SOC: Evolusie of Optimalisering - Kies jou pad" papier
• Google Wolk Sekuriteit Gemeenskap Blog
• Detection Engineering Weeklikse Nuusbrief
• bespeur.fyi – Praktisyn-gesentreerde wenke oor opsporingsingenieurswese
• Aan die gang met opsporing-as-kode en Google-sekuriteitsbedrywighede – David French (Deel een, deel twee)
• Implementering van 'n moderne Detection Engineering Workflow - Dan Lussier (Deel een, deel twee, deel drie)

Vir meer inligting besoek cloud.google.com

Gereelde vrae

V: Wat is die doel van die Groot SIEM-migrasiegids?
A: Die gids het ten doel om organisasies te help om van verouderde SIEM-oplossings oor te skakel na nuwer, meer doeltreffende opsies vir bedreigingopsporing en -reaksie.

V: Hoe kan ek voordeel trek uit 'n wolk-inheemse SIEM?
A: Wolk-inheemse SIEM's bied skaalbaarheid, kostedoeltreffendheid en effektiewe sekuriteit vir wolkwerkladings as gevolg van hul argitektuur en vermoëns.