Google Cloud SIEM -siirtoohjeet

Google Cloud SIEM Migration Instructions
Google Cloud-logo

Google Cloud SIEM -siirto

Google-Cloud-SIEM-Migration-tuote

Tuotetiedot

Tekniset tiedot:

  • Tuotteen nimi: SIEM Migration Guide
  • Tekijä: Tuntematon
  • Julkaistu vuosi: Ei määritelty

Tuotteen käyttöohjeet

  • Uuden SIEM:n valitseminen
    Aloita kysymällä itseltäsi ja tiimiltäsi joitakin keskeisiä kysymyksiä, jotka auttavat paljastamaan kunkin tarjouksen vahvuudet ja heikkoudet. Tunnista nopeasti kunkin SIEM:n supervoimat ja suunnittele, kuinka organisaatiosi voi edistyätage heistä.
  • Pilvipohjainen SIEM
    Harkitse, tarjoaako SIEM:n ensisijainen pilvipalveluntarjoaja (CSP), joka voi tarjota maailmanlaajuisen infrastruktuurin tukkuhinnoilla. Pilvipohjaiset SIEM-käyttöönottomallit mahdollistavat pilvityökuormien skaalautuvuuden ja dynaamisen hallinnan.
  • SIEM älykkäällä
    Tarkista, tarjoaako SIEM-toimittaja jatkuvaa etulinjan uhkien tiedustelutietoa uusien ja uusien uhkien havaitsemiseksi heti.

SIEM on kuollut, eläköön SIEM

Jos olet kuin me, saatat yllättyä siitä, että vuonna 2024 tietoturvatieto- ja tapahtumahallintajärjestelmät (SIEM) ovat edelleen useimpien turvatoimintojen keskusten (SOC) selkäranka. SIEMejä on aina käytetty tietoturvatietojen keräämiseen ja analysointiin organisaatiostasi, jotta voit tunnistaa, tutkia ja reagoida uhkiin nopeasti ja tehokkaasti. Mutta todellisuus on, että nykypäivän modernit SIEM-järjestelmät eivät juurikaan muistuta niitä, jotka rakennettiin yli 15 vuotta sitten, ennen pilvipohjaisen arkkitehtuurin, käyttäjäkokonaisuuksien ja käyttäytymisanalyysin (UEBA), tietoturvaorganisaation, automaation ja vasteiden (SOAR), hyökkäyspinnan hallinnan nousua. ja tietysti tekoäly, muutamia mainitakseni.
Vanhat SIEM:it ovat usein hitaita, hankalia ja vaikeita käyttää. Niiden vanha arkkitehtuuri estää usein niitä skaalautumasta suuren volyymin lokilähteisiin, eivätkä he välttämättä pysty pysymään uusimpien uhkien perässä tai tukemaan uusimpia ominaisuuksia ja ominaisuuksia. Ne eivät välttämättä tarjoa joustavuutta organisaatiosi erityisvaatimusten täyttämiseksi tai ne eivät sovellu monipilvistrategiaan, joka on todellisuutta useimmille organisaatioille nykyään. Lopuksi he voivat olla huonosti sijoittuneet edistymääntagviimeisintä teknologista kehitystä, kuten tekoälyä (AI).
Joten vaikka minkä tahansa muun nimen SIEM saattaa kuulostaa yhtä suloiselta, turvallisuusoperaatioiden tiimit luottavat jatkossakin
"turvallisuusoperaatioalustoja" (tai millä tahansa nimellä niitä käytetään) lähitulevaisuudessa uhkien havaitsemiseen, tutkimiseen ja reagoimiseen.

Suuri SIEM-siirto on alkanut

SIEM-siirto ei ole uusi asia. Organisaatiot ovat rakastuneet olemassa olevaan SIEM-järjestelmäänsä ja etsineet uusia ja parempia vaihtoehtoja vuosia. Organisaatiot ovat ehkä useammin sietäneet heikosti toimivaa ja/tai liian kallista SIEM-järjestelmää pidempään kuin he olisivat halunneet, mikä johtuu osittain siitä, että SIEM-siirtymisen monimutkaisuus on huolestunut.
Mutta viime kuukaudet ovat tuoneet SIEM-avaruuteen tektonisia muutoksia, joita ei voi aliarvioida. Ei ole epäilystäkään siitä, että SIEM-maisema muuttuu täysin muutaman vuoden kuluttua – synnyttää uusia markkinajohtajia ja nähdään SIEM-maata vuosikymmeniä hallinneiden "dinosaurusten" vähenemisen ja ehkä jopa kuoleman (tai " eons" kyberturvallisuuden termein). Tämä kehitys kiihdyttää epäilemättä siirtymistä vanhoista SIEM-alustoista nykyaikaisiin alustoihin, ja monet organisaatiot kohtaavat nyt todellisuuden, milloin heidän pitäisi siirtyä sen sijaan, että niiden pitäisi siirtyä.

Tässä on yhteenveto merkittävistä muutoksista pelkästään viimeisen 9 kuukauden aikana:

Google-Cloud-SIEM-Migration-fig- (1)

Nykyisen SIEM:n puutteiden tunnistaminen on paljon helpompaa kuin parhaan korvaavan osan valitseminen ja onnistuneen siirron suorittaminen. On myös tärkeää huomata, että SIEM-käyttöönoton epäonnistumiset voivat johtua myös prosesseista (ja joskus ihmisistä), ei vain tekniikasta. Siinä tämä artikkeli tulee esiin. Kirjoittajat ovat nähneet satoja SIEM-siirtymiä harjoittajina, analyytikoina ja myyjinä useiden vuosikymmenten ajan. Tarkastellaanpa siis vuoden 2024 parhaita SIEM-siirtovinkkejä. Jaamme tämän luettelon luokkiin ja lisäämme kaivannoista opittuja asioita.

Uuden SIEM:n valitseminen

Aloita kysymällä itseltäsi ja tiimiltäsi joitakin keskeisiä kysymyksiä, jotka auttavat paljastamaan kunkin tarjouksen vahvuudet ja heikkoudet. Suosittelemme tunnistamaan nopeasti kunkin SIEM:n "supervoimat" ja suunnittelemaan, kuinka organisaatiosi voi edistyätage niistä. esimampseuraavat:

  • Pilvipohjainen SIEM
    • Tarjoaako SIEM:ää ensisijainen pilvipalveluntarjoaja (CSP), joka voi tarjota maailmanlaajuisen infrastruktuurin tukkuhinnoilla?
      Kokemuksemme osoittaa, että SIEM-palveluntarjoajilla, jotka toimivat pilvissä, joita he eivät omista, on vaikeuksia selviytyä tällaisten mallien mukana tulevasta väistämättömästä marginaalista. Tämä kysymys liittyy erottamattomasti kustannuksiin.
      Pilvipohjaisen SIEM-käyttöönottomallin avulla SIEM voi myös skaalata ylös ja alas vastauksena uusiin uhkiin ja myös hallita organisaation pilvityökuormien dynaamista luonnetta. Pilviinfrastruktuuri ja -sovellukset voivat kasvaa dramaattisesti muutamassa minuutissa. Pilvipohjainen SIEM-arkkitehtuuri mahdollistaa tietoturvatiimien kriittisten työkalujen skaalaamisen samalla nopeudella suuremman organisaation tarpeiden mukaan.
      Pilvipohjaiset SIEM:t ovat myös hyvässä asemassa suojaamaan pilvityökuormia. Ne tarjoavat matalan viiveen tiedonkeruun pilvipalveluista ja toimittavat tunnistussisältöä, joka auttaa tunnistamaan pilvessä yleisiä hyökkäyksiä.
  • SIEM älykkäällä
    • Onko SIEM-toimittajalla jatkuva etulinjan uhkien tiedusteluvirta, joka auttaa havaitsemaan uusia ja uusia uhkia?
      Nämä kultaiset lähteet syntyvät tyypillisesti huipputason tapaturmien reagointikäytännöistä, massiivisten kuluttajien IaaS- tai SaaS-pilvitarjousten toiminnasta tai tietoturvaohjelmistojen tai käyttöjärjestelmien globaaleista asennuskannoista.
      Uhkien tiedustelu on kriittistä organisaatioille, jotta ne voivat tehokkaasti havaita, luokitella, tutkia ja reagoida tietoturvahäiriöihin. Etulinjan uhkien tiedustelu on erityisesti arvokasta, koska se tarjoaa reaaliaikaista tietoa uusimmista uhista ja haavoittuvuuksista. Näiden tietojen avulla voidaan nopeasti tunnistaa ja priorisoida tietoturvaloukkauksia sekä kehittää ja toteuttaa tehokkaita reagointistrategioita.
      Parantaakseen reaaliaikaisia ​​uhkien havaitsemis- ja reagointivalmiuksia turvallisuusorganisaatiot pyrkivät integroimaan uhkatiedon ja niihin liittyvät tietosyötteet saumattomasti turvallisuustoimintojensa työnkulkuihin ja työkaluihin. Kääntötuoli, copy-paste ja hauraat integraatiot SIEM:n ja uhkatietolähteiden välillä heikentävät tuottavuutta, ja niillä on negatiivinen vaikutus tiimin tehokkuuteen ja analyytikkokokemukseen.
  • SIEM kuratoidulla sisällöllä
    • Tarjoaako SIEM laajan kirjaston tuettuja jäsentimiä ja tunnistussääntöjä sekä vastaustoimintoja?
      Kärki: Jotkut SIEM-toimittajat luottavat lähes yksinomaan käyttäjäyhteisöihinsä tai teknisiin liittoutumakumppaneihinsa luodakseen jäsentimiä suosittuja tietosyötteitä varten. Vaikka kukoistava käyttäjäyhteisö on välttämätön, liiallinen luottaminen siihen perusominaisuuksien, kuten jäsentämisen, tarjoamiseksi on ongelma. Yleisten tietolähteiden jäsentimiä tulee luoda, ylläpitää ja tukea suoraan SIEM-toimittajan toimesta. Käytä samaa lähestymistapaa tarkastellessasi tunnistussäännön sisältöä. Yhteisön säännöt ovat välttämättömiä, mutta sinun tulee odottaa, että toimittajasi luo ja ylläpitää vankkaa kirjastoa ydintunnistuksista, joita testataan, tuetaan ja parannetaan säännöllisesti. Laadukas, kuratoitu uhkien havaitseminen on kriittistä organisaatioille, jotta ne voivat hallita tehokkaasti tietoturva-asentoaan. Google SecOps mahdollistaa uusien ja nousevien uhkien heti havaitsemisen, mikä voi auttaa organisaatioita tunnistamaan nopeasti tietoturvahäiriöitä ja reagoimaan niihin.
  • SIEM ja AI
    • Sisältääkö SIEM tekoälyä, ja onko sillä mahdollisuudet jatkaa innovointia?
      Yksikään toimittaja ei ole vieläkään täysin ymmärtänyt tekoälyn roolia SIEM:ssä (paljon vähemmän toteutettu). Johtavilla SIEM-malleilla on kuitenkin jo nykyään konkreettisia tekoälypohjaisia ​​ominaisuuksia. Näitä ominaisuuksia ovat luonnollisen kielen käsittely hakujen ja sääntöjen ilmaisemiseksi, automaattinen tapausten yhteenveto ja suositellut vastaustoimet. Useimmat asiakkaat ja alan tarkkailijat pitävät uhkien havaitsemisen ja ennakoivan vihollisen analyysin kaltaisia ​​ominaisuuksia joidenkin AI-ohjattujen SIEM-ominaisuuksien "pyhinä graaleina". Mikään SIEM ei tarjoa näitä ominaisuuksia luotettavasti nykyään. Kun valitset uuden SIEM:n vuonna 2024, harkitse, investoiko toimittaja tarvittavia resursseja näiden muutosominaisuuksien merkittävään edistymiseen.

Google Security Operations (aiemmin Chronicle) on Google Cloudin tarjoama pilvipohjainen SIEM-ratkaisu. Se on suunniteltu auttamaan organisaatioita keräämään keskitetysti lokeja ja muita tietoturvatelemetriaa ja sitten havaitsemaan, tutkimaan ja reagoimaan tietoturvauhkiin reaaliajassa. 

  • Tunnista ja priorisoi turvallisuusuhat: Google SecOpsin valmiit tunnistussäännöt tunnistavat ja priorisoivat tietoturvauhat reaaliajassa. Tämä auttaa organisaatioita reagoimaan nopeasti ja tehokkaasti kriittisimpiin uhkiin.
  • Tietoturvahäiriöiden tutkiminen: Google SecOps tarjoaa keskitetyn alustan tietoturvahäiriöiden tutkimiseen. Tämä auttaa organisaatioita keräämään todisteita nopeasti ja tehokkaasti ja määrittämään tapahtuman laajuuden.
  • Turvallisuushäiriöihin reagoiminen: Google SecOps tarjoaa erilaisia ​​työkaluja, jotka auttavat organisaatioita reagoimaan tietoturvahäiriöihin, kuten automaattiseen korjaukseen. Uhkien metsästäjät pitävät alustan nopeutta, hakuominaisuuksia ja sovellettua uhkatietoa korvaamattomina jäljitettäessä hyökkääjiä, jotka ovat saattaneet lipsahtaa halkeamien läpi. Tämä auttaa organisaatioita hillitsemään ja lieventämään tietoturvahäiriöiden vaikutuksia nopeasti ja tehokkaasti.
    Google SecOpsilla on useita lisätoimintojatagon perinteisiin SIEM-ratkaisuihin verrattuna, mukaan lukien:
  • Tekoäly: Google SecOps käyttää Googlen Gemini AI -tekniikkaa, jonka avulla puolustajat voivat etsiä valtavia määriä dataa sekunneissa luonnollisella kielellä ja tehdä nopeampia päätöksiä vastaamalla kysymyksiin, tekemällä yhteenvetoja tapahtumista, etsimällä uhkia, luomalla sääntöjä ja toimittamalla suositeltuja toimia tutkimusten kontekstin perusteella. Tietoturvatiimit voivat myös käyttää Geminiä Security Operationsissa luodakseen helposti vastausohjekirjoja, mukauttaakseen kokoonpanoja ja sisällyttääkseen parhaita käytäntöjä, mikä auttaa yksinkertaistamaan aikaa vieviä tehtäviä, jotka vaativat syvällistä asiantuntemusta.
  • Applied Threat Intelligence: Google SecOps integroituu natiivisti Google Threat Intelligencen (GTI) kanssa, joka kattaa VirusTotalin, Mandiant Threat Intelligencen ja sisäisten Google Threat -tietolähteiden yhdistetyn tiedon, jotta asiakkaat voivat havaita enemmän uhkia pienemmällä vaivalla.
  • Skaalautuvuus: Google SecOps on pilvipohjainen ratkaisu, joten se voi hyödyntää Google-pilven tarjoamaa hyperscale-pilviinfrastruktuuria vastaamaan minkä tahansa organisaation kapasiteetti- ja suorituskykytarpeisiin koosta riippumatta.
  • Integrointi Google Cloudiin: Google SecOps on tiiviisti integroitu muihin Google Cloud -tuotteisiin ja -palveluihin, kuten Google Cloud Security Command Center Enterprise (SCCE). Tämän integroinnin ansiosta organisaatioiden on helppo hallita tietoturvatoimintojaan yhdellä yhtenäisellä alustalla. Google SecOps on paras SIEM GCP-palvelun telemetriaan, ja se sisältää myös valmiin tunnistussisällön muille suurille pilvipalveluntarjoajille, kuten AWS ja Azure.

Applied Threat Intelligence Google SecOpsissa
Google SecOps antaa tietoturvatiimille mahdollisuuden hallita ja analysoida turvallisuustietoja, jotka korreloidaan automaattisesti ja rikastetaan uhkatiedoilla. Integroimalla uhkatiedon suoraan SIEM-järjestelmääsi, organisaatiot voivat:

  • Paranna havaitsemista ja erottelua: Uhkatietoja voidaan käyttää suoraan sääntöjen luomiseen, jotka voivat auttaa tunnistamaan haitallisen toiminnan reaaliajassa. Näitä tietoja käytetään myös kontekstin lisäämiseen muihin hälytyksiin ja hälytyksen luotettavuuden säätämiseen automaattisesti. Tämä auttaa organisaatioita havaitsemaan ja luokittelemaan tietoturvahäiriöt nopeasti ja keskittämään resurssinsa kriittisimpiin uhkiin.
  • Tehosta tutkimusta ja vastausta: Uhkatietojen avulla voidaan tarjota kontekstia ja näkemyksiä turvallisuustutkinnan aikana. Tämä voi auttaa analyytikot tunnistamaan nopeasti tapahtuman perimmäisen syyn ja kehittämään ja toteuttamaan tehokkaita reagointistrategioita.
  • Pysy uhkamaiseman edellä: Uhkatuhu voi auttaa organisaatioita pysymään uhkakuvan edellä tarjoamalla tietoa uusimmista uhista ja haavoittuvuuksista. Näitä tietoja voidaan käyttää ennakoivien turvatoimien, kuten uhkien metsästyksen ja turvallisuustietoisuuskoulutuksen, kehittämiseen ja toteuttamiseen.

Uhkien havaitseminen Google SecOpsissa
Google SecOps -uhkien havaitseminen perustuu Googlen turvallisuustiimien jatkuvaan etulinjan uhkien tiedustelutietoihin. Tätä älykkyyttä käytetään luomaan sääntöjä ja hälytyksiä, jotka voivat tunnistaa haitallisen toiminnan reaaliajassa. Google SecOps käyttää myös käyttäytymisanalytiikkaa ja riskipisteytystä tunnistaakseen epäilyttävät mallit tietoturvatiedoista. Näin Google SecOps voi havaita uhkia, joita ei voida havaita perinteisillä tunnistussäännöillä.

Korkealaatuisen, kuratoidun uhkien havaitsemisen arvo on selvä. Google SecOpsia käyttävät organisaatiot voivat hyötyä:

  • Parannettu tunnistus ja erottelu: Google SecOps voi auttaa organisaatioita tunnistamaan ja luokittelemaan tietoturvahäiriöt nopeasti. Näin organisaatiot voivat keskittää resurssinsa kriittisimpiin uhkiin.
  • Tehostettu tutkinta ja vastaus: Google SecOps voi tarjota kontekstia ja oivalluksia tietoturvatutkimusten aikana. Tämä voi auttaa analyytikot tunnistamaan nopeasti tapahtuman perimmäisen syyn ja kehittämään ja toteuttamaan tehokkaita reagointistrategioita.
  • Pysy uhkakuvan kärjessä: Google SecOps voi auttaa organisaatioita pysymään uhkakuvien edellä tarjoamalla tietoa uusimmista uhista ja haavoittuvuuksista. Näitä tietoja voidaan käyttää ennakoivien turvatoimien, kuten uhkien metsästyksen ja turvallisuustietoisuuskoulutuksen, kehittämiseen ja toteuttamiseen.

SIEM-siirto

Joten olet päättänyt tehdä muutoksen. Lähestymistapasi on ratkaisevan tärkeä sen varmistamiseksi, että ylläpidät vaadittuja ominaisuuksia ja alat hankkia arvoa uudesta alustasta mahdollisimman pian. Kyse on priorisoinnista. Tyypillinen kompromissi on sen tunnustaminen, että vaikka SIEM-siirto tarjoaa mahdollisuuden modernisoida koko lähestymistapasi tutkimiseen, havaitsemiseen ja reagointiin, monet SIEM-siirrot epäonnistuvat, koska organisaatiot yrittävät "keittää valtameren".

Tässä on parhaat vinkkimme onnistuneen SIEM-siirtymän suunnitteluun ja toteuttamiseen:

  • Määrittele muuttotavoitteesi. Tämä kuulostaa itsestään selvältä, mutta SIEM-siirtymäsi on pitkä prosessi, joten haluttujen tulosten määrittäminen (esim. nopeampi uhkien havaitseminen, helpompi vaatimustenmukaisuusraportointi, parempi näkyvyys, pienempi analyytikkotyö ja alentaa kustannuksia) korreloi vahvasti menestyksen kanssa.
  • Käytä muuttoa mahdollisuutena kodin siivoamiseen. Tämä on hyvä aika siivota tunnistussäännöt ja lokilähteet ja siirrä vain ne, joita todella käytät. Se on myös hyvä aika uudelleenview hälytys- ja viritysprosessit ja varmista, että ne ovat ajan tasalla.
  • Älä siirrä jokaista lokilähdettä. Siirtyminen uuteen SIEM:iin on loistava tilaisuus päättää, mitä lokeja tarvitset, olipa kyse sitten vaatimustenmukaisuudesta tai turvallisuussyistä. Monet organisaatiot keräävät ajan mittaan valtavan määrän lokitietoja, jotka eivät välttämättä ole arvokkaita tai merkityksellisiä. Kun käytät aikaa lokilähteiden arvioimiseen ennen niiden siirtämistä, voit virtaviivaistaa SIEM-järjestelmääsi ja keskittyä tietoturva- ja vaatimustenmukaisuustarpeidesi kannalta tärkeimpiin tietoihin.
  • Älä siirrä kaikkea sisältöä. Kaiken olemassa olevan tunnistussisältösi, sääntöjen, hälytysten, kojetaulujen, visualisointien ja pelikirjojen siirtäminen uuteen SIEM:iin ei aina ole välttämätöntä. Käytä aikaa arvioidaksesi nykyisen havaitsemisen kattavuus ja priorisoi tarvitsemiesi sääntöjen siirto. Löydät mahdollisuuksia konsolidoida sääntöjä, poistaa sääntöjä, jotka eivät koskaan voi käynnistyä telemetrian puutteen tai virheellisen logiikan vuoksi, tai sääntöjä, joita käsittelee paremmin käyttövalmis sisältö. Kysy jokaiselta toimittajalta tai käyttöönottokumppanilta, joka kannattaa henkilökohtaista säännön siirtoa.
  • Priorisoi sisällön varhainen siirto. Aloita havaitsemisen sisällön siirto välittömästi, kun lokilähteet ja täsmennykset ovat saatavilla jokaisessa käyttötapauksessa. Tämä datalähtöinen lähestymistapa, joka sovittaa lähteet käyttötapausten kanssa, mahdollistaa rinnakkaiset siirrot optimaalisen tehokkuuden ja tulosten saavuttamiseksi.
  • Tunnistuksen sisällön siirto on ihmisen johtama prosessi. Valmistaudu rakentamaan uudelleen havaittavaa sisältöä (säännöt, hälytykset, kojelaudat, mallit jne.) (useimmiten) tyhjästä käyttämällä vanhaa sisältöäsi inspiraationa. Nykyään ei ole idioottivarmaa menetelmää sääntöjen automaattiseen muuntamiseen SIEM-alustasta toiseen. Vaikka jotkut toimittajat tarjoavat syntaksinkääntäjiä, ne johtavat yleensä hyviin poikkeaviin kohtiin täydellisesti käännetyn säännön, haun tai kojelaudan sijaan. Sinun pitäisi ottaa maksimaalinen etutagnäistä työkaluista, mutta huomaa, että ne eivät ole ihmelääke.
  • Tunnistussisältö tulee monista lähteistä. Analysoi havaitsemisen kattavuustarpeesi ja ota sitten käyttöön tai luo tunnistuskäyttötapaukset tarpeen mukaan. SIEM-myyjäsi tarjoaa valmiita sisältöä, jota sinun tulee aina hyödyntää, jos mahdollista. Harkitse myös yhteisön sääntövarastot ja kolmannen osapuolen tunnistussisällön tarjoajat. Kirjoita tarvittaessa omat sääntösi ja muista useimmat säännöt niiden alkuperästä riippumatta, ja ne on viritettävä organisaatiosi ympäristöön sopivaksi.
  • Kehitä realistinen siirtymäaikajana. Tämä sisältää tiedonsiirron, testauksen, virityksen, koulutuksen ja mahdollisten päällekkäisyyksien huomioimisen, kun saatat joutua käyttämään molempia järjestelmiä rinnakkain. Hyvin määritelty siirtosuunnitelma auttaa sinua tunnistamaan ja vähentämään riskejä sekä varmistamaan, että siirto onnistuu. Suunnitelman tulee sisältää yksityiskohtainen aikataulu, luettelo tehtävistä, resursseista ja budjetti. Ymmärrä, että suuret projektit, kuten SIEM-migraatio, on jaettava vaiheisiin.
  • Testaus. Suosittelemme testaamaan SIEM- ja tunnistussisältöäsi syöttämällä säännöllisesti tietoja, jotka käynnistävät havaitsemisesi, tarkistamalla jäsennyksen ja vahvistamalla tietovirran havaitsemisesta tapaukseen vastaamiseen. SIEM-siirtyminen on täydellinen aika ottaa käyttöön tiukka havaitsemistekniikkaohjelma joka sisältää tällaisen testauksen.
  • Valmistaudu siirtymäkauteen, jonka aikana käytät sekä vanhoja että uusia työkaluja. Vältä häiritsevää "repi ja korvaa" -lähestymistapaa. Vaiheittainen siirto, jossa siirrät lokilähteitä ja käyttötapauksia asteittain, auttaa hallitsemaan prosessia ja vähentämään riskejä. Harkitse myös kahdesti tietojen siirtämistä vanhasta SIEM:stä uuteen. Joissakin tapauksissa saatat pystyä jättämään edellisen SIEM:n päälle pitkiksi ajoiksi, jotta historiatietoihin pääsee käsiksi.
  • Ota tiimisi käyttöön. SIEM-siirtosi epäonnistuu, jos analyytikot eivät voi käyttää uutta järjestelmää. Hyvä siirtosuunnitelma sisältää kattavat mahdollisuudet tiimeillesi. Ajattele insinöörien kouluttamista tietojen käyttöönottoon ja jäsentämiseen, tapausten hallinnan/tutkinnan/tutkinnan analyytikot, poikkeamien havaitsemiseen/hakuun liittyvää uhkien metsästäjiä ja sääntöjen kirjoittamisen havaitsemisinsinöörejä. Ajoitus on kriittistä käyttöönoton kannalta. On parasta kouluttaa henkilöstöä, kun he aloittavat muuttoliikkeen tietyt vaiheet, sen sijaan, että koulutettaisiin ennen kuin näitä taitoja tarvitaan.
  • Hae apua! Jos olet onnekas (tai ehkä epäonninen?) harjoittajana tai johtajana, olet ehkä käynyt läpi yhden tai kaksi SIEM-siirtoa urasi aikana. Mikset hakeisi apua asiantuntijoilta, jotka ovat tehneet sen kymmeniä tai satoja kertoja? Asiantuntevat palvelutiimit myyjältä ja/tai konsulttitiimit päteviltä palvelukumppaneilta ovat loistava valinta. SIEM-migraatiot ovat suurelta osin ihmiskeskeisiä ponnisteluja.

Google-Cloud-SIEM-Migration-fig- (2)

Avainprosessi: Valitse käyttöönottokumppani
Millään päätöksellä ei ole suurempaa vaikutusta SIEM-siirtämisen lopulliseen onnistumiseen kuin käyttöönottokumppanin valinnalla. SIEM-alustat ovat suuria, monimutkaisia, yritysjärjestelmiä. Älä yritä tehdä sitä yksin; pidä kiinni käyttöönottokumppanista, joka on käynyt läpi monia siirtoja.

Käyttöönottokumppani saattaa olla yksinkertaisesti uuden SIEM-toimittajan asiantuntijapalvelut. On kuitenkin yleisempää valita kolmannen osapuolen kumppani suorittamaan siirto. Muista, että SIEM-siirto on ihmisen johtama yritys. Parasta on valita kumppani, jolla on sertifioinnit uudessa SIEM-järjestelmässä ja runsaasti vertailukelpoisia kumppaneita. Se auttaa myös, jos heillä on asiantuntemusta SIEM:stä, josta siirryt. Viitteiden lisäksi fiksu tapa määrittää kumppanisi kokemus uudesta SIEM-järjestelmästäsi on käydä yhteisön foorumeilla nähdäksesi, onko tiimi ollut aktiivinen avustaja. Kirjoittajien mielestä erittäin sitoutunut kumppanihenkilöstö korreloi onnistuneiden SIEM-migraatioiden kanssa. SIEM-siirtymisen teknisten bittien ja tavujen lisäksi voit myös valita kumppaneita, joilla on erityistä kokemusta alaltasi, vaatimustenmukaisuusympäristöstäsi tai alueesi tai kaikki kolme! Voit etsiä kielitaitoa ja resursseja etukäteentagaikavyöhykkeitä. Voit myös etsiä kumppaneita, jotka ylläpitävät SIEM:iä puolestasi tai jotka tuottavat samanlaisia ​​tuloksia kuin hallitun tietoturvapalvelun tarjoaja, joka voi ulkoistaa organisaatiosi SIEM:n osittain tai kokonaan.

Avainprosessi: dokumentoi nykyiset konfiguraatiot ja käyttötapaukset
SIEM-asennukset ovat yleensä laajoja, ja niiden laajuus ja monimutkaisuus kasvavat tasaisesti vuosien käytön aikana. Valmistaudu vähän tai ei ollenkaan dokumentaatiota. Odota, että henkilöstö, joka teki SIEM:n alkuperäisen konfiguroinnin ja mukauttamisen, on usein poissa. Määrityksen ja ominaisuuksien perusteellinen dokumentointi siirtoprosessin varhaisessa vaiheessa voi merkitä eroa onnistumisen ja epäonnistumisen välillä.

  • Dokumentoi SIEM:n käyttämä identiteetti ja pääsynhallinta. Sinun on varmasti säilytettävä rooleihin perustuva pääsy tietoihin ja ominaisuuksiin. Toisaalta migraatio on mahdollisuus analysoida ja puuttua pääsyn hajaantumiseen, jota esiintyy luonnollisesti useimmissa organisaatioissa. Voit myös tarkastella siirtoprosessia mahdollisuutena modernisoida todennus-/valtuutusmenetelmiä, mukaan lukien identiteetin yhdistäminen yritysstandardien kanssa ja monitekijätodennuksen käyttöönotto.
  • Tallenna kerättävien tietotyyppien nimet. Huomaa, että jotkut SIEMit kutsuvat näitä nimiä "lähdetyyppi" tai "lokityyppi". Tallenna kunkin tietotyypin tiedon määrä käyttämällä gigatavua/päivä mittarina. Dokumentoi kunkin tietolähteen dataputki (agenttipohjainen, API-kysely, web koukku, pilvisämpäri, käsittely-API, HTTP-kuuntelija jne.) ja kaapata SIEM:n jäsennysmääritykset ja mukautukset.
  • Kerää tallennetut haut, kojelaudan määritelmät ja tunnistussäännöt. Monilla SIEM:illä on myös pysyvät tiedontallennusmekanismit, kuten hakutaulukot. Muista ymmärtää ja dokumentoida, kuinka ne täytetään ja käytetään.
  • Tee luettelo integraatioista ulkoisten järjestelmien kanssa. Monet SIEMit integroituvat tapaustenhallintajärjestelmiin, relaatiotietokantoihin, ilmoituspalveluihin (sähköposti, tekstiviesti jne.) ja uhkien tiedustelualustoihin.
  • Tallenna vastaussisältö, kuten pelikirjat, tapaustenhallintamallit ja kaikki aktiiviset integraatiot, joita ei ole vielä dokumentoitu.

Näiden tärkeiden teknisten yksityiskohtien keräämisen lisäksi on tärkeää varata aikaa vuorovaikutukseenview nykyisen SIEM:n käyttäjät ymmärtävät työnkulkunsa. Kysy, kuinka he käyttävät SIEM:iä, mitkä vakiotoimintamenettelyt perustuvat SIEM:iin. On myös tärkeää esittää laajoja kysymyksiä, kuten mitkä tietoturvan ulkopuoliset tiimit voivat käyttää SIEM:ää. esimampEi ole harvinaista, että vaatimustenmukaisuustiimit tai IT-toimintojen henkilökunta luottavat SIEMiin. Jos näitä käyttötapauksia ei pystytä taltioimaan, se voi aiheuttaa odotusten menettämistä myöhemmässä siirtoprosessissa.

Avainprosessi: lokilähteen siirto
Lokilähteen siirto sisältää tietolähteiden siirtämisen vanhasta SIEM:stä uuteen SIEM:iin. Tämä prosessi riippuu nykyisen konfiguraation dokumentaatiosta, joka on koottu Prosessi: Dokumentoi nykyinen kokoonpano ja käyttö osio.

Seuraavat vaiheet liittyvät yleensä lokilähteen siirtoprosessiin:

  1. Löytö ja inventaario: Ensimmäinen askel on löytää ja inventoida kaikki lokilähteet, joita vanha SIEM tällä hetkellä syöttää. Tämä voidaan tehdä useilla menetelmillä, kuten reviewSIEM:n kokoonpanon files tai käyttämällä sovellusliittymiä ja niihin liittyviä työkaluja.
  2. Priorisointi: Kun lokilähteet on löydetty ja inventoitu, ne on priorisoitava siirtoa varten. Tämä voidaan tehdä useiden tekijöiden perusteella, kuten lokilähteen ohjaaman analytiikan, datan määrän, tietojen kriittisyyden, vaatimustenmukaisuusvaatimusten ja siirtoprosessin monimutkaisuuden perusteella.
  3. Muuttoliikkeen suunnittelu: Kun lokilähteet on priorisoitu, on laadittava siirtosuunnitelma.
  4. Siirron toteutus: Siirtoprosessi voidaan sitten suorittaa suunnitelman mukaisesti. Tämä voi sisältää erilaisia ​​tehtäviä, kuten syötteiden määrittämistä uudessa SIEM:ssä, agenttien asentamista, API:iden määrittämistä jne.
  5. Testaus ja validointi: Kun siirto on valmis, on tärkeää testata ja vahvistaa, että lokitiedot syötetään oikein. Käytä tätä mahdollisuutena määrittää hälytykset tietolähteistä, jotka ovat vaienneet.
  6. Dokumentaatio: Lopuksi on tärkeää dokumentoida uusi lokilähdekonfiguraatio.

Keskeinen prosessi: Siirrä tunnistus- ja vastaussisältö
SIEM-tunnistus- ja vastaussisältö koostuu säännöistä, hauista, ohjekirjoista, koontipaneeleista ja muista kokoonpanoista, jotka määrittävät, mistä SIEM-hälytyksistäsi tulee ja kuinka se auttaa analyytikoita käsittelemään näitä hälytyksiä. Ilman oikein määritettyä sisältöä SIEM on vain hieno tapa etsiä. Se on "kallis grep" – termi, jonka kirjoittajien kollega loi useita vuosia sitten. SIEM-sisällöllä on keskeinen rooli määriteltäessä organisaatiosi löytöjen kattavuutta.

  • Havaitsemissääntöjä käytetään tietoturvahäiriöiden tunnistamiseen. Havaintoinsinöörit, joilla on syvät tiedot tietoturvauhkien toimijoista ja heille yhteisistä taktiikoista, tekniikoista ja menettelyistä (TTP) kirjoittavat ne. Tunnistussäännöt etsivät kuvioita, jotka edustavat näitä TTP:itä lokitiedoista. Havaitsemissäännöt korreloivat usein eri lokilähteitä keskenään ja käyttävät uhkatietoa.
  • Response playbookeja käytetään automatisoimaan vastaus turvahälytyksiin. Niihin voi sisältyä tehtäviä, kuten ilmoitusten lähettäminen, vaarantuneiden isäntien eristäminen, hälytysten rikastaminen kontekstuaalisilla tiedoilla/uhkatiedoilla ja korjauskomentosarjojen suorittaminen.
  • Kojepaneeleja käytetään tietoturvatietojen visualisointiin ja tietoturvahäiriöiden tilan seurantaan. Niiden avulla voidaan seurata organisaation yleistä turvallisuusasentoa ja tunnistaa trendejä ja malleja.
  • Uuden tunnistus- ja vastaussisällön kehittäminen on iteratiivinen prosessi. On tärkeää seurata SIEM:ää jatkuvasti ja tehdä sisältöön muutoksia tarpeen mukaan. SIEM-migraatio on erinomainen aika parantaa prosessejasi käyttämällä sellaisia ​​lähestymistapoja kuin Detection as Code (DaC).

Avainprosessi: Koulutus ja käyttöönotto
Usein huomiotta jätetty prosessi SIEM-siirtymisen aikana on käyttäjien koulutus. SIEM on ehkä tärkein yksittäinen työkalu, jota turvallisuusoperaatiotiimi käyttää. Heidän kyvyllään käyttää sitä tehokkaasti ja tuottavasti on suuri rooli siirron onnistumisessa ja heidän kyvyssään suojata organisaatiotasi. Luota SIEM-palveluntarjoajaasi ja käyttöönottokumppaniisi koulutussisällön ja -toimituksen tarjoamisessa. Tässä on lyhyt luettelo aiheista, joissa tiimisi tulisi ottaa käyttöön.

  • Lokisyötteen käsittely ja jäsentäminen
  • Haku / Tutkinta
  • Tapausten hallinta
  • Säännön laatiminen
  • Kojelaudan kehitys
  • Ohjekirja / Automaatio

Johtopäätös

  • Lopulta siirtyminen vanhasta SIEM-järjestelmästä moderniin ratkaisuun on väistämätöntä. Vaikka haasteet saattavat tuntua pelottavilta, hyvin suunniteltu ja toteutettu siirto voi johtaa merkittäviin parannuksiin uhkien havaitsemisessa, reagointikyvyssä ja yleisessä tietoturva-asennossa.
  • Harkitsemalla huolellisesti uuden SIEM:n valintaa, hyödyntämällä pilvipohjaisen arkkitehtuurin vahvuuksia, sisällyttämällä edistyneeseen uhkatietoihin ja hyödyntämällä tekoälypohjaisia ​​ominaisuuksia organisaatiot voivat valtuuttaa tietoturvatiiminsä puolustautumaan ennakoivasti jatkuvasti kehittyviä uhkia vastaan. Onnistunut siirtoprosessi sisältää huolellisen suunnittelun, kattavan dokumentaation, strategisen lokilähteen ja sisällön siirron, perusteellisen testauksen ja kattavan käyttäjäkoulutuksen.
  • Yhteistyö kokeneiden käyttöönottoasiantuntijoiden kanssa voi olla korvaamatonta monimutkaisten asioiden selvittämisessä ja sujuvan siirtymisen varmistamisessa. Sitoutumalla jatkuvaan parantamiseen ja keskittymällä tunnistussuunnitteluun organisaatiot voivat hyödyntää kaiken
  • uuden SIEM:n potentiaalia ja vahvistaa heidän turvallisuuspuolustustaan ​​tulevina vuosina.

Lisälukemista

Lisätietoja on osoitteessa cloud.google.com

FAQ

K: Mikä on Great SIEM Migration -oppaan tarkoitus?
V: Oppaan tarkoituksena on auttaa organisaatioita siirtymään vanhentuneista SIEM-ratkaisuista uudempiin, tehokkaampiin vaihtoehtoihin uhkien havaitsemiseen ja reagoimiseen.

K: Miten voin hyötyä pilvipohjaisesta SIEM:stä?
V: Pilvipohjaiset SIEM:t tarjoavat skaalautuvuutta, kustannustehokkuutta ja tehokasta suojausta pilvityökuormille arkkitehtuurinsa ja ominaisuuksiensa ansiosta.

Asiakirjat / Resurssit

PDF thumbnailSIEM-siirto
Instructions · SIEM Migration, Migration

Viitteet

Esitä kysymys

Use this section to ask about setup, compatibility, troubleshooting, or anything missing from this manual.

Esitä kysymys

Ask about setup, compatibility, troubleshooting, or anything missing from this manual. Name and email are optional.