Google Cloud SIEM Migrazzjoni

Informazzjoni dwar il-Prodott

Speċifikazzjonijiet:

• Isem tal-Prodott: Gwida dwar il-Migrazzjoni SIEM
• Awtur: Mhux magħruf
• Ippubblikat Sena: Mhux speċifikat

Istruzzjonijiet għall-Użu tal-Prodott

• Għażla ta' SIEM Ġdid
  Ibda billi staqsi lilek innifsek u lit-tim tiegħek xi mistoqsijiet ewlenin biex tgħin tikxef is-saħħiet u d-dgħufijiet ta’ kull offerta. Identifika malajr is-superpotenzi ta' kull SIEM u ppjana kif l-organizzazzjoni tiegħek tista' tieħu vantaġġtage minnhom.
• SIEM cloud-native
  Ikkunsidra jekk is-SIEM huwiex offrut minn fornitur tas-servizz tal-cloud primarju (CSP) li jista’ jipprovdi infrastruttura fuq skala dinjija bi prezzijiet bl-ingrossa. Mudelli ta’ skjerament SIEM cloud-native jippermettu skalabbiltà u ġestjoni dinamika tal-piżijiet tax-xogħol tal-cloud.
• SIEM bl-Intelliġenza
  Iċċekkja jekk il-bejjiegħ tas-SIEM joffrix intelliġenza kontinwa dwar it-theddid ta' quddiem biex imexxi skoperta out-of-the-box ta' theddid ġdid u emerġenti.

SIEM huwa mejjet, ħajja SIEM

Jekk inti bħalna, tista 'tkun sorpriż li, fl-2024, is-sistemi ta' informazzjoni tas-sigurtà u ġestjoni tal-avvenimenti (SIEM) għadhom is-sinsla tal-biċċa l-kbira taċ-ċentri tal-operazzjonijiet tas-sigurtà (SOC). Is-SIEMs dejjem intużaw għall-ġbir u l-analiżi tad-dejta tas-sigurtà minn madwar l-organizzazzjoni tiegħek biex jgħinuk tidentifika, tinvestiga, u tirrispondi għat-theddid malajr u b'mod effettiv. Iżda r-realtà hija li s-SIEMs moderni tal-lum ftit li xejn jixbħu lil dawk mibnija 15+ sena ilu, qabel iż-żieda tal-arkitettura nattiva tal-cloud, analiżi tal-entità tal-utent u tal-imġiba (UEBA), orkestrazzjoni tas-sigurtà, awtomazzjoni u rispons (SOAR), ġestjoni tal-wiċċ tal-attakk. u ovvjament AI, biex insemmu xi ftit.
SIEMs tal-wirt ħafna drabi huma bil-mod, ingombranti, u diffiċli biex jintużaw. L-arkitettura tal-wirt tagħhom ħafna drabi ma tħallihomx iżidu biex jinġerixxu sorsi ta 'log ta' volum għoli, u jistgħu ma jkunux kapaċi jlaħħqu mal-aħħar theddid jew jappoġġjaw l-aħħar karatteristiċi u kapaċitajiet. Jistgħu ma joffrux il-flessibbiltà biex jappoġġjaw ir-rekwiżiti speċifiċi tal-organizzazzjoni tiegħek jew ikunu adattati għall-istrateġija multi-cloud li hija r-realtà għall-biċċa l-kbira tal-organizzazzjonijiet illum. Fl-aħħarnett, jistgħu jkunu f'pożizzjoni ħażina biex jieħdu vantaġġtage tal-aħħar żviluppi teknoloġiċi, bħall-intelliġenza artifiċjali (AI).
Għalhekk filwaqt li SIEM bi kwalunkwe isem ieħor jista’ jinstema’ daqstant ħelu, it-timijiet tal-operazzjonijiet tas-sigurtà se jkomplu jiddependu fuqu
“pjattaformi ta’ operazzjonijiet ta’ sigurtà” (jew kwalunkwe isem minnhom) fil-futur prevedibbli għall-iskoperta, l-investigazzjoni u r-rispons tat-theddid.

Il-Migrazzjoni SIEM il-Kbira bdiet

Il-migrazzjoni SIEM mhix ġdida. L-organizzazzjonijiet waqgħu mill-imħabba mas-SIEM eżistenti tagħhom u fittxew għażliet aktar ġodda u aħjar għal snin sħaħ. Forsi aktar spiss, l-organizzazzjonijiet iġorru s-SIEM tagħhom b'rendiment baxx u/jew għali żżejjed għal aktar żmien milli xtaqu, parzjalment minħabba tħassib dwar il-kumplessità li jkollhom jittrattaw il-migrazzjoni SIEM.
Iżda l-aħħar xhur introduċew ċaqliq tectonic fl-ispazju SIEM li ma jistgħux jiġu sottovalutati. Ftit hemm dubju li l-pajsaġġ SIEM se jiġi ttrasformat kompletament fi ftit snin qosra minn issa — li ​​jwelldu mexxejja ġodda tas-suq u jaraw it-tnaqqis u forsi anke l-mewt ta '"dinosaurs" li ħakmu SIEM-art għal għexieren ta' snin (jew " eons” f’termini taċ-ċibersigurtà). Dawn l-iżviluppi bla dubju se jaċċelleraw il-migrazzjoni minn pjattaformi SIEM legacy għal dawk moderni, b'ħafna organizzazzjonijiet issa jiffaċċjaw realtà ta' meta għandhom jemigraw minflok jekk għandhomx jemigraw.

Hawnhekk hawn sommarju tal-movimenti ewlenin fl-aħħar 9 xhur biss:

L-identifikazzjoni tan-nuqqasijiet fis-SIEM attwali tiegħek hija ħafna aktar faċli milli tagħżel l-aħjar sostituzzjoni u tesegwixxi migrazzjoni b'suċċess. Huwa importanti wkoll li wieħed jinnota li l-fallimenti fl-iskjerament SIEM jistgħu wkoll joħorġu minn proċessi (u kultant nies), u mhux biss teknoloġija. Dak huwa fejn jidħol dan id-dokument. L-awturi raw mijiet ta’ migrazzjonijiet SIEM bħala prattikanti, analisti u bejjiegħa fuq bosta deċennji. Allura, ejja nieħdu rendikont tal-aqwa suġġerimenti dwar il-migrazzjoni SIEM għall-2024. Aħna ser naqsmu din il-lista f'kategoriji u sprinkle fil-lezzjonijiet li tgħallimna mit-trinek.

Għażla ta' SIEM Ġdid

Ibda billi staqsi lilek innifsek u lit-tim tiegħek xi mistoqsijiet ewlenin biex tgħin tikxef is-saħħiet u d-dgħufijiet ta’ kull offerta. Nirrakkomandaw li tidentifika malajr is-“superpotenzi” ta' kull SIEM u tippjana kif l-organizzazzjoni tiegħek tista' tieħu vantaġġtage minnhom. Per example:

• SIEM cloud-native
  
  • Is-SIEM huwa offrut minn fornitur tas-servizz tal-cloud primarju (CSP) li jista' jipprovdi infrastruttura fuq skala dinjija bi prezzijiet bl-ingrossa?
    L-esperjenza tagħna turi li l-fornituri tas-SIEM li joperaw fi sħab li m'għandhomx ikollhom diffikultà biex jegħlbu l-"margin stacking" inevitabbli li jiġi ma' mudelli bħal dawn. Din il-mistoqsija hija marbuta b'mod inseparabbli mal-ispiża.
    Mudell ta’ skjerament SIEM nattiv tal-cloud jippermetti wkoll lis-SIEM jiżdied u jonqos b’reazzjoni għal theddid ġdid u jimmaniġġja wkoll in-natura dinamika tal-piżijiet tax-xogħol tal-cloud ta’ organizzazzjoni. L-infrastruttura u l-applikazzjonijiet tal-cloud jistgħu jikbru b'mod drammatiku f'minuti. Arkitettura SIEM nattiva tal-cloud tippermetti li l-għodda kritika tat-timijiet tas-sigurtà tiskala bl-istess rata flimkien mal-ħtiġijiet tal-organizzazzjoni akbar.
    SIEMs cloud-native huma wkoll f'pożizzjoni tajba biex jiżguraw il-piżijiet tax-xogħol tal-cloud. Jipprovdu inġestjoni tad-dejta b'latenza baxxa minn servizzi tal-cloud u jibagħtu b'kontenut ta' skoperta biex jgħinu jidentifikaw attakki komuni fil-cloud.
• SIEM bl-Intelliġenza
  • Il-bejjiegħ SIEM għandu fluss kontinwu ta 'intelliġenza ta' theddid ta 'quddiem biex imexxi l-iskoperta out-of-the-box ta' theddid ġdid u emerġenti?
    Dawn is-sorsi tad-deheb tipikament joħorġu minn prattiki ta’ rispons għall-inċidenti tal-ogħla livell, l-operat ta’ offerti massivi tal-cloud IaaS jew SaaS għall-konsumatur, jew bażijiet ta’ installazzjoni globali ta’ prodotti ta’ softwer tas-sigurtà jew sistemi operattivi.
    L-intelliġenza dwar it-theddid hija kritika għall-organizzazzjonijiet biex jiskopru, jagħmlu trija, jinvestigaw u jirrispondu għall-inċidenti tas-sigurtà b'mod effettiv. L-intelliġenza tat-theddid ta' quddiem, b'mod partikolari, hija ta' valur għaliex tipprovdi informazzjoni f'ħin reali dwar l-aħħar theddid u vulnerabbiltajiet. Din l-informazzjoni tista' tintuża biex jiġu identifikati u prijoritizzati malajr inċidenti ta' sigurtà, u biex jiġu żviluppati u implimentati strateġiji ta' rispons effettivi.
    Biex itejbu l-kapaċitajiet ta’ sejbien u rispons ta’ theddid f’ħin reali, l-organizzazzjonijiet tas-sigurtà qed ifittxu integrazzjoni bla xkiel tal-intelliġenza dwar it-theddid u l-għalf tad-dejta assoċjat fil-flussi tax-xogħol u l-għodda tal-operazzjonijiet tas-sigurtà tagħhom. Siġġu li jdur, kopja-pejst, u integrazzjonijiet fraġli bejn SIEM u sorsi ta 'intel ta' theddid huma drains tal-produttività u għandhom impatt negattiv fuq l-effikaċja tat-tim u fuq l-esperjenza tal-analista.
• SIEM b'Kontenut Curated
  • Is-SIEM joffri librerija estensiva ta' parsers appoġġjati u regoli ta' sejbien, u azzjonijiet ta' rispons?
    Tip: Xi bejjiegħa SIEM jiddependu kważi esklussivament fuq il-komunità tal-utenti tagħhom jew l-imsieħba tal-alleanza teknika biex joħolqu parsers għal dejta popolari. Filwaqt li komunità ta 'utenti b'saħħitha hija essenzjali, id-dipendenza żejda fuqha biex tipprovdi kapaċitajiet fundamentali bħall-parsing hija problema. Parsers għal sorsi ta' dejta komuni għandhom jinħolqu, jinżammu u jiġu appoġġjati direttament mill-bejjiegħ SIEM. Ħu l-istess approċċ meta tħares lejn il-kontenut tar-regola ta 'skoperta. Ir-regoli tal-Komunità huma essenzjali, iżda għandek tistenna li l-bejjiegħ tiegħek joħloq u jżomm librerija soda ta’ skoperti ewlenin li jiġu ttestjati, appoġġjati u mtejba regolarment. L-iskoperta ta' theddid ta' kwalità għolja u kkurata hija kritika għall-organizzazzjonijiet biex jimmaniġġjaw b'mod effettiv il-qagħda tas-sigurtà tagħhom. Google SecOps jipprovdi skoperta out-of-the-box ta’ theddid ġdid u emerġenti, li jista’ jgħin lill-organizzazzjonijiet jidentifikaw u jirrispondu malajr għal inċidenti ta’ sigurtà.
• SIEM bl-AI
  • Is-SIEM jinkorpora l-AI, u huwa f'pożizzjoni li jkompli jinnova?
    Ir-rwol tal-intelliġenza artifiċjali fis-SIEM għadu mhux mifhum bis-sħiħ (ħafna inqas implimentat) minn kwalunkwe bejjiegħ. Madankollu, SIEMs ewlenin diġà għandhom karatteristiċi tanġibbli mmexxija mill-AI tbaħħir illum. Dawn il-karatteristiċi jinkludu l-ipproċessar tal-lingwa naturali għall-espressjoni tat-tfittxijiet u r-regoli, sommarju awtomatizzat tal-każijiet, u azzjonijiet ta’ rispons rakkomandati. Il-biċċa l-kbira tal-klijenti u l-osservaturi tal-industrija jqisu karatteristiċi bħall-iskoperta tat-theddid u l-analiżi tal-avversarji ta’ tbassir bħala wħud mill-“grails qaddisa” tal-kapaċitajiet SIEM mmexxija mill-AI. L-ebda SIEM ma joffri dawn il-karatteristiċi b'mod affidabbli llum. Hekk kif tagħżel SIEM ġdid fl-2024, ikkunsidra jekk il-bejjiegħ hux qed jinvesti r-riżorsi meħtieġa biex jagħmel progress sinifikanti fuq dawn il-kapaċitajiet ta’ trasformazzjoni.

Google Security Operations (qabel Chronicle) hija soluzzjoni SIEM bbażata fuq cloud offruta minn Google Cloud. Hija mfassla biex tgħin lill-organizzazzjonijiet jiġbru zkuk u telemetrija oħra tas-sigurtà, imbagħad jiskopru, jinvestigaw u jirrispondu għal theddid għas-sigurtà f'ħin reali. 

• Issib u tipprijoritizza theddid għas-sigurtà: Ir-regoli ta' skoperta out-of-the-box ta' Google SecOps jidentifikaw u jipprijoritizzaw it-theddid għas-sigurtà f'ħin reali. Dan jgħin lill-organizzazzjonijiet jirrispondu malajr u b'mod effettiv għall-aktar theddidiet kritiċi.
• Investiga inċidenti tas-sigurtà: Google SecOps jipprovdi pjattaforma ċentralizzata għall-investigazzjoni ta' inċidenti ta' sigurtà. Dan jgħin lill-organizzazzjonijiet jiġbru l-evidenza malajr u b'mod effiċjenti u jiddeterminaw l-ambitu tal-inċident.
• Twieġeb għall-inċidenti tas-sigurtà: Google SecOps jipprovdi varjetà ta’ għodod biex jgħinu lill-organizzazzjonijiet jirrispondu għal inċidenti ta’ sigurtà, bħal rimedju awtomatizzat. Il-kaċċaturi tat-theddid isibu l-veloċità tal-pjattaforma, il-kapaċitajiet ta’ tfittxija, u l-intelliġenza tat-theddid applikata ta’ valur imprezzabbli biex jillokalizzaw lill-attakkanti li setgħu niżlu fix-xquq. Dan jgħin lill-organizzazzjonijiet biex iwaqqfu u jtaffu l-impatt ta' inċidenti ta' sigurtà malajr u b'mod effettiv.
  Google SecOps għandu numru ta 'advantaghuwa fuq soluzzjonijiet SIEM tradizzjonali, inklużi:
• Intelliġenza artifiċjali: Google SecOps juża t-teknoloġija Gemini AI ta' Google biex jippermetti lid-difensuri jfittxu ammonti kbar ta' dejta f'sekondi billi jużaw lingwaġġ naturali u jieħdu deċiżjonijiet aktar mgħaġġla billi jwieġbu mistoqsijiet, jiġbru fil-qosor l-avvenimenti, jikkaċċjaw għal theddid, joħolqu regoli, u jagħtu azzjonijiet rakkomandati bbażati fuq il-kuntest tal-investigazzjonijiet. Timijiet tas-sigurtà jistgħu wkoll jużaw Gemini fl-Operazzjonijiet tas-Sigurtà biex faċilment jibnu playbooks tar-rispons, jippersonalizzaw il-konfigurazzjonijiet, u jinkorporaw l-aħjar prattiki — jgħinu jissimplifikaw ħidmiet li jieħdu ħafna ħin li jeħtieġu għarfien espert profond.
• Intelliġenza tat-Theddida Applikata: Google SecOps jintegra b'mod nattiv ma' Google Threat Intelligence (GTI) li jinkludi intelliġenza kombinata minn VirusTotal, Mandiant Threat Intelligence, u sorsi interni ta' intelliġenza ta' Google Threat, biex tgħin lill-klijenti jiskopru aktar theddid b'inqas sforz.
• Skalabbiltà: Google SecOps hija soluzzjoni bbażata fuq il-cloud, u għalhekk tista’ tisfrutta l-infrastruttura tal-cloud ta’ hyperscale ipprovduta minn Google cloud biex tissodisfa l-ħtiġijiet tal-kapaċità u l-prestazzjoni ta’ kwalunkwe organizzazzjoni, irrispettivament mid-daqs.
• Integrazzjoni ma' Google Cloud: Google SecOps huwa integrat sewwa ma 'prodotti u servizzi oħra ta' Google Cloud, bħal Google Cloud Security Command Center Enterprise (SCCE). Din l-integrazzjoni tagħmilha faċli għall-organizzazzjonijiet biex jimmaniġġjaw l-operazzjonijiet tas-sigurtà tagħhom fi pjattaforma waħda u unifikata. Google SecOps huwa l-aħjar SIEM għat-telemetrija tas-servizz tal-GCP u jinkludi wkoll kontenut ta 'skoperta out of the box għal fornituri ewlenin oħra tal-cloud bħal AWS u Azure.

Applied Threat Intelligence f'Google SecOps
Google SecOps jippermetti li timijiet tas-sigurtà jimmaniġġjaw u janalizzaw id-dejta tas-sigurtà li hija awtomatikament korrelata u arrikkita b'dejta dwar it-theddid. Billi tintegra l-intelliġenza tat-theddid direttament fis-SIEM tiegħek, l-organizzazzjonijiet jistgħu:

• Ittejjeb is-sejbien u t-triaġġ: Id-dejta dwar it-theddid tista’ tintuża direttament biex toħloq regoli li jistgħu jgħinu fl-identifikazzjoni ta’ attività malizzjuża f’ħin reali. Din id-dejta tintuża wkoll biex iżżid il-kuntest ma’ twissijiet oħra u taġġusta awtomatikament il-fiduċja fit-twissija. Dan jgħin lill-organizzazzjonijiet biex jiskopru u jiġġeneraw malajr l-inċidenti tas-sigurtà, u biex jiffokaw ir-riżorsi tagħhom fuq l-aktar theddidiet kritiċi.
• Ittejjeb l-investigazzjoni u r-rispons: L-intelliġenza tat-theddid tista' tintuża biex tipprovdi kuntest u għarfien waqt investigazzjonijiet tas-sigurtà. Dan jista' jgħin lill-analisti jidentifikaw malajr il-kawża ewlenija ta' inċident u jiżviluppaw u jimplimentaw strateġiji ta' rispons effettivi.
• Żomm quddiem il-pajsaġġ tat-theddid: L-intelliġenza dwar it-theddid tista' tgħin lill-organizzazzjonijiet jibqgħu fuq quddiem tax-xenarju tat-theddid billi tipprovdi informazzjoni dwar l-aħħar theddid u vulnerabbiltajiet. Din l-informazzjoni tista’ tintuża biex jiġu żviluppati u implimentati miżuri ta’ sigurtà proattivi, bħall-kaċċa għat-theddid u t-taħriġ ta’ għarfien dwar is-sigurtà.

Sejbien ta' Theddida f'Google SecOps
Is-sejbien ta' theddid Google SecOps huwa bbażat fuq fluss kontinwu ta' intelliġenza ta' theddid ta' quddiem mit-timijiet tas-sigurtà ta' Google. Din l-intelliġenza tintuża biex toħloq regoli u twissijiet li jistgħu jidentifikaw attività malizzjuża f'ħin reali. Google SecOps juża wkoll analiżi tal-imġieba u punteġġ tar-riskju biex jidentifika xejriet suspettużi fid-dejta tas-sigurtà. Dan jippermetti lil Google SecOps biex jiskopri theddid li ma jistax jiġi skopert mir-regoli tradizzjonali ta 'sejbien.

Il-valur ta 'kxif ta' theddid ta 'kwalità għolja u kkurat huwa ċar. Organizzazzjonijiet li jużaw Google SecOps jistgħu jibbenefikaw minn:

• Sejbien u trija mtejba: Google SecOps jista' jgħin lill-organizzazzjonijiet jidentifikaw u jiġbru l-inċidenti tas-sigurtà malajr. Dan jippermetti lill-organizzazzjonijiet jiffokaw ir-riżorsi tagħhom fuq l-aktar theddidiet kritiċi.
• Investigazzjoni u rispons imtejba: Google SecOps jista' jipprovdi kuntest u għarfien waqt investigazzjonijiet tas-sigurtà. Dan jista' jgħin lill-analisti jidentifikaw malajr il-kawża ewlenija ta' inċident u jiżviluppaw u jimplimentaw strateġiji ta' rispons effettivi.
• Ibqa 'quddiem ix-xenarju tat-theddid: Google SecOps jista' jgħin lill-organizzazzjonijiet jibqgħu fuq quddiem tax-xenarju tat-theddid billi jipprovdi informazzjoni dwar l-aħħar theddid u vulnerabbiltajiet. Din l-informazzjoni tista’ tintuża biex jiġu żviluppati u implimentati miżuri ta’ sigurtà proattivi, bħall-kaċċa għat-theddid u t-taħriġ ta’ għarfien dwar is-sigurtà.

Migrazzjoni SIEM

Allura inti iddeċidejt li tagħmel il-mossa. L-approċċ tiegħek għall-migrazzjoni huwa kritiku biex tiżgura li żżomm il-kapaċitajiet meħtieġa u tibda tiġbed il-valur mill-pjattaforma l-ġdida mill-aktar fis possibbli. Jiġu għall-prijoritizzazzjoni. Skambju tipiku huwa li tagħraf li filwaqt li migrazzjoni SIEM tirrappreżenta opportunità biex timmodernizza l-approċċ kollu tiegħek għall-investigazzjoni, is-sejbien u r-rispons, ħafna migrazzjonijiet SIEM ifallu minħabba li l-organizzazzjonijiet jippruvaw "għalli l-oċean."

Allura hawn huma l-aħjar pariri tagħna għall-ippjanar u l-eżekuzzjoni tal-migrazzjoni SIEM b'suċċess tiegħek:

• Iddefinixxi l-miri tal-migrazzjoni tiegħek. Dan jidher ovvju, iżda l-migrazzjoni SIEM tiegħek hija proċess twil, għalhekk id-definizzjoni tar-riżultati mixtieqa tiegħek (eż., skoperta aktar mgħaġġla ta 'theddid, rappurtar ta' konformità aktar faċli, viżibilità mtejba, ħidma mnaqqsa tal-analista, filwaqt li tnaqqas ukoll l-ispiża) hija korrelatata b'mod qawwi mas-suċċess.
• Uża l-migrazzjoni bħala opportunità biex tnaddaf id-dar. Dan huwa żmien tajjeb biex tnaddaf ir-regoli ta' sejbien tiegħek u s-sorsi tal-log u emigra biss dawk li fil-fatt tuża. Huwa wkoll żmien tajjeb biex terġaview il-proċessi tat-triaġġ u l-irfinar tat-twissija tiegħek u kun żgur li huma aġġornati.
• M'għandekx temigra kull sors ta 'log. Tiċċaqlaq għal SIEM ġdid hija opportunità kbira biex tiddeċiedi liema zkuk għandek bżonn, kemm jekk għal raġunijiet ta 'konformità jew ta' sigurtà. Bosta organizzazzjonijiet jakkumulaw ammont kbir ta 'dejta ta' log maż-żmien, u mhux kollu huwa neċessarjament siewi jew rilevanti. Billi tieħu l-ħin biex tevalwa s-sorsi ta' log tiegħek qabel ma temigrahom, tista' tissimplifika s-SIEM tiegħek u tiffoka fuq id-dejta li hija l-aktar importanti għall-ħtiġijiet ta' sigurtà u konformità tiegħek.
• Timigrax il-kontenut kollu. Il-migrazzjoni tal-kontenut, ir-regoli, it-twissijiet, id-dashboards, il-viżwalizzazzjonijiet u l-playbooks eżistenti kollha tiegħek għal SIEM ġdid mhux dejjem ikun meħtieġ. Ħu l-ħin biex tevalwa l-kopertura attwali tiegħek ta’ skoperta u tipprijoritizza l-migrazzjoni tar-regoli li għandek bżonn. Issib opportunitajiet biex tikkonsolida r-regoli, biex telimina regoli li qatt ma jistgħu jisparaw minħabba nuqqas ta' telemetrija jew loġika difettuża, jew regoli li jiġu ttrattati aħjar minn kontenut out of the box. Mistoqsija lil kwalunkwe bejjiegħ jew sieħeb tal-iskjerament li jippromwovi l-migrazzjoni tar-regoli one-to-one.
• Ipprijoritizza l-migrazzjoni bikrija tal-kontenut. Ibda l-migrazzjoni tal-kontenut ta' skoperta immedjatament mad-disponibbiltà tas-sorsi tal-log u l-arrikkimenti meħtieġa għal kull każ ta' użu speċifiku. Dan l-approċċ immexxi mid-dejta, li jallinja s-sorsi ma' każijiet ta' użu, jippermetti sforzi ta' migrazzjoni paralleli għall-aħjar effiċjenza u riżultati.
• Il-migrazzjoni tal-kontenut tas-sejbien hija proċess immexxi mill-bniedem. Ipprepara biex tibni mill-ġdid il-kontenut ta' skoperta (regoli, twissijiet, dashboards, mudelli, eċċ.) (l-aktar) mill-bidu, billi tuża l-kontenut antik tiegħek bħala ispirazzjoni. Illum, m'hemm l-ebda metodu iqarraq biex awtomatikament tikkonverti r-regoli minn pjattaforma SIEM għal oħra. Filwaqt li xi bejjiegħa joffru tradutturi tas-sintassi, ġeneralment jirriżultaw f'punt ta 'qabża tajjeb aktar milli regola, tfittxija jew dashboard tradotti perfettament. Għandek tieħu vantaġġ massimutage minn dawn l-għodod, iżda jagħrfu li mhumiex rimedju.
• Il-kontenut tas-sejbien ġej minn ħafna sorsi. Analizza l-ħtiġijiet tiegħek ta' kopertura ta' skoperta, imbagħad adotta jew oħloq il-każijiet ta' użu ta' skoperta tiegħek kif meħtieġ. Il-bejjiegħ tas-SIEM tiegħek ser jipprovdi xi kontenut mill-kaxxa li dejjem għandek tisfrutta jekk tista'. Ikkunsidra wkoll repożitorji ta' regoli tal-komunità u fornituri ta' kontenut ta' sejbien ta' partijiet terzi. Meta meħtieġ, ikteb ir-regoli tiegħek stess u ftakar ħafna regoli, irrispettivament mill-provenjenza tagħhom, jeħtieġ li jiġu rranġati għall-ambjent speċifiku tal-organizzazzjoni tiegħek.
• Żviluppa skeda ta' żmien realistika tal-migrazzjoni. Dan jinkludi l-kontabilità għat-trasferiment tad-dejta, l-ittestjar, l-irfinar, it-taħriġ u l-koinċidenza potenzjali fejn jista’ jkollok bżonn tħaddem iż-żewġ sistemi b’mod parallel. Pjan ta' migrazzjoni definit tajjeb jgħinek tidentifika u ttaffi r-riskji, u tiżgura li l-migrazzjoni titlesta b'suċċess. Il-pjan għandu jinkludi skeda ta' żmien dettaljata, lista ta' kompiti, riżorsi, u baġit. Agħraf li proġetti kbar bħal migrazzjoni SIEM għandhom jinqasmu f'fażijiet.
• Ittestjar. Nirrakkomandaw il-prattika li tittestja s-SIEM u l-kontenut ta' skoperta tiegħek billi tinjetta regolarment dejta li tiskatta l-iskoperta tiegħek, tiċċekkja l-parsing, u tivvalida l-fluss tad-dejta minn skoperta għal każ għal playbook tar-rispons. Migrazzjoni SIEM hija ż-żmien perfett biex tadotta rigoruża programm ta' inġinerija ta' skoperta li jinkludi ttestjar bħal dan.
• Ipprepara għal perjodu ta' tranżizzjoni li matulu tħaddem għodod kemm qodma kif ukoll ġodda. Evita approċċ ta' "rip and replace" li jfixkel. Migrazzjoni f'fażijiet, fejn timmigra sorsi ta' log u każijiet ta' użu gradwalment tgħin biex tikkontrolla l-proċess u tnaqqas ir-riskju. Ukoll, aħseb darbtejn dwar l-inġestjoni mill-ġdid tad-dejta mis-SIEM l-antik tiegħek fil-ġdid. F'xi każijiet, jista 'jkollok il-kapaċità li tħalli s-SIEM preċedenti taħdem għal perjodi estiżi biex tippermetti aċċess għad-dejta storika.
• Ippermetti lit-timijiet tiegħek. Il-migrazzjoni SIEM tiegħek se tfalli jekk l-analisti tiegħek ma jistgħux jużaw is-sistema l-ġdida. Pjan ta' migrazzjoni tajjeb se jinkludi abilitazzjoni profonda għat-timijiet tiegħek. Aħseb dwar it-taħriġ tal-inġiniera dwar l-imbark u l-parsing tad-dejta, it-taħriġ tal-analisti dwar il-ġestjoni/l-investigazzjoni/l-triage tal-każi, il-kaċċaturi tat-theddid dwar l-iskoperta/t-tfittxija tal-anomaliji, u l-inġiniera tal-kxif dwar il-kitba tar-regoli. Iż-żmien huwa kritiku għall-abilitazzjoni. L-aħjar huwa li tħarreġ lill-persunal hekk kif jimbarkaw fuq fażijiet speċifiċi tal-migrazzjoni, aktar milli jitħarrġu qabel ma jkunu meħtieġa dawk il-ħiliet.
• Ikseb l-għajnuna! Jekk int xortik tajba (jew forsi sfortunat?) Bħala prattikant jew mexxej, forsi tkun għaddejt minn migrazzjoni SIEM waħda jew tnejn fil-karriera tiegħek. Għaliex ma tfittex l-għajnuna mingħand speċjalisti li għamluha għexieren jew mijiet ta’ drabi? Timijiet ta 'servizzi professjonali mill-bejjiegħ u/jew timijiet ta' konsultazzjoni minn imsieħba tas-servizzi kwalifikati huma għażla kbira. Il-migrazzjoni SIEM huma fil-biċċa l-kbira sforzi ffukati fuq il-bniedem.

Proċess Ewlenin: Agħżel Imsieħeb ta' Skjerament
L-ebda deċiżjoni mhu se jkollha impatt akbar fuq is-suċċess aħħari ta' migrazzjoni SIEM mill-għażla ta' sieħeb ta' skjerament. Il-pjattaformi SIEM huma sistemi ta 'intrapriżi fuq skala kbira, kumplessi. Tippruvax tmur waħdek; żomm ma' sieħeb tal-iskjerament li għadda minn bosta migrazzjonijiet.

Is-sieħeb tal-iskjerament jista' sempliċement ikun il-fergħa tas-servizzi professjonali tal-bejjiegħ il-ġdid tas-SIEM. Madankollu, huwa aktar komuni li tagħżel sieħeb ta 'parti terza biex tmexxi l-migrazzjoni. Ftakar li l-migrazzjoni SIEM hija sforz immexxi mill-bniedem. L-aħjar huwa li tagħżel sieħeb b'ċertifikazzjonijiet fis-SIEM il-ġdid u ħafna msieħba referenzabbli. Jgħin ukoll jekk ikollhom għarfien espert fis-SIEM li tkun qed temigra minnu. Lil hinn mir-referenzi, mod għaqlija biex tiddetermina l-livell ta 'esperjenza ta' sieħeb mas-SIEM il-ġdid tiegħek huwa li tiċċekkja l-fora tal-komunità biex tara jekk it-tim kienx kontributur attiv. Fl-opinjoni tal-awturi, persunal sieħeb impenjat ħafna jikkorrelata ma' migrazzjonijiet SIEM ta' suċċess. Lil hinn mill-bits tekniċi u l-bytes tal-migrazzjoni SIEM, tista 'wkoll tagħżel imsieħba li għandhom esperjenza speċifika fil-vertikali tal-industrija tiegħek, jew fl-ambjent ta' konformità tiegħek, jew f' ir-reġjun tiegħek, jew it-tlieta! Tista' tfittex ħiliet u riżorsi lingwistiċi bil-quddiemtagżoni tal-ħin eous. Tista' wkoll tfittex imsieħba li joperaw is-SIEM tiegħek għalik, jew li jagħtu riżultati simili bħala fornitur ta' servizzi ta' sigurtà ġestiti li jista' jesternalizza parzjalment jew kompletament is-SIEM tal-organizzazzjoni tiegħek.

Proċess Ewlenin: Iddokumenta Każijiet ta' Konfigurazzjoni u Użu Kurrenti
L-iskjerament tas-SIEM huma ġeneralment espansivi, u jikbru b'mod kostanti fl-ambitu u l-kumplessità matul is-snin ta 'użu. Ipprepara għal ftit jew xejn dokumentazzjoni. Jistennew li l-persunal li wettaq il-konfigurazzjoni inizjali u l-adattament tas-SIEM spiss ilu marret. Id-dokumentazzjoni bir-reqqa tal-konfigurazzjoni u l-kapaċitajiet kmieni fil-proċess ta 'migrazzjoni tista' tfisser id-differenza bejn is-suċċess u l-falliment.

• Iddokumenta l-ġestjoni tal-identità u tal-aċċess użata mis-SIEM. Ċertament ikollok bżonn tippreserva xi aċċess ibbażat fuq ir-rwoli għad-dejta u l-karatteristiċi. Min-naħa l-oħra l-migrazzjoni hija opportunità biex tanalizza u tindirizza t-tixrid tal-aċċess li jseħħ b'mod naturali fil-biċċa l-kbira tal-organizzazzjonijiet. Tista' wkoll tħares lejn il-proċess ta' migrazzjoni bħala opportunità biex timmodernizza l-metodi ta' awtentikazzjoni/awtorizzazzjoni inkluża l-federazzjoni tal-identità ma' standards korporattivi u l-implimentazzjoni ta' awtentikazzjoni b'ħafna fatturi.
• Aqbad l-ismijiet tat-tipi tad-dejta li qed jinġabru. Innota li xi SIEMs isejħu dawn l-ismijiet "sourcetype" jew "logtype". Aqbad kemm dejta ta' kull tip ta' dejta qed tiċċirkola billi tuża gigabytes/jum bħala l-metrika. Iddokumenta l-pipeline tad-dejta għal kull sors tad-dejta (ibbażat fuq l-aġent, mistoqsija API, web ganċ, inġestjoni tal-barmil tas-sħab, API tal-inġestjoni, semmiegħ HTTP, eċċ.), u jaqbad il-konfigurazzjoni tal-parser tas-SIEM flimkien ma 'kwalunkwe customizations.
• Iġbor tfittxijiet salvati, definizzjonijiet tad-dashboard, u regoli ta' sejbien. Ħafna SIEMs għandhom ukoll mekkaniżmi persistenti ta' ħażna ta' data bħal tabelli ta' tiftix. Kun żgur li tifhem u tiddokumenta kif dawn huma popolati u użati.
• Agħmel inventarju ta 'integrazzjonijiet ma' sistemi esterni. Ħafna SIEMs jintegraw ma 'sistemi ta' ġestjoni tal-każijiet, databases relazzjonali, servizzi ta 'notifika (email, SMS, eċċ), u pjattaformi ta' intelliġenza dwar it-theddid.
• Aqbad il-kontenut tar-rispons bħal playbooks, mudelli tal-ġestjoni tal-każijiet, u kwalunkwe integrazzjoni attiva li ma tkunx diġà ġiet dokumentata.

Lil hinn mill-ġbir ta 'dawn id-dettalji tekniċi importanti, huwa kritiku li tieħu ħin biex interview utenti tas-SIEM eżistenti biex jifhmu l-flussi tax-xogħol tagħhom. Staqsi kif jużaw is-SIEM, liema proċeduri operattivi standard jiddependu fuq is-SIEM. Huwa wkoll importanti li tistaqsi mistoqsijiet wesgħin bħal liema timijiet barra mis-sigurtà jistgħu jużaw is-SIEM. Per example, mhuwiex rari għal timijiet ta 'konformità jew persunal tal-operazzjonijiet tal-IT li jiddependu fuq is-SIEM. In-nuqqas li jinqabdu dawn il-każijiet ta' użu jista' jikkawża aspettattivi mitlufa aktar tard fil-proċess ta' migrazzjoni.

Proċess Ewlenin: Log Sors Migrazzjoni
Il-migrazzjoni tas-sors tal-log tinvolvi ċ-ċaqliq tas-sorsi tad-dejta mis-SIEM l-antik għas-SIEM il-ġdid. Dan il-proċess jiddependi fuq id-dokumentazzjoni tal-konfigurazzjoni attwali miġbura fil- Proċess: Dokument Konfigurazzjoni u Użu Kurrenti sezzjoni.

Il-passi li ġejjin huma tipikament involuti fil-proċess tal-migrazzjoni tas-sors tal-log:

1. Skoperta u inventarju: L-ewwel pass huwa li tiskopri u tagħmel inventarju tas-sorsi kollha tal-log li bħalissa qed jiġu inġeriti mis-SIEM l-antik. Dan jista 'jsir bl-użu ta' varjetà ta 'metodi, bħal reviewil-konfigurazzjoni tas-SIEM files jew bl-użu ta ' APIs u għodda relatata.
2. Prijoritizzazzjoni: Ladarba s-sorsi tal-log ikunu ġew skoperti u inventarji, jeħtieġ li jiġu prijoritizzati għall-migrazzjoni. Dan jista 'jsir abbażi ta' numru ta 'fatturi, bħall-analiżi mmexxija mis-sors ta' log, il-volum ta 'data, il-kritiċità tad-data, rekwiżiti ta' konformità, u l-kumplessità tal-proċess ta 'migrazzjoni.
3. L-ippjanar tal-migrazzjoni: Ladarba s-sorsi ta' log ikunu ġew ipprijoritizzati, irid jiġi żviluppat pjan ta' migrazzjoni.
4. Eżekuzzjoni tal-migrazzjoni: Il-proċess ta 'migrazzjoni jista' mbagħad jiġi esegwit skond il-pjan. Dan jista 'jinvolvi varjetà ta' kompiti, bħall-konfigurazzjoni ta 'feeds fis-SIEM il-ġdid, l-installazzjoni ta' aġenti, il-konfigurazzjoni tal-APIs, eċċ.
5. Ittestjar u validazzjoni: Ladarba l-migrazzjoni titlesta, huwa importanti li tiġi ttestjata u vvalidata d-dejta tal-ġurnal li qed tiġi inġerita kif suppost. Uża dan bħala opportunità biex tikkonfigura twissija għal sorsi tad-dejta li jkunu kwieti.
6. Dokumentazzjoni: Fl-aħħarnett, huwa importanti li tiddokumenta l-konfigurazzjoni ġdida tas-sors tal-log.

Proċess Ewlenin: Imigra l-Kontenut ta' Sejbien u Rispons
Il-kontenut tas-sejbien u r-rispons SIEM jikkonsisti f'regoli, tfittxijiet, playbooks, dashboards, u konfigurazzjonijiet oħra li jiddefinixxu fuq liema twissijiet SIEM tiegħek u kif jgħin lill-analisti jimmaniġġjaw dawk it-twissijiet. Mingħajr kontenut konfigurat sew, is-SIEM huwa biss mod fancy biex tfittex. Huwa "grep għali" - terminu kollega tal-awturi maħluqa numru ta 'snin ilu. Il-kontenut SIEM għandu rwol ewlieni fid-definizzjoni tal-kopertura tal-iskoperta tal-organizzazzjoni tiegħek.

• Ir-regoli ta' sejbien jintużaw biex jiġu identifikati inċidenti ta' sigurtà. Inġiniera ta' sejbien li għandhom għarfien profond tal-atturi tat-theddid għas-sigurtà u t-tattiċi, tekniki u proċeduri (TTPs) komuni għalihom jiktbuhom. Ir-regoli ta' sejbien ifittxu mudelli li jirrappreżentaw dawn it-TTPs fid-dejta tal-ġurnal. Ir-regoli ta' sejbien ħafna drabi jikkorrelataw sorsi ta' log differenti flimkien u jagħmlu użu mid-dejta tal-intelliġenza dwar it-theddid.
• Il-playbooks tar-rispons jintużaw biex awtomat ir-rispons għat-twissijiet tas-sigurtà. Jistgħu jinkludu kompiti bħat-trażmissjoni ta' notifiki, l-iżolament ta' hosts kompromessi, l-arrikkiment ta' twissijiet b'dejta kuntestwali/intelliġenza dwar it-theddid, u t-tmexxija ta' skripts ta' rimedju.
• Dashboards jintużaw biex jivviżwalizzaw id-dejta tas-sigurtà u jsegwu l-istatus tal-inċidenti tas-sigurtà. Jistgħu jintużaw biex jimmonitorjaw il-qagħda ġenerali tas-sigurtà tal-organizzazzjoni u biex jidentifikaw xejriet u mudelli.
• L-iżvilupp ta' kontenut ġdid ta' sejbien u rispons huwa proċess iterattiv. Huwa importanti li tissorvelja kontinwament is-SIEM u tagħmel aġġustamenti għall-kontenut kif meħtieġ. Il-migrazzjoni SIEM hija żmien eċċellenti biex ittejjeb il-proċessi tiegħek billi tuża approċċi bħall-iskoperta bħala kodiċi (DaC).

Proċess Ewlenin: Taħriġ u Enablement
Proċess li spiss jiġi injorat matul il-migrazzjoni SIEM huwa t-taħriġ tal-utenti. Is-SIEM huwa forsi l-aktar għodda importanti li juża tim tal-operazzjonijiet tas-sigurtà. Il-kapaċità tagħhom li jużawha b'mod effettiv u produttiv se jkollha rwol kbir fis-suċċess tal-migrazzjoni, u l-kapaċità tagħhom li jipproteġu l-organizzazzjoni tiegħek. Jiddependi fuq il-fornitur tas-SIEM u l-imsieħeb tal-iskjerament tiegħek biex jipprovdu kontenut ta’ taħriġ u twassil. Hawnhekk hawn lista qasira ta' suġġetti li fuqhom it-timijiet tiegħek għandhom ikunu attivati.

• Inġestjoni u parsing tal-għalf tal-log
• Tiftix / Investigazzjoni
• Ġestjoni tal-Każijiet
• Awtur tar-Regoli
• Żvilupp tad-Dashboard
• Playbook / Awtomazzjoni

Konklużjoni

• Eventwalment, il-migrazzjoni minn SIEM wirt għal soluzzjoni moderna hija inevitabbli. Filwaqt li l-isfidi jistgħu jidhru skoraġġanti, migrazzjoni ppjanata u eżegwita tajjeb tista’ twassal għal titjib sinifikanti fl-iskoperta tat-theddid, fil-kapaċitajiet ta’ reazzjoni, u fil-qagħda ġenerali tas-sigurtà.
• Billi tikkunsidra bir-reqqa l-għażla ta 'SIEM ġdid, billi tisfrutta s-saħħiet tal-arkitettura nattiva tal-cloud, tinkorpora intelliġenza tat-theddid avvanzata, u tuża karatteristiċi mmexxija mill-AI, l-organizzazzjonijiet jistgħu jagħtu s-setgħa lit-timijiet tas-sigurtà tagħhom biex jiddefendu b'mod proattiv kontra theddid li dejjem jevolvi. Il-proċess ta’ migrazzjoni b’suċċess jinvolvi ppjanar metikoluż, dokumentazzjoni komprensiva, sors strateġiku ta’ log u migrazzjoni tal-kontenut, ittestjar bir-reqqa, u taħriġ komprensiv għall-utenti.
• Is-sħubija ma' speċjalisti ta' skjerament b'esperjenza tista' tkun imprezzabbli fin-navigazzjoni tal-kumplessitajiet u tiżgura tranżizzjoni bla xkiel. B'impenn għal titjib kontinwu u fokus fuq l-inġinerija tas-sejbien, l-organizzazzjonijiet jistgħu jisfruttaw is-sħiħ
• potenzjal tas-SIEM il-ġdid tagħhom u jsaħħu d-difiżi tas-sigurtà tagħhom għas-snin li ġejjin.

Qari Addizzjonali

• Karta “Kif Google SecOps Jista’ Jgħin Iżżid il-Munzell SIEM Tiegħek”.
• “Futur tas-SOC: Evoluzzjoni jew Ottimizzazzjoni — Agħżel it-Triq Tiegħek” karta
• Blog tal-Komunità tas-Sigurtà ta' Google Cloud
• Newsletter ta' kull ġimgħa dwar l-Inġinerija tal-Kxif
• detect.fyi – Suġġerimenti ċċentrati fuq il-prattikant dwar l-inġinerija tas-sejbien
• Nibdew bl-Operazzjonijiet ta' Detection-as-Code u Google Sigurtà - David French (L-ewwel parti, it-tieni parti)
• L-implimentazzjoni ta' Fluss tax-Xogħol ta' Inġinerija ta' Sejbien modern - Dan Lussier (L-ewwel parti, it-tieni parti, it-tielet parti)

Għal aktar informazzjoni żur cloud.google.com

FAQ

Q: X'inhu l-iskop tal-gwida Great SIEM Migration?
A: Il-gwida għandha l-għan li tgħin lill-organizzazzjonijiet fit-tranżizzjoni minn soluzzjonijiet SIEM skaduti għal għażliet aktar ġodda u effiċjenti għall-iskoperta u r-rispons tat-theddid.

Q: Kif nista' nibbenefika minn SIEM cloud-native?
A: SIEMs cloud-native jipprovdu skalabbiltà, kost-effiċjenza, u sigurtà effettiva għall-piżijiet tax-xogħol tal-cloud minħabba l-arkitettura u l-kapaċitajiet tagħhom.

Dokumenti / Riżorsi

Google Cloud SIEM Migrazzjoni [pdf] Istruzzjonijiet SIEM Migrazzjoni, Migrazzjoni

Referenzi

• Manwal għall-Utent