Google Cloud SIEM Migration

Produktinformation

Specifikationer:

• Produktnavn: SIEM Migration Guide
• Forfatter: Ukendt
• Udgivet År: Ikke specificeret

Produktbrugsvejledning

• Valg af en ny SIEM
  Start med at stille dig selv og dit team nogle nøglespørgsmål for at hjælpe med at afdække hvert enkelt tilbuds styrker og svagheder. Identificer hurtigt hver SIEM's superkræfter, og planlæg, hvordan din organisation kan drage fordeltage af dem.
• Cloud-native SIEM
  Overvej, om SIEM tilbydes af en primær cloud-tjenesteudbyder (CSP), der kan levere infrastruktur i verdensskala til engrospriser. Cloud-native SIEM-implementeringsmodeller giver mulighed for skalerbarhed og dynamisk styring af cloud-arbejdsbelastninger.
• SIEM med intelligens
  Tjek, om SIEM-leverandøren tilbyder kontinuerlig frontline-trusselsintelligens for at drive ud-af-boksen detektion af nye og nye trusler.

SIEM er død, længe leve SIEM

Hvis du er ligesom os, kan du blive overrasket over, at i 2024 er sikkerhedsinformations- og hændelsesstyringssystemer (SIEM) stadig rygraden i de fleste sikkerhedsoperationscentre (SOC). SIEM'er er altid blevet brugt til at indsamle og analysere sikkerhedsdata fra hele din organisation for at hjælpe dig med at identificere, undersøge og reagere på trusler hurtigt og effektivt. Men virkeligheden er, at nutidens moderne SIEM'er ikke minder meget om dem, der blev bygget for 15+ år siden, før fremkomsten af ​​cloud-native arkitektur, brugerentitets- og adfærdsanalyse (UEBA), sikkerhedsorkestrering, automatisering og respons (SOAR), angrebsoverfladestyring og selvfølgelig AI, for at nævne nogle få.
Ældre SIEM'er er ofte langsomme, besværlige og svære at bruge. Deres gamle arkitektur forhindrer dem ofte i at skalere for at indtage logkilder med høj volumen, og de kan muligvis ikke følge med de seneste trusler eller understøtte de nyeste funktioner og muligheder. De tilbyder muligvis ikke fleksibiliteten til at understøtte din organisations specifikke krav eller passer til den multi-cloud-strategi, som er virkeligheden for de fleste organisationer i dag. Endelig kan de være dårligt placeret til at tage fordeltage af de seneste teknologiske udviklinger, såsom kunstig intelligens (AI).
Så selvom en SIEM med et hvilket som helst andet navn kan lyde lige så sødt, vil sikkerhedsoperationsteams fortsat stole på
"sikkerhedsoperationsplatforme" (eller hvilket navn de nu hedder) i en overskuelig fremtid til trusselsdetektion, -undersøgelse og -respons.

Den store SIEM-migrering er begyndt

SIEM-migrering er ikke ny. Organisationer er blevet forelsket i deres eksisterende SIEM og har søgt efter nyere og bedre muligheder i årevis. Måske oftere har organisationer holdt ud med deres underpræsterende og/eller alt for dyre SIEM i længere tid, end de ville have ønsket, til dels på grund af bekymringer over kompleksiteten i at skulle håndtere SIEM-migrering.
Men de seneste måneder har indført tektoniske skift i SIEM-rummet, som ikke kan undervurderes. Der er næppe tvivl om, at SIEM-landskabet vil blive fuldstændig forvandlet om et par korte år fra nu - og føde nye markedsledere og se tilbagegangen og måske endda døden for "dinosaurer", der har regeret SIEM-land i årtier (eller " eoner" i cybersikkerhedsformål). Disse udviklinger vil utvivlsomt fremskynde migreringen fra ældre SIEM-platforme til moderne, hvor mange organisationer nu står over for en realitet med, hvornår de skal migrere i stedet for, om de skal migrere.

Her er en oversigt over større bevægelser i de sidste 9 måneder alene:

At identificere mangler i dit nuværende SIEM er meget nemmere end at vælge den bedste erstatning og udføre en vellykket migrering. Det er også vigtigt at bemærke, at SIEM-implementeringsfejl også kan stamme fra processer (og lejlighedsvis mennesker) og ikke kun teknologi. Det er her dette papir kommer ind i billedet. Forfatterne har set hundredvis af SIEM-migreringer som praktikere, analytikere og leverandører gennem flere årtier. Så lad os gøre status over de bedste SIEM-migreringstip for 2024. Vi opdeler denne liste i kategorier og drysser med erfaringer, vi har lært fra skyttegravene.

Valg af en ny SIEM

Start med at stille dig selv og dit team nogle nøglespørgsmål for at hjælpe med at afdække hvert enkelt tilbuds styrker og svagheder. Vi anbefaler hurtigt at identificere hver SIEM's "superkræfter" og planlægge, hvordan din organisation kan drage fordeltage af dem. F.eksampdet:

• Cloud-native SIEM
  
  • Udbydes SIEM'en af ​​en primær cloud-tjenesteudbyder (CSP), der kan levere infrastruktur i verdensskala til engrospriser?
    Vores erfaring viser, at SIEM-udbydere, der opererer i skyer, som de ikke ejer, har svært ved at overvinde den uundgåelige "marginstacking", der følger med sådanne modeller. Dette spørgsmål er uløseligt forbundet med omkostninger.
    En cloud-native SIEM-implementeringsmodel gør det også muligt for SIEM at skalere op og ned som reaktion på nye trusler og også styre den dynamiske karakter af en organisations cloud-arbejdsbelastninger. Cloud-infrastruktur og applikationer kan vokse dramatisk på få minutter. En cloud-native SIEM-arkitektur gør det muligt for sikkerhedsteams kritiske værktøjer at skalere i samme hastighed sammen med behovene i den større organisation.
    Cloud-native SIEM'er er også godt positioneret til at sikre cloud-arbejdsbelastninger. De leverer dataindtagelse med lav latens fra skytjenester og leveres med registreringsindhold for at hjælpe med at identificere angreb, der er almindelige i skyen.
• SIEM med intelligens
  • Har SIEM-leverandøren en kontinuerlig strøm af frontline-trusselsintelligens til at drive out-of-the-box detektering af nye og nye trusler?
    Disse gyldne kilder stammer typisk fra top-tier hændelsesresponspraksis, driften af ​​massive forbruger-IaaS- eller SaaS-skytilbud eller globale installationsbaser af sikkerhedssoftwareprodukter eller -operativsystemer.
    Trusselsintelligens er afgørende for, at organisationer effektivt kan opdage, triage, efterforske og reagere på sikkerhedshændelser. Især frontline trusselsintelligens er værdifuld, fordi den giver information i realtid om de seneste trusler og sårbarheder. Disse oplysninger kan bruges til hurtigt at identificere og prioritere sikkerhedshændelser og til at udvikle og implementere effektive reaktionsstrategier.
    For at forbedre real-time trusselsdetektion og reaktionskapaciteter søger sikkerhedsorganisationer problemfri integration af trusselsintelligens og tilhørende datafeeds i deres sikkerhedsoperationsarbejdsgange og -værktøjer. Drejestol, copy-paste og sprøde integrationer mellem SIEM og trusselsinformationskilder er produktivitetsdræn, og de har en negativ indvirkning på teamets effektivitet og analytikeroplevelse.
• SIEM med kurateret indhold
  • Tilbyder SIEM et omfattende bibliotek af understøttede parsere og detektionsregler og svarhandlinger?
    Tip: Nogle SIEM-leverandører stoler næsten udelukkende på deres brugerfællesskab eller tekniske alliancepartnere til at skabe parsere til populære datafeeds. Selvom et blomstrende brugerfællesskab er vigtigt, er overdreven afhængighed af det for at levere grundlæggende funktioner som parsing et problem. Parsere til almindelige datakilder bør oprettes, vedligeholdes og understøttes direkte af SIEM-leverandøren. Tag samme tilgang, når du ser på indholdet af registreringsregler. Fællesskabsregler er essentielle, men du bør forvente, at din leverandør opretter og vedligeholder et solidt bibliotek af kernedetektioner, der testes, understøttes og forbedres regelmæssigt. Kurateret trusselsdetektion af høj kvalitet er afgørende for, at organisationer effektivt kan administrere deres sikkerhedsposition. Google SecOps leverer direkte registrering af nye og nye trusler, som kan hjælpe organisationer med hurtigt at identificere og reagere på sikkerhedshændelser.
• SIEM med AI
  • Inkorporerer SIEM AI, og er det positioneret til at fortsætte med at innovere?
    Rollen af ​​kunstig intelligens i SIEM er stadig ikke fuldt ud forstået (meget mindre implementeret) af nogen leverandør. Men førende SIEM'er har allerede håndgribelige AI-drevne funktioner fragt i dag. Disse funktioner omfatter naturlig sprogbehandling til at udtrykke søgninger og regler, automatiseret sagsopsummering og anbefalede svarhandlinger. De fleste kunder og brancheobservatører anser funktioner som trusselsdetektion og forudsigelig modstandsanalyse for at være nogle af de "hellige grale" i AI-drevne SIEM-kapaciteter. Ingen SIEM tilbyder pålideligt disse funktioner i dag. Når du vælger en ny SIEM i 2024, skal du overveje, om leverandøren investerer de nødvendige ressourcer for at gøre meningsfulde fremskridt med disse transformationsevner.

Google Security Operations (tidligere Chronicle) er en cloud-baseret SIEM-løsning, der tilbydes af Google Cloud. Det er designet til at hjælpe organisationer med at indsamle logfiler og anden sikkerhedstelemetri centralt og derefter opdage, undersøge og reagere på sikkerhedstrusler i realtid. 

• Opdag og prioriter sikkerhedstrusler: Google SecOps' out-of-the-box detektionsregler identificerer og prioriterer sikkerhedstrusler i realtid. Dette hjælper organisationer med hurtigt og effektivt at reagere på de mest kritiske trusler.
• Undersøg sikkerhedshændelser: Google SecOps tilbyder en centraliseret platform til at undersøge sikkerhedshændelser. Dette hjælper organisationer med hurtigt og effektivt at indsamle beviser og bestemme omfanget af hændelsen.
• Reager på sikkerhedshændelser: Google SecOps tilbyder en række værktøjer til at hjælpe organisationer med at reagere på sikkerhedshændelser, såsom automatiseret afhjælpning. Trusseljægere finder platformens hastighed, søgemuligheder og anvendte trusselsintelligens uvurderlige til at opspore angribere, der måske er sluppet igennem. Dette hjælper organisationer med hurtigt og effektivt at begrænse og afbøde virkningen af ​​sikkerhedshændelser.
  Google SecOps har en række fordeletages over traditionelle SIEM-løsninger, herunder:
• Kunstig intelligens: Google SecOps bruger Googles Gemini AI-teknologi til at gøre det muligt for forsvarere at søge i enorme mængder data på få sekunder ved hjælp af naturligt sprog og træffe hurtigere beslutninger ved at besvare spørgsmål, opsummere begivenheder, jage efter trusler, skabe regler og levere anbefalede handlinger baseret på undersøgelseskonteksten. Sikkerhedsteams kan også bruge Gemini i Security Operations til nemt at bygge response-playbooks, tilpasse konfigurationer og inkorporere bedste praksis – hvilket hjælper med at forenkle tidskrævende opgaver, der kræver dyb ekspertise.
• Anvendt trusselsintelligens: Google SecOps integreres naturligt med Google Threat Intelligence (GTI), som omfatter kombineret intelligens fra VirusTotal, Mandiant Threat Intelligence og interne Google Threat-intelligenskilder for at hjælpe kunder med at opdage flere trusler med mindre indsats.
• Skalerbarhed: Google SecOps er en cloud-baseret løsning, så den kan udnytte hyperskala cloud-infrastruktur leveret af Google cloud til at opfylde kapacitets- og ydeevnebehovene for enhver organisation, uanset størrelse.
• Integration med Google Cloud: Google SecOps er tæt integreret med andre Google Cloud-produkter og -tjenester, såsom Google Cloud Security Command Center Enterprise (SCCE). Denne integration gør det nemt for organisationer at administrere deres sikkerhedsoperationer på en enkelt, samlet platform. Google SecOps er den bedste SIEM til GCP-tjenestetelemetri og inkluderer også direkte registreringsindhold for andre store cloud-udbydere som AWS og Azure.

Anvendt Threat Intelligence i Google SecOps
Google SecOps giver sikkerhedsteams mulighed for at administrere og analysere sikkerhedsdata, som automatisk korreleres og beriges med trusselsdata. Ved at integrere trusselsintelligens direkte i dit SIEM kan organisationer:

• Forbedre detektion og triage: Trusselsdata kan bruges direkte til at skabe regler, der kan hjælpe med at identificere ondsindet aktivitet i realtid. Disse data bruges også til at tilføje kontekst til andre advarsler og automatisk justere tilliden til advarslen. Dette hjælper organisationer med hurtigt at opdage og triage sikkerhedshændelser og med at fokusere deres ressourcer på de mest kritiske trusler.
• Forbedre undersøgelse og respons: Trusselsintelligens kan bruges til at give kontekst og indsigt under sikkerhedsundersøgelser. Dette kan hjælpe analytikere med hurtigt at identificere årsagen til en hændelse og til at udvikle og implementere effektive reaktionsstrategier.
• Vær på forkant med trusselslandskabet: Trusselsintelligens kan hjælpe organisationer med at være på forkant med trusselslandskabet ved at give oplysninger om de seneste trusler og sårbarheder. Disse oplysninger kan bruges til at udvikle og implementere proaktive sikkerhedsforanstaltninger, såsom trusselsjagt og træning i sikkerhedsbevidsthed.

Trusselsdetektion i Google SecOps
Google SecOps-trusselsdetektion er baseret på en kontinuerlig strøm af frontline-trusselsintelligens fra Googles sikkerhedsteams. Denne intelligens bruges til at skabe regler og advarsler, der kan identificere ondsindet aktivitet i realtid. Google SecOps bruger også adfærdsanalyse og risikoscoring til at identificere mistænkelige mønstre i sikkerhedsdata. Dette giver Google SecOps mulighed for at opdage trusler, der ikke kan detekteres af traditionelle registreringsregler.

Værdien af ​​kurateret trusselsdetektion af høj kvalitet er klar. Organisationer, der bruger Google SecOps, kan drage fordel af:

• Forbedret detektion og triage: Google SecOps kan hjælpe organisationer med hurtigt at identificere og triage sikkerhedshændelser. Dette giver organisationer mulighed for at fokusere deres ressourcer på de mest kritiske trusler.
• Forbedret undersøgelse og respons: Google SecOps kan give kontekst og indsigt under sikkerhedsundersøgelser. Dette kan hjælpe analytikere med hurtigt at identificere årsagen til en hændelse og til at udvikle og implementere effektive reaktionsstrategier.
• Vær på forkant med trusselslandskabet: Google SecOps kan hjælpe organisationer med at være på forkant med trusselslandskabet ved at give oplysninger om de seneste trusler og sårbarheder. Disse oplysninger kan bruges til at udvikle og implementere proaktive sikkerhedsforanstaltninger, såsom trusselsjagt og træning i sikkerhedsbevidsthed.

SIEM-migrering

Så du har besluttet at tage skridtet. Din tilgang til migrering er afgørende for at sikre, at du bevarer de nødvendige funktioner og begynder at udvinde værdi fra den nye platform så hurtigt som muligt. Det handler om prioritering. En typisk afvejning er at erkende, at mens en SIEM-migrering repræsenterer en mulighed for at modernisere hele din tilgang til undersøgelse, detektion og respons, mislykkes mange SIEM-migrationer, fordi organisationer forsøger at "koge havet."

Så her er vores bedste tips til planlægning og eksekvering af din succesfulde SIEM-migrering:

• Definer dine migrationsmål. Dette lyder indlysende, men din SIEM-migrering er en langvarig proces, så det at definere dine ønskede resultater (f.eks. hurtigere trusselsdetektion, lettere overholdelsesrapportering, forbedret synlighed, reduceret analytikerarbejde, samtidig med at omkostningerne reduceres) er stærkt korreleret med succes.
• Brug migrationen som en mulighed for at gøre rent hus. Det er et godt tidspunkt at rydde op på dine detektionsregler og logkilder og migrér kun dem, du rent faktisk bruger. Det er også et godt tidspunkt at gentageview dine alarmtriage- og tuningprocesser og sørg for, at de er opdaterede.
• Migrér ikke alle logkilder. At flytte til en ny SIEM er en fantastisk mulighed for at beslutte, hvilke logfiler du har brug for, hvad enten det er af compliance- eller sikkerhedsmæssige årsager. Mange organisationer akkumulerer en enorm mængde logdata over tid, og ikke alle er nødvendigvis værdifulde eller relevante. Ved at tage dig tid til at evaluere dine logkilder, før du migrerer dem, kan du strømline dit SIEM og fokusere på de data, der er vigtigst for dine sikkerheds- og compliancebehov.
• Migrer ikke alt indhold. Det er ikke altid nødvendigt at migrere alt dit eksisterende registreringsindhold, regler, advarsler, dashboards, visualiseringer og playbooks til en ny SIEM. Tag dig tid til at evaluere din nuværende detektionsdækning og prioriter migrering af de regler, du har brug for. Du vil finde muligheder for at konsolidere regler, for at eliminere regler, der aldrig kunne udløses på grund af mangel på telemetri eller fejlagtig logik, eller regler, der håndteres bedre af out-of-box-indhold. Spørg enhver leverandør eller implementeringspartner, der går ind for en-til-en regelmigrering.
• Prioriter tidlig indholdsmigrering. Start migrering af detektionsindhold straks efter tilgængelighed af logkilderne og berigelserne, der kræves for hver specifik brugssag. Denne datadrevne tilgang, der tilpasser kilder med use cases, muliggør parallelle migreringsbestræbelser for optimal effektivitet og resultater.
• Migrering af registreringsindhold er en menneskestyret proces. Forbered dig på at genopbygge detektionsindhold (regler, advarsler, dashboards, modeller osv.) (for det meste) fra bunden ved at bruge dit gamle indhold som inspiration. I dag er der ingen idiotsikker metode til automatisk at konvertere regler fra en SIEM-platform til en anden. Mens nogle leverandører tilbyder syntaksoversættere, resulterer de generelt i et godt springpunkt frem for en perfekt oversat regel, søgning eller dashboard. Du bør tage maksimalt forskudtage af disse værktøjer, men erkender, at de ikke er et vidundermiddel.
• Registreringsindhold kommer fra mange kilder. Analyser dine detektionsdækningsbehov, og adopter eller opret derefter dine detektionsbrugssager efter behov. Din SIEM-leverandør vil levere noget ud af boksen indhold, som du altid bør udnytte, hvis du kan. Overvej også fællesskabsreglerlagre og tredjeparts udbydere af detektionsindhold. Når det er nødvendigt, skriv dine egne regler og husk, at de fleste regler, uanset deres oprindelse, skal tilpasses din organisations specifikke miljø.
• Udvikle en realistisk migrationstidslinje. Dette inkluderer regnskab for dataoverførsel, test, tuning, træning og potentielle overlapninger, hvor du muligvis skal køre begge systemer parallelt. En veldefineret migrationsplan vil hjælpe dig med at identificere og afbøde risici og sikre, at migreringen gennemføres med succes. Planen bør indeholde en detaljeret tidslinje, en liste over opgaver, ressourcer og et budget. Erkend, at store projekter som en SIEM-migrering skal opdeles i faser.
• Afprøvning. Vi anbefaler praksis med at teste dit SIEM- og detektionsindhold ved regelmæssigt at injicere data, der vil udløse dine detektioner, kontrollere parsing og validere dataflow fra detektion til case til respons playbook. En SIEM-migrering er det perfekte tidspunkt at indføre en streng detektionsingeniørprogram det inkluderer test som denne.
• Forbered dig på en overgangsperiode, hvor du vil køre både gamle og nye værktøjer. Undgå en forstyrrende "rip and replace"-tilgang. En trinvis migrering, hvor du migrerer logkilder og brugersager, hjælper gradvist med at kontrollere processen og reducerer risikoen. Tænk også to gange om at genindtage data fra din gamle SIEM til den nye. I nogle tilfælde kan du have mulighed for at lade den tidligere SIEM køre i længere perioder for at give adgang til historiske data.
• Aktiver dine teams. Din SIEM-migrering vil mislykkes, hvis dine analytikere ikke kan bruge det nye system. En god migrationsplan vil inkludere dyb aktivering for dine teams. Tænk på træning af ingeniører i data onboarding og parsing, træning af analytikere i sagsbehandling/undersøgelse/triagering, trusselsjægere i anomalidetektion/søgning og detektionsingeniører i regelskrivning. Timing er afgørende for aktivering. Det er bedst at uddanne personalet, når de går i gang med specifikke faser af migration, i stedet for at træne, før disse færdigheder kræves.
• Få hjælp! Hvis du er heldig (eller måske uheldig?) som praktiker eller leder, har du måske været igennem en eller to SIEM-migrationer i din karriere. Hvorfor ikke søge hjælp fra specialister, der har gjort det dusinvis eller hundredvis af gange? Professionelle serviceteams fra leverandøren og/eller konsulentteams fra kvalificerede servicepartnere er et godt valg. SIEM-migrationer er stort set menneskecentrerede indsatser.

Nøgleproces: Vælg en implementeringspartner
Ingen beslutning vil have større indflydelse på den ultimative succes for en SIEM-migrering end valget af en implementeringspartner. SIEM-platforme er store, komplekse virksomhedssystemer. Forsøg ikke at gå alene; holde sig til en implementeringspartner, der har været igennem mange migreringer.

Implementeringspartneren kan simpelthen være den professionelle servicearm for den nye SIEM-leverandør. Det er dog mere almindeligt at vælge en tredjepartspartner til at køre migreringen. Husk SIEM-migrering er en menneskestyret bestræbelse. Det er bedst at vælge en partner med certificeringer i det nye SIEM og masser af referencerbare partnere. Det hjælper også, hvis de har ekspertise i det SIEM, du migrerer fra. Ud over referencer er en smart måde at bestemme erfaringsniveauet for en partner med dit nye SIEM på at tjekke fællesskabsfora for at se, om holdet har været en aktiv bidragyder. Efter forfatternes mening korrelerer højt engageret partnerpersonale med vellykkede SIEM-migreringer. Ud over de tekniske bits og bytes i SIEM-migreringen kan du også vælge partnere, der har specifik erfaring i din branche eller i dit compliance-miljø eller i din region, eller alle tre! Du kan på forhånd søge efter sprogkundskaber og ressourcertageuse tidszoner. Du kan også kigge efter partnere, der driver dit SIEM for dig, eller som leverer lignende resultater som en udbyder af administrerede sikkerhedstjenester, der helt eller delvist kan outsource din organisations SIEM.

Nøgleproces: Dokumenter den aktuelle konfiguration og brugssager
SIEM-implementeringer er normalt ekspansive og vokser støt i omfang og kompleksitet over mange års brug. Forbered dig på lidt eller ingen dokumentation. Forvent, at personale, der udførte den indledende konfiguration og tilpasning af SIEM, ofte er væk for længst. Grundig dokumentation af konfigurationen og mulighederne tidligt i migreringsprocessen kan betyde forskellen mellem succes og fiasko.

• Dokumentér den identitets- og adgangsstyring, der bruges af SIEM. Du bliver helt sikkert nødt til at bevare en vis rollebaseret adgang til data og funktioner. På den anden side er migrering en mulighed for at analysere og adressere adgangsprawl, som forekommer naturligt i de fleste organisationer. Du kan også se på migreringsprocessen som en mulighed for at modernisere godkendelses-/godkendelsesmetoder, herunder at sammenføje identitet med virksomhedsstandarder og implementere multi-faktor godkendelse.
• Indfang navnene på de datatyper, der indsamles. Bemærk, at nogle SIEM'er kalder disse navne "kildetype" eller "logtype". Fang hvor meget data af hver datatype der flyder ved at bruge gigabyte/dag som metrik. Dokumenter datapipelinen for hver datakilde (agentbaseret, API-forespørgsel, web hook, cloud bucket-indtagelse, indtagelses-API, HTTP-lytter osv.), og fange SIEM'ens parser-konfiguration sammen med eventuelle tilpasninger.
• Indsaml gemte søgninger, dashboarddefinitioner og registreringsregler. Mange SIEM'er har også vedvarende datalagringsmekanismer såsom opslagstabeller. Sørg for at forstå og dokumentere, hvordan disse udfyldes og bruges.
• Lav en opgørelse over integrationer med eksterne systemer. Mange SIEM'er integreres med sagshåndteringssystemer, relationelle databaser, notifikationstjenester (e-mail, SMS osv.) og trusselsefterretningsplatforme.
• Indfang svarindhold såsom playbooks, sagshåndteringsskabeloner og alle aktive integrationer, der ikke allerede er dokumenteret.

Ud over at samle disse vigtige tekniske detaljer, er det vigtigt at tage sig tid til at blande sigview brugere af det eksisterende SIEM for at forstå deres arbejdsgange. Spørg, hvordan de bruger SIEM, hvilke standarddriftsprocedurer, der er afhængige af SIEM. Det er også vigtigt at stille brede spørgsmål, såsom hvilke hold uden for sikkerheden, der kan bruge SIEM. F.eksampDet er ikke ualmindeligt, at overholdelsesteams eller IT-driftspersonale stoler på SIEM. Manglende indfangning af disse use cases kan forårsage manglende forventninger senere i migreringsprocessen.

Nøgleproces: Log Source Migration
Logkildemigrering involverer flytning af datakilderne fra det gamle SIEM til det nye SIEM. Denne proces afhænger af dokumentationen for den aktuelle konfiguration samlet i Proces: Dokumenter den aktuelle konfiguration og brug afsnit.

Følgende trin er typisk involveret i logkildemigreringsprocessen:

1. Opdagelse og inventar: Det første trin er at opdage og inventar alle de logkilder, der i øjeblikket indtages af det gamle SIEM. Dette kan gøres ved hjælp af en række forskellige metoder, såsom vedrviewkonfiguration af SIEM files eller ved at bruge API'er og relateret værktøj.
2. Prioritering: Når logkilderne er blevet opdaget og inventeret, skal de prioriteres til migrering. Dette kan gøres baseret på en række faktorer, såsom analyser drevet af logkilden, mængden af ​​data, dataens kritiske karakter, overholdelseskrav og kompleksiteten af ​​migreringsprocessen.
3. Migrationsplanlægning: Når logkilderne er blevet prioriteret, skal der udarbejdes en migrationsplan.
4. Udførelse af migrering: Migreringsprocessen kan derefter udføres i henhold til planen. Dette kan involvere en række forskellige opgaver, såsom at konfigurere feeds i det nye SIEM, installere agenter, konfigurere API'er osv.
5. Test og validering: Når migreringen er fuldført, er det vigtigt at teste og validere, at logdataene indtages korrekt. Brug dette som en mulighed for at konfigurere alarmering for datakilder, der er blevet stille.
6. Dokumentation: Endelig er det vigtigt at dokumentere den nye logkildekonfiguration.

Nøgleproces: Migrering af registrering og svarindhold
SIEM-detekterings- og svarindhold består af regler, søgninger, playbooks, dashboards og andre konfigurationer, der definerer, hvad dine SIEM-alarmer om, og hvordan det hjælper analytikere med at håndtere disse underretninger. Uden korrekt konfigureret indhold er SIEM bare en smart måde at søge på. Det er "dyrt grep" - et udtryk en kollega af forfatterne opfandt for en del år siden. SIEM-indhold spiller en nøglerolle i at definere din organisations opdagelsesdækning.

• Detektionsregler bruges til at identificere sikkerhedshændelser. Detektionsingeniører, der har indgående kendskab til sikkerhedstruslers aktører og de taktikker, teknikker og procedurer (TTP'er), der er fælles for dem, skriver dem. Registreringsregler søger efter mønstre, der repræsenterer disse TTP'er i logdataene. Registreringsregler korrelerer ofte forskellige logkilder sammen og gør brug af trusselsintelligensdata.
• Response playbooks bruges til at automatisere svaret på sikkerhedsadvarsler. De kan omfatte opgaver såsom at sende meddelelser, isolere kompromitterede værter, berige advarsler med kontekstuelle data/trusselsintelligens og køre afhjælpningsscripts.
• Dashboards bruges til at visualisere sikkerhedsdata og spore status for sikkerhedshændelser. De kan bruges til at overvåge den overordnede sikkerhedsposition i organisationen og til at identificere trends og mønstre.
• Udviklingen af ​​nyt detektions- og responsindhold er en iterativ proces. Det er vigtigt løbende at overvåge SIEM og foretage justeringer af indholdet efter behov. SIEM-migrering er et glimrende tidspunkt til at forbedre dine processer ved hjælp af tilgange som detektion som kode (DaC).

Nøgleproces: Træning og aktivering
En ofte overset proces under SIEM-migrering er brugertræning. SIEM er måske det vigtigste enkeltværktøj, som et sikkerhedsoperationsteam bruger. Deres evne til at bruge det effektivt og produktivt vil spille en stor rolle for migreringens succes og deres evne til at beskytte din organisation. Stol på din SIEM-udbyder og implementeringspartner til at levere træningsindhold og levering. Her er en kort liste over emner, som dine teams skal aktiveres om.

• Log foderindtagelse og parsing
• Eftersøgning / Efterforskning
• Sagsbehandling
• Regelforfattelse
• Dashboard udvikling
• Playbook / Automation

Konklusion

• Til sidst er migrering fra en ældre SIEM til en moderne løsning uundgåelig. Selvom udfordringerne kan virke skræmmende, kan en veltilrettelagt og udført migrering føre til betydelige forbedringer i trusselsdetektion, reaktionsevner og overordnet sikkerhedsposition.
• Ved omhyggeligt at overveje valget af en ny SIEM, udnytte styrkerne ved cloud-native arkitektur, inkorporere avanceret trusselsintelligens og bruge AI-drevne funktioner, kan organisationer give deres sikkerhedsteams mulighed for proaktivt at forsvare sig mod trusler i konstant udvikling. Den vellykkede migreringsproces involverer omhyggelig planlægning, omfattende dokumentation, strategisk logkilde- og indholdsmigrering, grundig test og omfattende brugertræning.
• Partnerskab med erfarne implementeringsspecialister kan være uvurderligt til at navigere i kompleksiteten og sikre en glidende overgang. Med en forpligtelse til løbende forbedringer og fokus på detektionsteknik kan organisationer udnytte det fulde
• potentialet i deres nye SIEM og styrke deres sikkerhedsforsvar i de kommende år.

Yderligere læsning

• "Hvordan Google SecOps kan hjælpe med at øge din SIEM-stak" papir
• "Future of the SOC: Evolution or Optimization - Choose Your Path" papir
• Google Cloud Security Community Blog
• Detection Engineering Weekly Newsletter
• opdage.fyi – Praktikercentrerede tips om detektionsteknik
• Kom godt i gang med Detection-as-Code og Google Security Operations – David French (Første del, del to)
• Implementering af et moderne Detection Engineering Workflow – Dan Lussier (Første del, del to, del tre)

For mere information besøg cloud.google.com

FAQ

Q: Hvad er formålet med den store SIEM-migreringsguide?
A: Vejledningen har til formål at hjælpe organisationer med at skifte fra forældede SIEM-løsninger til nyere, mere effektive muligheder for trusselsdetektion og -respons.

Q: Hvordan kan jeg drage fordel af et cloud-native SIEM?
A: Cloud-native SIEM'er giver skalerbarhed, omkostningseffektivitet og effektiv sikkerhed for cloud-arbejdsbelastninger på grund af deres arkitektur og muligheder.

Dokumenter/ressourcer

Google Cloud SIEM Migration [pdf] Instruktioner SIEM Migration, Migration

Referencer

• Brugermanual