Google Cloud SIEM Migration

Información do produto

Especificacións:

• Nome do produto: Guía de migración SIEM
• Autor: Descoñecido
• Publicado Ano: Non especificado

Instrucións de uso do produto

• Selección dun novo SIEM
  Comeza facéndote a ti mesmo e ao teu equipo algunhas preguntas clave para axudar a descubrir os puntos fortes e débiles de cada oferta. Identifique rapidamente os superpoderes de cada SIEM e planifique como se pode sacar adiante a súa organizacióntage deles.
• SIEM nativo na nube
  Considere se o SIEM é ofrecido por un provedor de servizos na nube (CSP) principal que pode proporcionar infraestrutura a escala mundial a prezos por xunto. Os modelos de implantación SIEM nativos na nube permiten escalabilidade e xestión dinámica das cargas de traballo na nube.
• SIEM con intelixencia
  Comprobe se o provedor de SIEM ofrece intelixencia continua sobre ameazas de primeira liña para impulsar a detección inmediata de ameazas novas e emerxentes.

SIEM morreu, viva SIEM

Se es coma nós, pode sorprenderche que, en 2024, os sistemas de información de seguridade e xestión de eventos (SIEM) sigan sendo a columna vertebral da maioría dos centros de operacións de seguridade (SOC). Os SIEM sempre se utilizaron para recoller e analizar datos de seguridade de toda a súa organización para axudarche a identificar, investigar e responder ás ameazas de forma rápida e eficaz. Pero a realidade é que os SIEM modernos de hoxe se parecen pouco aos construídos hai máis de 15 anos, antes do auxe da arquitectura nativa na nube, a análise de comportamento e entidades de usuarios (UEBA), a orquestración de seguridade, a automatización e a resposta (SOAR), a xestión da superficie de ataque. e por suposto AI, por citar algúns.
Os SIEM legados adoitan ser lentos, engorrosos e difíciles de usar. A súa arquitectura herdada a miúdo impídelles escalar para inxerir fontes de rexistro de gran volume, e é posible que non poidan estar ao día coas últimas ameazas nin admitir as funcións e capacidades máis recentes. É posible que non ofrezan a flexibilidade necesaria para apoiar os requisitos específicos da súa organización ou que non se adapten á estratexia de nube múltiple que é a realidade para a maioría das organizacións actuais. Finalmente, poden estar mal posicionados para sacar adiantetage dos últimos desenvolvementos tecnolóxicos, como a intelixencia artificial (IA).
Polo tanto, aínda que un SIEM con calquera outro nome pode soar igual de doce, os equipos de operacións de seguridade seguirán confiando
"plataformas de operacións de seguridade" (ou calquera nome que teñan) nun futuro previsible para a detección, investigación e resposta de ameazas.

Comezou a Gran Migración SIEM

A migración SIEM non é nova. As organizacións non se enamoraron do seu SIEM existente e durante anos buscaron opcións máis novas e mellores. Quizais con máis frecuencia, as organizacións soportaron os seus SIEM de baixo rendemento e/ou excesivamente caros durante máis tempo do que lles gustaría, en parte debido á preocupación pola complexidade de ter que xestionar a migración de SIEM.
Pero os últimos meses introduciron cambios tectónicos no espazo SIEM que non se poden subestimar. Hai poucas dúbidas de que o panorama SIEM se transformará completamente nuns poucos anos, dando a luz a novos líderes do mercado e vendo o declive e quizais mesmo a desaparición dos "dinosaurios" que gobernaron a terra SIEM durante décadas (ou " eons” en termos de ciberseguridade). Estes desenvolvementos sen dúbida acelerarán a migración das plataformas SIEM legadas ás modernas, e moitas organizacións afrontan agora a realidade de cando deben migrar en lugar de se deben migrar.

Aquí tes un resumo dos principais movementos só nos últimos 9 meses:

Identificar as deficiencias do seu SIEM actual é moito máis sinxelo que seleccionar o mellor substituto e executar unha migración exitosa. Tamén é importante ter en conta que os fallos de implantación de SIEM tamén poden derivarse de procesos (e ocasionalmente de persoas) e non só da tecnoloxía. Aí é onde entra este artigo. Os autores viron centos de migracións SIEM como profesionais, analistas e provedores durante varias décadas. Entón, imos facer un balance dos principais consellos de migración SIEM para 2024. Dividiremos esta lista en categorías e espolvorearemos as leccións que aprendemos das trincheiras.

Selección dun novo SIEM

Comeza facéndote a ti mesmo e ao teu equipo algunhas preguntas clave para axudar a descubrir os puntos fortes e débiles de cada oferta. Recomendamos identificar rapidamente os "superpoderes" de cada SIEM e planificar como se pode sacar adiante a súa organizacióntage deles. Por exampLe:

• SIEM nativo na nube
  
  • O SIEM é ofrecido por un provedor de servizos en nube (CSP) principal que pode proporcionar infraestrutura a escala mundial a prezos por xunto?
    A nosa experiencia mostra que os provedores de SIEM que operan en nubes que non posúen teñen dificultades para superar o ineludible "empilamento de marxes" que inclúen tales modelos. Esta pregunta está inextricablemente ligada ao custo.
    Un modelo de implantación de SIEM nativo da nube tamén permite que o SIEM se escale cara arriba e abaixo en resposta ás novas ameazas e tamén xestiona a natureza dinámica das cargas de traballo na nube dunha organización. A infraestrutura e as aplicacións na nube poden crecer drasticamente en minutos. Unha arquitectura SIEM nativa da nube permite que as ferramentas críticas dos equipos de seguridade escalan ao mesmo ritmo que as necesidades da organización máis grande.
    Os SIEM nativos na nube tamén están ben posicionados para protexer as cargas de traballo na nube. Proporcionan a inxestión de datos de baixa latencia dos servizos na nube e envían contido de detección para axudar a identificar ataques comúns na nube.
• SIEM con intelixencia
  • O provedor de SIEM ten un fluxo continuo de intelixencia de ameazas de primeira liña para impulsar a detección precoz de ameazas novas e emerxentes?
    Estas fontes de ouro adoitan xurdir de prácticas de resposta a incidentes de primeiro nivel, o funcionamento de ofertas masivas de IaaS ou SaaS para o consumidor ou as bases de instalación globais de produtos de software de seguridade ou sistemas operativos.
    A intelixencia sobre ameazas é fundamental para que as organizacións detecten, trian, investiguen e respondan de forma eficaz aos incidentes de seguridade. A intelixencia sobre ameazas de primeira liña, en particular, é valiosa porque ofrece información en tempo real sobre as últimas ameazas e vulnerabilidades. Esta información pódese usar para identificar e priorizar rapidamente os incidentes de seguridade, así como para desenvolver e implementar estratexias de resposta eficaces.
    Para mellorar as capacidades de detección e resposta de ameazas en tempo real, as organizacións de seguridade buscan unha integración perfecta da intelixencia sobre ameazas e as fontes de datos asociadas nos seus fluxos de traballo e ferramentas de operacións de seguridade. A cadeira xiratoria, o copiar e pegar e as integracións fráxiles entre SIEM e as fontes de información sobre ameazas son drenos de produtividade e teñen un impacto negativo na eficacia do equipo e na experiencia dos analistas.
• SIEM con contido seleccionado
  • O SIEM ofrece unha extensa biblioteca de analizadores compatibles e regras de detección e accións de resposta?
    Consello: Algúns provedores de SIEM confían case exclusivamente na súa comunidade de usuarios ou socios de alianzas técnicas para crear analizadores para fontes de datos populares. Aínda que unha comunidade de usuarios próspera é esencial, confiar excesivamente nela para proporcionar capacidades fundamentais como a análise é un problema. Os analizadores para fontes de datos comúns deben ser creados, mantidos e soportados directamente polo provedor de SIEM. Tome o mesmo enfoque cando se mira o contido das regras de detección. As regras da comunidade son esenciais, pero debes esperar que o teu provedor cree e manteña unha sólida biblioteca de deteccións básicas que se proban, admiten e melloran regularmente. A detección de ameazas de alta calidade é fundamental para que as organizacións poidan xestionar de forma eficaz a súa postura de seguridade. Google SecOps ofrece detección inmediata de ameazas novas e emerxentes, o que pode axudar ás organizacións a identificar e responder rapidamente aos incidentes de seguridade.
• SIEM con IA
  • O SIEM incorpora IA e está posicionado para seguir innovando?
    O papel da intelixencia artificial no SIEM aínda non é completamente entendido (e moito menos implementado) por ningún provedor. Non obstante, os principais SIEM xa contan hoxe con funcións tanxibles impulsadas pola IA. Estas funcións inclúen o procesamento da linguaxe natural para expresar buscas e regras, o resumo automatizado de casos e as accións de resposta recomendadas. A maioría dos clientes e observadores da industria consideran que funcións como a detección de ameazas e a análise preditiva do adversario son algúns dos "santos graais" das capacidades SIEM impulsadas pola IA. Ningún SIEM ofrece hoxe de forma fiable estas funcións. Ao elixir un novo SIEM en 2024, considere se o vendedor está a investir os recursos necesarios para facer un progreso significativo nestas capacidades de transformación.

Google Security Operations (anteriormente Chronicle) é unha solución SIEM baseada na nube ofrecida por Google Cloud. Está deseñado para axudar ás organizacións a recoller rexistros e outras informacións de telemetría de seguranza de forma centralizada e, a continuación, detectar, investigar e responder ás ameazas de seguridade en tempo real. 

• Detecta e prioriza as ameazas de seguridade: As regras de detección listas para usar de Google SecOps identifican e priorizan as ameazas de seguridade en tempo real. Isto axuda ás organizacións a responder de forma rápida e eficaz ás ameazas máis críticas.
• Investigar incidentes de seguridade: Google SecOps ofrece unha plataforma centralizada para investigar incidentes de seguridade. Isto axuda ás organizacións a reunir probas de forma rápida e eficiente e determinar o alcance do incidente.
• Responder a incidentes de seguridade: Google SecOps ofrece unha variedade de ferramentas para axudar ás organizacións a responder a incidentes de seguridade, como a corrección automatizada. Os cazadores de ameazas consideran que a velocidade da plataforma, as capacidades de busca e a intelixencia sobre ameazas aplicadas son inestimables para rastrexar aos atacantes que puideron escapar das fendas. Isto axuda ás organizacións a conter e mitigar de forma rápida e eficaz o impacto dos incidentes de seguridade.
  Google SecOps ten unha serie de avancestages sobre as solucións SIEM tradicionais, incluíndo:
• Intelixencia Artificial: Google SecOps usa a tecnoloxía de intelixencia artificial Gemini de Google para permitir aos defensores buscar grandes cantidades de datos en segundos usando linguaxe natural e tomar decisións máis rápidas respondendo preguntas, resumindo eventos, buscando ameazas, creando regras e realizando accións recomendadas en función do contexto das investigacións. Os equipos de seguridade tamén poden usar Gemini nas operacións de seguranza para crear facilmente cadernos de respostas, personalizar configuracións e incorporar prácticas recomendadas, o que axuda a simplificar as tarefas lentas que requiren unha profunda experiencia.
• Intelixencia de ameazas aplicada: Google SecOps intégrase de forma nativa con Google Threat Intelligence (GTI), que engloba a intelixencia combinada de VirusTotal, Mandiant Threat Intelligence e fontes internas de intelixencia de Google Threat, para axudar aos clientes a detectar máis ameazas con menos esforzo.
• Escalabilidade: Google SecOps é unha solución baseada na nube, polo que pode aproveitar a infraestrutura de nube de hiperescala proporcionada pola nube de Google para satisfacer as necesidades de capacidade e rendemento de calquera organización, independentemente do tamaño.
• Integración con Google Cloud: Google SecOps está estreitamente integrado con outros produtos e servizos de Google Cloud, como Google Cloud Security Command Center Enterprise (SCCE). Esta integración facilita ás organizacións a xestión das súas operacións de seguridade nunha plataforma única e unificada. Google SecOps é o mellor SIEM para a telemetría do servizo GCP e tamén inclúe contido de detección listo para usar para outros provedores de nube importantes como AWS e Azure.

Intelixencia de ameazas aplicada en Google SecOps
Google SecOps permite aos equipos de seguranza xestionar e analizar os datos de seguridade que se correlacionan automaticamente e se enriquecen con datos de ameazas. Ao integrar a intelixencia de ameazas directamente no seu SIEM, as organizacións poden:

• Mellora a detección e a clasificación: Os datos de ameazas pódense usar directamente para crear regras que poden axudar a identificar a actividade maliciosa en tempo real. Estes datos tamén se usan para engadir contexto a outras alertas e axustar automaticamente a confianza na alerta. Isto axuda ás organizacións a detectar e clasificar rapidamente os incidentes de seguridade e a centrar os seus recursos nas ameazas máis críticas.
• Mellorar a investigación e a resposta: A intelixencia sobre ameazas pódese utilizar para proporcionar contexto e información durante as investigacións de seguridade. Isto pode axudar aos analistas a identificar rapidamente a causa raíz dun incidente e a desenvolver e implementar estratexias de resposta eficaces.
• Mantéñase á fronte do panorama das ameazas: A intelixencia sobre ameazas pode axudar ás organizacións a manterse á fronte do panorama das ameazas proporcionando información sobre as últimas ameazas e vulnerabilidades. Esta información pódese usar para desenvolver e implementar medidas de seguridade proactivas, como a caza de ameazas e a formación de concienciación sobre a seguridade.

Detección de ameazas en Google SecOps
A detección de ameazas de Google SecOps baséase nun fluxo continuo de intelixencia de ameazas de primeira liña dos equipos de seguridade de Google. Esta intelixencia úsase para crear regras e alertas que poden identificar a actividade maliciosa en tempo real. Google SecOps tamén utiliza análises de comportamento e puntuación de risco para identificar patróns sospeitosos nos datos de seguridade. Isto permite que Google SecOps detecte ameazas que non poden ser detectadas polas regras de detección tradicionais.

O valor da detección de ameazas de alta calidade e seleccionada é claro. As organizacións que usan Google SecOps poden beneficiarse de:

• Detección e clasificación melloradas: Google SecOps pode axudar ás organizacións a identificar e clasificar rapidamente os incidentes de seguranza. Isto permite ás organizacións centrar os seus recursos nas ameazas máis críticas.
• Investigación e resposta melloradas: Google SecOps pode proporcionar contexto e información durante as investigacións de seguranza. Isto pode axudar aos analistas a identificar rapidamente a causa raíz dun incidente e a desenvolver e implementar estratexias de resposta eficaces.
• Mantéñase á fronte do panorama de ameazas: Google SecOps pode axudar ás organizacións a manterse á fronte do panorama das ameazas proporcionando información sobre as últimas ameazas e vulnerabilidades. Esta información pódese usar para desenvolver e implementar medidas de seguridade proactivas, como a caza de ameazas e a formación de concienciación sobre a seguridade.

Migración SIEM

Así que decidiches facer o movemento. O teu enfoque da migración é fundamental para garantir que manteñas as capacidades necesarias e comezar a extraer valor da nova plataforma o antes posible. Redúcese á priorización. Unha compensación típica é recoñecer que, aínda que unha migración SIEM representa unha oportunidade para modernizar todo o teu enfoque de investigación, detección e resposta, moitas migracións SIEM fallan porque as organizacións intentan "ferver o océano".

Polo tanto, aquí tes os nosos mellores consellos para planificar e executar a túa migración SIEM exitosa:

• Define os teus obxectivos de migración. Isto parece obvio, pero a súa migración SIEM é un proceso longo, polo que definir os resultados desexados (por exemplo, detección de ameazas máis rápida, informes de conformidade máis fáciles, visibilidade mellorada, redución do traballo dos analistas e, ao mesmo tempo, custos) está fortemente correlacionado co éxito.
• Use a migración como unha oportunidade para limpar a casa. Este é un bo momento para limpar as súas regras de detección e fontes de rexistro e migra só os que realmente utilizas. Tamén é un bo momento para volverview os seus procesos de selección e axuste de alertas e asegúrese de que estean actualizados.
• Non migre todas as fontes de rexistro. Moverse a un novo SIEM é unha gran oportunidade para decidir que rexistros necesitas, xa sexa por razóns de conformidade ou de seguridade. Moitas organizacións acumulan unha gran cantidade de datos de rexistro ao longo do tempo, e non todos son necesariamente valiosos ou relevantes. Ao tomar o tempo para avaliar as súas fontes de rexistro antes de migralas, pode axilizar o seu SIEM e concentrarse nos datos que son máis importantes para as súas necesidades de seguridade e cumprimento.
• Non migre todo o contido. Non sempre é necesario migrar todo o contido de detección, as regras, as alertas, os paneis, as visualizacións e os libros de xogo existentes a un novo SIEM. Tómate o tempo para avaliar a túa cobertura de detección actual e prioriza a migración das regras que necesitas. Atoparás oportunidades para consolidar regras, para eliminar regras que nunca poderían activarse debido á falta de telemetría ou a lóxica defectuosa, ou regras que se manexan mellor co contido fóra da caixa. Cuestione a calquera provedor ou socio de implantación que avogue pola migración de regras un a un.
• Prioriza a migración temperá de contido. Inicie a migración do contido de detección inmediatamente despois da dispoñibilidade das fontes de rexistro e dos enriquecementos necesarios para cada caso de uso específico. Este enfoque baseado en datos, que aliña as fontes cos casos de uso, permite esforzos de migración paralelos para obter unha eficiencia e resultados óptimos.
• A migración do contido de detección é un proceso dirixido por persoas. Prepárate para reconstruír o contido de detección (regras, alertas, paneis, modelos, etc.) (principalmente) desde cero, utilizando o teu contido antigo como inspiración. Hoxe, non hai un método infalible para converter automaticamente as regras dunha plataforma SIEM a outra. Aínda que algúns provedores ofrecen tradutores de sintaxe, xeralmente resultan nun bo punto de partida en lugar dunha regra, busca ou panel perfectamente traducidos. Deberías sacar o máximo proveitotage destas ferramentas, pero recoñecen que non son unha panacea.
• O contido de detección procede de moitas fontes. Analiza as túas necesidades de cobertura de detección e, a continuación, adopta ou crea os teus casos de uso de detección segundo sexa necesario. O teu provedor de SIEM fornecerá contido listo para usar que sempre deberías aproveitar se podes. Considere tamén os repositorios de regras da comunidade e os provedores de contido de detección de terceiros. Cando sexa necesario, escribe as túas propias regras e recorda que a maioría das regras, independentemente da súa procedencia, deben adaptarse ao contorno específico da túa organización.
• Desenvolver un calendario de migración realista. Isto inclúe a contabilización da transferencia de datos, probas, axustes, adestramento e posibles solapamentos nos que quizais necesite executar os dous sistemas en paralelo. Un plan de migración ben definido axudarache a identificar e mitigar os riscos e garantir que a migración se complete con éxito. O plan debe incluír un calendario detallado, unha lista de tarefas, recursos e un orzamento. Recoñecer que os grandes proxectos como unha migración SIEM deben dividirse en fases.
• Proba. Recomendamos a práctica de probar o teu SIEM e o contido de detección inxectando regularmente datos que activarán as túas deteccións, comprobando a análise e validando o fluxo de datos dende a detección ata o caso ata o manual de respostas. Unha migración SIEM é o momento perfecto para adoptar un rigoroso programa de enxeñaría de detección que inclúe probas como esta.
• Prepárate para un período de transición durante o cal executarás ferramentas antigas e novas. Evite un enfoque perturbador de "arrancar e substituír". Unha migración por fases, na que migra fontes de rexistro e casos de uso, axuda gradualmente a controlar o proceso e reduce o risco. Ademais, pénsao dúas veces antes de volver inxerir os datos do teu antigo SIEM ao novo. Nalgúns casos, pode ter a posibilidade de deixar en funcionamento o SIEM anterior durante períodos prolongados para permitir o acceso aos datos históricos.
• Activa os teus equipos. A túa migración SIEM fallará se os teus analistas non poden usar o novo sistema. Un bo plan de migración incluirá unha activación profunda para os teus equipos. Pense en adestrar enxeñeiros sobre incorporación e análise de datos, adestrar analistas en xestión/investigación/triaxe de casos, cazadores de ameazas sobre detección/busca de anomalías e enxeñeiros de detección sobre redacción de regras. O tempo é fundamental para a habilitación. É mellor formar ao persoal cando se embarcan en fases específicas da migración, en lugar de adestrar antes de que esas habilidades sexan necesarias.
• Obtén axuda! Se tes sorte (ou quizais desafortunado?) como practicante ou líder, quizais teñas pasado por unha ou dúas migracións SIEM na túa carreira. Por que non buscar axuda de especialistas que o fixeron ducias ou centos de veces? Os equipos de servizos profesionais do provedor e/ou os equipos de consultoría de socios de servizos cualificados son unha excelente opción. As migracións SIEM son en gran parte esforzos centrados no ser humano.

Proceso clave: escolla un socio de implantación
Ningunha decisión terá un impacto máis grande no éxito final dunha migración SIEM que a elección dun socio de implantación. As plataformas SIEM son sistemas empresariais complexos e a gran escala. Non intentes ir só; quédase cun socio de implantación que pasou por moitas migracións.

O socio de implantación pode ser simplemente o brazo de servizos profesionais do novo provedor de SIEM. Non obstante, é máis común escoller un socio de terceiros para executar a migración. Lembra que a migración SIEM é un esforzo dirixido por persoas. O mellor é escoller un socio con certificacións no novo SIEM e moitos socios referenciables. Tamén axuda se teñen experiencia no SIEM desde o que estás a migrar. Ademais das referencias, unha forma intelixente de determinar o nivel de experiencia dun socio co teu novo SIEM é consultar os foros da comunidade para ver se o equipo foi un colaborador activo. En opinión dos autores, o persoal de socios altamente comprometido correlaciona coas migracións SIEM exitosas. Ademais dos bits e bytes técnicos da migración SIEM, tamén pode escoller socios que teñan experiencia específica na súa industria vertical, ou no seu contorno de conformidade ou en a túa rexión, ou as tres! Podes buscar habilidades lingüísticas e recursos con antelacióntagos fusos horarios. Tamén pode buscar socios que operen o seu SIEM por vostede ou que ofrezan resultados similares como provedores de servizos de seguridade xestionados que poidan terceirizar parcial ou totalmente o SIEM da súa organización.

Proceso clave: Documentar a configuración actual e os casos de uso
Os despregamentos de SIEM adoitan ser expansivos, crecendo de xeito constante en alcance e complexidade ao longo dos anos de uso. Prepárese para pouca ou ningunha documentación. Espere que o persoal que realizou a configuración inicial e a personalización do SIEM adoita desaparecer. Documentar a fondo a configuración e as capacidades no inicio do proceso de migración pode significar a diferenza entre o éxito e o fracaso.

• Documentar a xestión de identidade e acceso empregada polo SIEM. Seguramente terás que conservar algún acceso aos datos e funcións baseado en funcións. Por outra banda, a migración é unha oportunidade para analizar e abordar a expansión do acceso que se produce de forma natural na maioría das organizacións. Tamén pode considerar o proceso de migración como unha oportunidade para modernizar os métodos de autenticación/autorización, incluíndo a federación da identidade con estándares corporativos e a implementación da autenticación multifactorial.
• Captura os nomes dos tipos de datos que se recollen. Teña en conta que algúns SIEM chaman a estes nomes "sourcetype" ou "logtype". Captura a cantidade de datos de cada tipo de datos que flúe usando gigabytes/día como métrica. Documente a canalización de datos para cada fonte de datos (baseada en axentes, consulta API, web gancho, inxestión de depósito de nube, API de inxestión, escoita HTTP, etc.) e captura a configuración do analizador de SIEM xunto con calquera personalización.
• Reúne buscas gardadas, definicións de panel e regras de detección. Moitos SIEM tamén teñen mecanismos de almacenamento de datos persistentes, como táboas de busca. Asegúrese de comprender e documentar como se enchen e se usan.
• Facer un inventario de integracións con sistemas externos. Moitos SIEM intégranse con sistemas de xestión de casos, bases de datos relacionais, servizos de notificación (correo electrónico, SMS, etc.) e plataformas de intelixencia sobre ameazas.
• Captura contido de resposta, como libros de xogos, modelos de xestión de casos e todas as integracións activas que aínda non estean documentadas.

Ademais de reunir estes detalles técnicos importantes, é fundamental tomarse tempo para intercambiarview usuarios do SIEM existente para comprender os seus fluxos de traballo. Pregunta como usan o SIEM, que procedementos operativos estándar se basean no SIEM. Tamén é importante facer preguntas amplas como que equipos fóra da seguridade poden usar o SIEM. Por example, non é raro que os equipos de cumprimento ou o persoal de operacións de TI confíen no SIEM. A falla de capturar estes casos de uso pode provocar expectativas perdidas máis tarde no proceso de migración.

Proceso clave: migración da fonte de rexistro
A migración da fonte de rexistro implica mover as fontes de datos do SIEM antigo ao novo SIEM. Este proceso depende da documentación da configuración actual recollida no ficheiro Proceso: Documentar a configuración e o uso actual sección.

Os seguintes pasos normalmente están implicados no proceso de migración da fonte de rexistro:

1. Descubrimento e inventario: O primeiro paso é descubrir e inventariar todas as fontes de rexistro que actualmente están a ser inxeridas polo antigo SIEM. Isto pódese facer mediante unha variedade de métodos, como reviewconfigurando o SIEM files ou usando API e ferramentas relacionadas.
2. Priorización: Unha vez que as fontes de rexistro foron descubertas e inventariadas, hai que priorizarlas para a migración. Isto pódese facer en función dunha serie de factores, como as análises dirixidas pola fonte de rexistro, o volume de datos, a criticidade dos datos, os requisitos de cumprimento e a complexidade do proceso de migración.
3. Planificación migratoria: Unha vez que se priorizaron as fontes de rexistro, debe desenvolverse un plan de migración.
4. Execución da migración: O proceso de migración pódese executar segundo o plan. Isto pode implicar unha variedade de tarefas, como configurar fontes no novo SIEM, instalar axentes, configurar API, etc.
5. Proba e validación: Unha vez completada a migración, é importante probar e validar que os datos do rexistro se están a inxerir correctamente. Use isto como unha oportunidade para configurar as alertas para fontes de datos que se quedaron en silencio.
6. Documentación: Finalmente, é importante documentar a nova configuración da fonte de rexistro.

Proceso clave: migrar o contido de detección e resposta
O contido de detección e resposta SIEM consiste en regras, buscas, cadernos de xogos, paneis de control e outras configuracións que definen as alertas de SIEM e como axuda aos analistas a xestionar esas alertas. Sen contido debidamente configurado, o SIEM é só unha forma elegante de buscar. É "grep caro", un termo que acuñou un colega dos autores hai uns anos. O contido SIEM xoga un papel fundamental na definición da cobertura de descubrimento da túa organización.

• As regras de detección úsanse para identificar incidentes de seguridade. Os enxeñeiros de detección que teñen un profundo coñecemento dos actores das ameazas de seguridade e das tácticas, técnicas e procedementos (TTP) comúns a eles escriben. As regras de detección buscan patróns que representen estes TTP nos datos de rexistro. As regras de detección adoitan correlacionar diferentes fontes de rexistro e fan uso de datos de intelixencia de ameazas.
• Os cadernos de xogos de respostas úsanse para automatizar a resposta ás alertas de seguranza. Poden incluír tarefas como enviar notificacións, illar hosts comprometidos, enriquecer alertas con datos contextuais/intelixencia sobre ameazas e executar scripts de corrección.
• Os paneis de control utilízanse para visualizar os datos de seguridade e rastrexar o estado dos incidentes de seguridade. Pódense usar para supervisar a postura xeral de seguridade da organización e para identificar tendencias e patróns.
• O desenvolvemento de novos contidos de detección e resposta é un proceso iterativo. É importante supervisar continuamente o SIEM e facer axustes no contido segundo sexa necesario. A migración SIEM é un excelente momento para mellorar os seus procesos mediante enfoques como a detección como código (DaC).

Proceso clave: formación e habilitación
Un proceso que moitas veces se pasa por alto durante a migración SIEM é a formación dos usuarios. O SIEM é quizais a ferramenta única máis importante que utiliza un equipo de operacións de seguridade. A súa capacidade para usalo de forma eficaz e produtiva terá un papel importante no éxito da migración e a súa capacidade para protexer a súa organización. Confía no teu provedor de SIEM e no teu socio de implantación para ofrecer contido e entrega de formación. Aquí tes unha breve lista de temas sobre os que deberían estar habilitados os teus equipos.

• Rexistra a inxestión e análise de feeds
• Busca/Investigación
• Xestión de casos
• Autoría de regras
• Desenvolvemento do panel de control
• Playbook / Automatización

Conclusión

• Finalmente, a migración dun SIEM legado a unha solución moderna é inevitable. Aínda que os desafíos poden parecer desalentadores, unha migración ben planificada e executada pode levar a melloras significativas na detección de ameazas, nas capacidades de resposta e na postura de seguridade xeral.
• Ao considerar coidadosamente a selección dun novo SIEM, aproveitando os puntos fortes da arquitectura nativa da nube, incorporando intelixencia avanzada sobre ameazas e utilizando funcións dirixidas á intelixencia artificial, as organizacións poden capacitar aos seus equipos de seguridade para defenderse de forma proactiva contra ameazas en constante evolución. O proceso de migración exitoso implica unha planificación meticulosa, documentación completa, fonte de rexistro estratéxica e migración de contido, probas exhaustivas e formación integral dos usuarios.
• Asociarse con especialistas experimentados en implantación pode ser inestimable para navegar polas complexidades e garantir unha transición sen problemas. Cun compromiso coa mellora continua e un foco na enxeñería de detección, as organizacións poden aproveitar o máximo proveito
• potencial do seu novo SIEM e reforzar as súas defensas de seguridade durante os próximos anos.

Lectura adicional

• Documento "Como Google SecOps pode axudar a aumentar a súa pila SIEM".
• "Futuro do SOC: evolución ou optimización: escolle o teu camiño" papel
• Blog da comunidade de seguridade de Google Cloud
• Boletín semanal de Enxeñaría de Detección
• detectar.fyi – Consellos centrados no profesional sobre enxeñería de detección
• Iniciación a detección como código e operacións de seguranza de Google - David French (primeira parte, segunda parte)
• Implementando un fluxo de traballo de enxeñería de detección moderna - Dan Lussier (Primeira parte, segunda parte, terceira parte)

Para máis información visite cloud.google.com

FAQ

P: Cal é o propósito da guía Great SIEM Migration?
R: A guía ten como obxectivo axudar ás organizacións a pasar de solucións SIEM obsoletas a opcións máis novas e eficientes para a detección e resposta de ameazas.

P: Como podo beneficiarme dun SIEM nativo da nube?
R: Os SIEM nativos da nube ofrecen escalabilidade, rendibilidade e seguridade efectiva para as cargas de traballo na nube debido á súa arquitectura e capacidades.

Documentos/Recursos

Google Cloud SIEM Migration [pdfInstrucións SIEM Migración, Migración

Referencias

• Manual de usuario