Migració de Google Cloud SIEM

Informació del producte

Especificacions:

• Nom del producte: Guia de migració SIEM
• Autor: Desconegut
• Publicat Any: No especificat

Instruccions d'ús del producte

• Selecció d'un nou SIEM
  Comenceu fent-vos a vosaltres mateixos i al vostre equip algunes preguntes clau per ajudar a descobrir els punts forts i febles de cada oferta. Identifiqueu ràpidament els superpoders de cada SIEM i planifiqueu com pot avançar la vostra organitzaciótage d'ells.
• SIEM nadiu al núvol
  Penseu en si el SIEM l'ofereix un proveïdor de serveis al núvol (CSP) principal que pot proporcionar una infraestructura a escala mundial a preus a l'engròs. Els models de desplegament SIEM natius del núvol permeten escalabilitat i gestió dinàmica de les càrregues de treball del núvol.
• SIEM amb intel·ligència
  Comproveu si el proveïdor de SIEM ofereix una intel·ligència contínua d'amenaces de primera línia per impulsar la detecció immediata d'amenaces noves i emergents.

SIEM ha mort, visca SIEM

Si sou com nosaltres, potser us sorprendrà que, l'any 2024, els sistemes d'informació de seguretat i gestió d'esdeveniments (SIEM) segueixin sent la columna vertebral de la majoria de centres d'operacions de seguretat (SOC). Els SIEM sempre s'han utilitzat per recopilar i analitzar dades de seguretat de tota la vostra organització per ajudar-vos a identificar, investigar i respondre a les amenaces de manera ràpida i eficaç. Però la realitat és que els SIEM moderns actuals s'assemblen poc als construïts fa més de 15 anys, abans de l'auge de l'arquitectura nativa del núvol, l'anàlisi d'entitats i comportaments d'usuari (UEBA), l'orquestració de seguretat, l'automatització i la resposta (SOAR), la gestió de superfícies d'atac. i, per descomptat, IA, per citar-ne alguns.
Els SIEM heretats solen ser lents, feixucs i difícils d'utilitzar. La seva arquitectura heretada sovint els impedeix escalar per ingerir fonts de registre de gran volum, i és possible que no puguin mantenir-se al dia amb les últimes amenaces o donar suport a les característiques i capacitats més recents. És possible que no ofereixin la flexibilitat per donar suport als requisits específics de la vostra organització o que s'adaptin a l'estratègia multinúvol que és la realitat de la majoria de les organitzacions actuals. Finalment, poden estar mal posicionats per avançartage dels últims desenvolupaments tecnològics, com la intel·ligència artificial (IA).
Així, tot i que un SIEM amb qualsevol altre nom pot semblar igual de dolç, els equips d'operacions de seguretat continuaran confiant
"plataformes d'operacions de seguretat" (o el nom que siguin) en un futur previsible per a la detecció, investigació i resposta d'amenaces.

La Gran Migració SIEM ha començat

La migració SIEM no és nova. Les organitzacions s'han enamorat del seu SIEM existent i han buscat opcions més noves i millors durant anys. Potser amb més freqüència, les organitzacions han suportat el seu SIEM de baix rendiment i/o massa car durant més temps del que haurien volgut, en part a causa de la preocupació per la complexitat d'haver de fer front a la migració de SIEM.
Però els últims mesos han introduït desplaçaments tectònics a l'espai SIEM que no es poden subestimar. No hi ha dubte que el panorama SIEM es transformarà completament d'aquí a uns quants anys, donant naixement a nous líders del mercat i veient el declivi i potser fins i tot la desaparició dels "dinosaures" que han governat la terra SIEM durant dècades (o " eons” en termes de ciberseguretat). Sens dubte, aquests desenvolupaments acceleraran la migració de les plataformes SIEM heretades a les modernes, amb moltes organitzacions que ara s'enfronten a la realitat de quan haurien de migrar en comptes de si haurien de migrar.

Aquí teniu un resum dels moviments principals dels últims 9 mesos:

Identificar les deficiències del vostre SIEM actual és molt més fàcil que seleccionar el millor substitut i executar una migració amb èxit. També és important tenir en compte que els errors de desplegament de SIEM també poden provenir de processos (i de vegades de persones) i no només de tecnologia. Aquí és on entra aquest article. Els autors han vist centenars de migracions SIEM com a professionals, analistes i venedors durant diverses dècades. Per tant, fem un balanç dels principals consells de migració SIEM per al 2024. Dividirem aquesta llista en categories i escampem les lliçons que hem après de les trinxeres.

Selecció d'un nou SIEM

Comenceu fent-vos a vosaltres mateixos i al vostre equip algunes preguntes clau per ajudar a descobrir els punts forts i febles de cada oferta. Recomanem identificar ràpidament els "superpoders" de cada SIEM i planificar com la vostra organització pot avançartage d'ells. Per exampLI:

• SIEM nadiu al núvol
  
  • El SIEM l'ofereix un proveïdor de serveis al núvol (CSP) principal que pot proporcionar infraestructura a escala mundial a preus a l'engròs?
    La nostra experiència demostra que els proveïdors de SIEM que operen en núvols que no són propietaris tenen dificultats per superar l'inevitable "apilament de marges" que inclou aquests models. Aquesta pregunta està inextricablement lligada al cost.
    Un model de desplegament de SIEM natiu del núvol també permet que SIEM augmenti i baixi en resposta a noves amenaces i també gestioni la naturalesa dinàmica de les càrregues de treball al núvol d'una organització. La infraestructura i les aplicacions del núvol poden créixer de manera espectacular en qüestió de minuts. Una arquitectura SIEM nativa del núvol permet que les eines crítiques dels equips de seguretat s'escallin al mateix ritme que les necessitats de l'organització més gran.
    Els SIEM natius del núvol també estan ben posicionats per assegurar les càrregues de treball al núvol. Proporcionen una ingestió de dades de baixa latència dels serveis al núvol i s'envien amb contingut de detecció per ajudar a identificar els atacs habituals al núvol.
• SIEM amb intel·ligència
  • El proveïdor de SIEM té un flux continu d'intel·ligència d'amenaces de primera línia per impulsar la detecció immediata d'amenaces noves i emergents?
    Aquestes fonts daurades solen sorgir de pràctiques de resposta a incidents de primer nivell, l'operació d'ofertes massives de núvol IaaS o SaaS de consum, o bases d'instal·lació global de productes de programari de seguretat o sistemes operatius.
    La intel·ligència d'amenaces és fonamental perquè les organitzacions detectin, triatgen, investiguin i responguin de manera efectiva als incidents de seguretat. La intel·ligència d'amenaces de primera línia, en particular, és valuosa perquè proporciona informació en temps real sobre les últimes amenaces i vulnerabilitats. Aquesta informació es pot utilitzar per identificar i prioritzar ràpidament els incidents de seguretat, i per desenvolupar i implementar estratègies de resposta efectives.
    Per millorar les capacitats de detecció i resposta d'amenaces en temps real, les organitzacions de seguretat busquen una integració perfecta de la intel·ligència d'amenaces i les fonts de dades associades als seus fluxos de treball i eines d'operacions de seguretat. La cadira giratòria, el còpia-enganxa i les integracions fràgils entre SIEM i les fonts d'intel·ligència d'amenaces són drenatges de productivitat i tenen un impacte negatiu en l'eficàcia de l'equip i en l'experiència de l'analista.
• SIEM amb contingut curat
  • El SIEM ofereix una biblioteca extensa d'analitzadors compatibles i regles de detecció i accions de resposta?
    Consell: Alguns venedors de SIEM confien gairebé exclusivament en la seva comunitat d'usuaris o en els seus socis d'aliança tècnica per crear analitzadors per a fonts de dades populars. Tot i que una comunitat d'usuaris pròspera és essencial, la confiança excessiva en ella per proporcionar capacitats fonamentals com ara l'anàlisi és un problema. Els analitzadors per a fonts de dades comunes s'han de crear, mantenir i donar suport directament pel proveïdor de SIEM. Feu el mateix enfocament quan observeu el contingut de les regles de detecció. Les regles de la comunitat són essencials, però hauríeu d'esperar que el vostre proveïdor creï i mantingui una biblioteca sòlida de deteccions bàsiques que es comproven, admeten i milloren regularment. La detecció d'amenaces d'alta qualitat i seleccionada és fonamental perquè les organitzacions gestionen eficaçment la seva postura de seguretat. Google SecOps proporciona una detecció immediata d'amenaces noves i emergents, que pot ajudar les organitzacions a identificar i respondre ràpidament als incidents de seguretat.
• SIEM amb IA
  • El SIEM incorpora IA i està posicionat per seguir innovant?
    El paper de la intel·ligència artificial a SIEM encara no és completament entès (i molt menys implementat) per cap venedor. Tanmateix, els principals SIEM ja disposen de funcions tangibles impulsades per l'IA. Aquestes funcions inclouen el processament del llenguatge natural per expressar cerques i regles, resum automàtic de casos i accions de resposta recomanades. La majoria dels clients i observadors de la indústria consideren que funcions com la detecció d'amenaces i l'anàlisi predictiva d'adversaris són alguns dels "sants grials" de les capacitats SIEM impulsades per IA. Cap SIEM ofereix aquestes funcions de manera fiable avui dia. Quan trieu un nou SIEM el 2024, tingueu en compte si el venedor està invertint els recursos necessaris per fer un progrés significatiu en aquestes capacitats de transformació.

Google Security Operations (anteriorment Chronicle) és una solució SIEM basada en núvol que ofereix Google Cloud. Està dissenyat per ajudar les organitzacions a recopilar registres i altres dades de telemetria de seguretat de manera centralitzada i, a continuació, detectar, investigar i respondre a les amenaces de seguretat en temps real. 

• Detectar i prioritzar les amenaces de seguretat: Les regles de detecció prèvies de Google SecOps identifiquen i prioritzen les amenaces de seguretat en temps real. Això ajuda les organitzacions a respondre de manera ràpida i eficaç a les amenaces més crítiques.
• Investigar incidents de seguretat: Google SecOps ofereix una plataforma centralitzada per investigar incidents de seguretat. Això ajuda les organitzacions a reunir proves de manera ràpida i eficient i determinar l'abast de l'incident.
• Resposta als incidents de seguretat: Google SecOps ofereix una varietat d'eines per ajudar les organitzacions a respondre als incidents de seguretat, com ara la correcció automatitzada. Els caçadors d'amenaces troben que la velocitat de la plataforma, les capacitats de cerca i la intel·ligència d'amenaces aplicades són inestimables per localitzar els atacants que poden haver-se escapat per les esquerdes. Això ajuda les organitzacions a contenir i mitigar de manera ràpida i eficaç l'impacte dels incidents de seguretat.
  Google SecOps té una sèrie d'avantatgestagsobre les solucions SIEM tradicionals, que inclouen:
• Intel·ligència artificial: Google SecOps utilitza la tecnologia d'IA Gemini de Google per permetre als defensors cercar grans quantitats de dades en segons amb llenguatge natural i prendre decisions més ràpides responent preguntes, resumint esdeveniments, buscant amenaces, creant regles i oferint accions recomanades basades en el context de les investigacions. Els equips de seguretat també poden utilitzar Gemini a les operacions de seguretat per crear fàcilment llibres de jocs de respostes, personalitzar configuracions i incorporar bones pràctiques, ajudant a simplificar les tasques que requereixen temps que requereixen una gran experiència.
• Intel·ligència d'amenaça aplicada: Google SecOps s'integra de manera nativa amb Google Threat Intelligence (GTI), que inclou intel·ligència combinada de VirusTotal, Mandiant Threat Intelligence i fonts internes d'intel·ligència de Google Threat, per ajudar els clients a detectar més amenaces amb menys esforç.
• Escalabilitat: Google SecOps és una solució basada en núvol, de manera que pot aprofitar la infraestructura de núvol d'hiperescala proporcionada pel núvol de Google per satisfer les necessitats de capacitat i rendiment de qualsevol organització, independentment de la mida.
• Integració amb Google Cloud: Google SecOps està estretament integrat amb altres productes i serveis de Google Cloud, com ara Google Cloud Security Command Center Enterprise (SCCE). Aquesta integració facilita que les organitzacions gestionen les seves operacions de seguretat en una plataforma única i unificada. Google SecOps és el millor SIEM per a la telemetria del servei GCP i també inclou contingut de detecció precoç per a altres proveïdors de núvol importants com AWS i Azure.

Intel·ligència d'amenaça aplicada a Google SecOps
Google SecOps permet als equips de seguretat gestionar i analitzar les dades de seguretat que es correlacionen i s'enriqueixen automàticament amb les dades de les amenaces. En integrar la intel·ligència d'amenaces directament al vostre SIEM, les organitzacions poden:

• Millorar la detecció i el triatge: Les dades d'amenaces es poden utilitzar directament per crear regles que poden ajudar a identificar activitats malicioses en temps real. Aquestes dades també s'utilitzen per afegir context a altres alertes i ajustar automàticament la confiança en l'alerta. Això ajuda les organitzacions a detectar i classificar ràpidament els incidents de seguretat i a centrar els seus recursos en les amenaces més crítiques.
• Millorar la investigació i la resposta: La intel·ligència d'amenaces es pot utilitzar per proporcionar context i informació durant les investigacions de seguretat. Això pot ajudar els analistes a identificar ràpidament la causa principal d'un incident i a desenvolupar i implementar estratègies de resposta efectives.
• Estigueu al davant del panorama de les amenaces: La intel·ligència d'amenaces pot ajudar les organitzacions a mantenir-se per davant del panorama d'amenaces proporcionant informació sobre les últimes amenaces i vulnerabilitats. Aquesta informació es pot utilitzar per desenvolupar i implementar mesures de seguretat proactives, com ara la recerca d'amenaces i la formació en consciència de seguretat.

Detecció d'amenaces a Google SecOps
La detecció d'amenaces de Google SecOps es basa en un flux continu d'intel·ligència d'amenaces de primera línia dels equips de seguretat de Google. Aquesta intel·ligència s'utilitza per crear regles i alertes que poden identificar activitats malicioses en temps real. Google SecOps també utilitza anàlisis de comportament i puntuació de risc per identificar patrons sospitosos a les dades de seguretat. Això permet que Google SecOps detecti amenaces que les regles de detecció tradicionals no poden detectar.

El valor de la detecció d'amenaces d'alta qualitat i curada és clar. Les organitzacions que utilitzen Google SecOps es poden beneficiar de:

• Detecció i triatge millorats: Google SecOps pot ajudar les organitzacions a identificar i classificar ràpidament els incidents de seguretat. Això permet a les organitzacions centrar els seus recursos en les amenaces més crítiques.
• Investigació i resposta millorades: Google SecOps pot proporcionar context i informació durant les investigacions de seguretat. Això pot ajudar els analistes a identificar ràpidament la causa principal d'un incident i a desenvolupar i implementar estratègies de resposta efectives.
• Mantenir-se al capdavant del panorama d'amenaces: Google SecOps pot ajudar les organitzacions a mantenir-se per davant del panorama d'amenaces proporcionant informació sobre les últimes amenaces i vulnerabilitats. Aquesta informació es pot utilitzar per desenvolupar i implementar mesures de seguretat proactives, com ara la recerca d'amenaces i la formació en consciència de seguretat.

Migració SIEM

Així que has decidit fer el pas. El vostre enfocament de la migració és fonamental per garantir que mantingueu les capacitats necessàries i comenceu a extreure valor de la nova plataforma tan aviat com sigui possible. Es redueix a la priorització. Una compensació típica és reconèixer que, si bé una migració SIEM representa una oportunitat per modernitzar tot el vostre enfocament d'investigació, detecció i resposta, moltes migracions SIEM fracassen perquè les organitzacions intenten "bullir l'oceà".

Així doncs, aquí teniu els nostres millors consells per planificar i executar la vostra migració SIEM amb èxit:

• Definiu els vostres objectius de migració. Això sembla obvi, però la vostra migració SIEM és un procés llarg, de manera que definir els resultats desitjats (p. ex., detecció d'amenaces més ràpida, informes de compliment més fàcils, visibilitat millorada, reducció de la feina dels analistes i, alhora, reduir costos) està fortament correlacionat amb l'èxit.
• Utilitzeu la migració com una oportunitat per netejar la casa. Aquest és un bon moment per netejar les vostres regles de detecció i fonts de registre i migra només els que utilitzeu realment. També és un bon moment per tornar-hiview els vostres processos de sintonització i triatge d'alerta i assegureu-vos que estiguin actualitzats.
• No migreu totes les fonts de registre. Passar a un nou SIEM és una gran oportunitat per decidir quins registres necessiteu, ja sigui per motius de compliment o de seguretat. Moltes organitzacions acumulen una gran quantitat de dades de registre al llarg del temps, i no totes són necessàriament valuoses o rellevants. Si preneu-vos el temps per avaluar les vostres fonts de registre abans de migrar-les, podeu racionalitzar el vostre SIEM i centrar-vos en les dades més importants per a les vostres necessitats de seguretat i compliment.
• No migreu tot el contingut. No sempre és necessari migrar tot el contingut de detecció, regles, alertes, taulers, visualitzacions i llibres de joc existents a un nou SIEM. Preneu-vos el temps per avaluar la vostra cobertura de detecció actual i prioritzeu la migració de les regles que necessiteu. Trobareu oportunitats per consolidar regles, per eliminar regles que mai no es podrien activar per manca de telemetria o lògica defectuosa, o regles que es gestionen millor amb el contingut de la caixa. Pregunta a qualsevol proveïdor o soci de desplegament que defensi la migració de regles un a un.
• Prioritzeu la migració primerenca de contingut. Inicieu la migració del contingut de detecció immediatament quan estiguin disponibles les fonts de registre i els enriquiments necessaris per a cada cas d'ús específic. Aquest enfocament basat en dades, que alinea les fonts amb els casos d'ús, permet esforços de migració paral·lels per obtenir una eficiència i resultats òptims.
• La migració del contingut de detecció és un procés dirigit per humans. Prepareu-vos per reconstruir el contingut de detecció (regles, alertes, taulers de comandament, models, etc.) (principalment) des de zero, utilitzant el vostre contingut antic com a inspiració. Avui dia, no hi ha cap mètode infal·lible per convertir automàticament les regles d'una plataforma SIEM a una altra. Tot i que alguns venedors ofereixen traductors de sintaxi, generalment resulten en un bon punt de partida en lloc d'una regla, cerca o tauler de control perfectament traduïts. S'ha d'aprofitar al màximtagd'aquestes eines, però reconeix que no són una panacea.
• El contingut de detecció prové de moltes fonts. Analitzeu les vostres necessitats de cobertura de detecció i, a continuació, adopteu o creeu els vostres casos d'ús de detecció segons sigui necessari. El vostre proveïdor de SIEM us proporcionarà contingut de la caixa que sempre hauríeu d'aprofitar si podeu. Tingueu en compte també els repositoris de regles de la comunitat i els proveïdors de contingut de detecció de tercers. Quan sigui necessari, escriviu les vostres pròpies regles i recordeu que la majoria de les regles, independentment de la seva procedència, s'han d'ajustar a l'entorn específic de la vostra organització.
• Desenvolupar un calendari de migració realista. Això inclou la comptabilització de la transferència de dades, les proves, l'ajustament, la formació i les possibles superposicions on és possible que hàgiu d'executar els dos sistemes en paral·lel. Un pla de migració ben definit us ajudarà a identificar i mitigar els riscos i garantir que la migració es completi correctament. El pla ha d'incloure un calendari detallat, una llista de tasques, recursos i un pressupost. Reconèixer que projectes importants com una migració SIEM s'han de dividir en fases.
• Prova. Us recomanem la pràctica de provar el vostre SIEM i el vostre contingut de detecció injectant regularment dades que desencadenaran les vostres deteccions, comprovant l'anàlisi i validant el flux de dades des de la detecció fins al cas fins al llibre de jocs de resposta. Una migració SIEM és el moment perfecte per adoptar un rigorós programa d'enginyeria de detecció que inclou proves com aquesta.
• Prepareu-vos per a un període de transició durant el qual utilitzareu eines antigues i noves. Eviteu un enfocament disruptiu de "arransar i substituir". Una migració gradual, on migreu les fonts de registre i els casos d'ús gradualment ajuda a controlar el procés i redueix el risc. A més, penseu-vos dues vegades abans de tornar a ingerir dades del vostre antic SIEM al nou. En alguns casos, és possible que tingueu la possibilitat de deixar en funcionament el SIEM anterior durant períodes prolongats per permetre l'accés a les dades històriques.
• Activa els teus equips. La vostra migració SIEM fallarà si els vostres analistes no poden utilitzar el nou sistema. Un bon pla de migració inclourà una activació profunda per als vostres equips. Penseu en la formació d'enginyers sobre incorporació i anàlisi de dades, formació d'analistes en gestió/investigació/triatge de casos, caçadors d'amenaces en detecció/cerca d'anomalies i enginyers de detecció sobre escriptura de regles. El temps és fonamental per a l'habilitació. El millor és formar el personal a mesura que s'embarquen en fases específiques de la migració, en lloc de formar-se abans que es requereixin aquestes habilitats.
• Aconseguir ajuda! Si teniu sort (o potser desafortunat?) com a practicant o líder, potser haureu passat per una o dues migracions SIEM al llarg de la vostra carrera. Per què no demaneu ajuda a especialistes que ho han fet desenes o centenars de vegades? Els equips de serveis professionals del venedor i/o els equips de consultoria de socis de serveis qualificats són una bona opció. Les migracions SIEM són en gran part esforços centrats en l'ésser humà.

Procés clau: trieu un soci de desplegament
Cap decisió tindrà un impacte més gran en l'èxit final d'una migració SIEM que l'elecció d'un soci de desplegament. Les plataformes SIEM són sistemes empresarials complexos i a gran escala. No intenteu anar-ho sol; mantenir-se amb un soci de desplegament que ha passat per moltes migracions.

El soci de desplegament podria ser simplement el braç de serveis professionals del nou proveïdor de SIEM. Tanmateix, és més habitual triar un soci de tercers per executar la migració. Recordeu que la migració SIEM és un esforç dirigit per humans. El millor és triar un soci amb certificacions al nou SIEM i molts socis referenciables. També ajuda si tenen experiència en el SIEM des del qual esteu migrant. Més enllà de les referències, una manera intel·ligent de determinar el nivell d'experiència d'un soci amb el vostre nou SIEM és consultar els fòrums de la comunitat per veure si l'equip ha estat un col·laborador actiu. Segons l'opinió dels autors, el personal de socis altament compromès es correlaciona amb migracions SIEM reeixides. Més enllà dels bits i bytes tècnics de la migració SIEM, també podeu triar socis que tinguin experiència específica en el vostre sector, o en el vostre entorn de compliment, o en la teva regió, o les tres! Podeu buscar coneixements i recursos lingüístics amb antelaciótagbones zones horàries. També podeu cercar socis que gestionin el vostre SIEM per vosaltres o que ofereixin resultats similars com a proveïdor de serveis de seguretat gestionat que pugui subcontractar parcialment o totalment el SIEM de la vostra organització.

Procés clau: documentar la configuració actual i els casos d'ús
Els desplegaments de SIEM solen ser expansius i creixen de manera constant en abast i complexitat al llarg dels anys d'ús. Prepareu-vos per a poca o cap documentació. Espereu que el personal que va realitzar la configuració inicial i la personalització del SIEM sovint ha desaparegut. Documentar a fons la configuració i les capacitats al principi del procés de migració pot significar la diferència entre l'èxit i el fracàs.

• Documentar la gestió d'identitats i accessos utilitzada pel SIEM. Sens dubte, haureu de conservar una mica d'accés basat en rols a les dades i funcions. D'altra banda, la migració és una oportunitat per analitzar i abordar l'expansió d'accés que es produeix de manera natural a la majoria de les organitzacions. També podeu considerar el procés de migració com una oportunitat per modernitzar els mètodes d'autenticació/autorització, inclosa la federació de la identitat amb estàndards corporatius i la implementació de l'autenticació multifactorial.
• Captura els noms dels tipus de dades que es recullen. Tingueu en compte que alguns SIEM anomenen aquests noms "sourcetype" o "logtype". Captureu quantes dades de cada tipus de dades flueixen utilitzant gigabytes/dia com a mètrica. Documenteu el canal de dades per a cada font de dades (basada en agents, consulta API, web ganxo, ingestió de cubs de núvol, API d'ingestió, oient HTTP, etc.) i captureu la configuració de l'analitzador de SIEM juntament amb qualsevol personalització.
• Reuneix cerques desades, definicions del tauler de control i regles de detecció. Molts SIEM també tenen mecanismes d'emmagatzematge de dades persistents, com ara taules de cerca. Assegureu-vos d'entendre i documentar com s'emplenen i s'utilitzen.
• Fer un inventari de les integracions amb sistemes externs. Molts SIEM s'integren amb sistemes de gestió de casos, bases de dades relacionals, serveis de notificació (correu electrònic, SMS, etc.) i plataformes d'intel·ligència d'amenaces.
• Captureu contingut de resposta, com ara llibres de jugades, plantilles de gestió de casos i qualsevol integració activa que encara no s'hagi documentat.

Més enllà de reunir aquests detalls tècnics importants, és fonamental prendre temps per interaccionarview usuaris del SIEM existent per entendre els seus fluxos de treball. Pregunteu com utilitzen el SIEM, quins procediments operatius estàndard depenen del SIEM. També és important fer preguntes àmplies, com ara quins equips fora de la seguretat poden utilitzar el SIEM. Per exampno és estrany que els equips de compliment o el personal d'operacions de TI confiïn en el SIEM. Si no es poden capturar aquests casos d'ús, es poden perdre expectatives més endavant en el procés de migració.

Procés clau: migració de fonts de registre
La migració de fonts de registre implica moure les fonts de dades del SIEM antic al SIEM nou. Aquest procés depèn de la documentació de la configuració actual recollida al fitxer Procés: documentar la configuració i l'ús actuals secció.

Els passos següents solen implicar-se en el procés de migració de la font de registre:

1. Descobriment i inventari: El primer pas és descobrir i inventariar totes les fonts de registre que actualment s'estan ingerint l'antic SIEM. Això es pot fer mitjançant una varietat de mètodes, com ara reviewamb la configuració del SIEM files o utilitzant API i eines relacionades.
2. Priorització: Un cop descobertes i inventariades les fonts de registre, cal prioritzar-les per a la migració. Això es pot fer en funció de diversos factors, com ara l'anàlisi impulsada per la font de registre, el volum de dades, la criticitat de les dades, els requisits de compliment i la complexitat del procés de migració.
3. Planificació de la migració: Un cop s'han prioritzat les fonts de registre, s'ha de desenvolupar un pla de migració.
4. Execució de la migració: El procés de migració es pot executar segons el pla. Això pot implicar una varietat de tasques, com ara configurar fonts al nou SIEM, instal·lar agents, configurar API, etc.
5. Prova i validació: Un cop finalitzada la migració, és important provar i validar que les dades de registre s'ingereixen correctament. Utilitzeu-ho com una oportunitat per configurar l'alerta per a fonts de dades que s'han quedat en silenci.
6. Documentació: Finalment, és important documentar la nova configuració de la font de registre.

Procés clau: migrar contingut de detecció i resposta
El contingut de detecció i resposta SIEM consisteix en regles, cerques, llibres de jugades, taulers de control i altres configuracions que defineixen en què alerten les vostres alertes SIEM i com ajuda els analistes a gestionar aquestes alertes. Sense contingut configurat correctament, el SIEM és només una manera fantàstica de cercar. És un "grep car": un terme que un col·lega dels autors va encunyar fa uns quants anys. El contingut SIEM té un paper clau a l'hora de definir la cobertura de descobriment de la vostra organització.

• Les regles de detecció s'utilitzen per identificar incidents de seguretat. Els enginyers de detecció que tenen un coneixement profund dels actors de les amenaces de seguretat i de les tàctiques, tècniques i procediments (TTP) comuns a ells els escriuen. Les regles de detecció cerquen patrons que representen aquests TTP a les dades de registre. Les regles de detecció sovint correlacionen diferents fonts de registre i fan ús de dades d'intel·ligència d'amenaces.
• Els llibres de joc de respostes s'utilitzen per automatitzar la resposta a les alertes de seguretat. Poden incloure tasques com ara enviar notificacions, aïllar amfitrions compromeses, enriquir alertes amb dades contextuals/intel·ligència d'amenaces i executar scripts de correcció.
• Els taulers de control s'utilitzen per visualitzar les dades de seguretat i fer un seguiment de l'estat dels incidents de seguretat. Es poden utilitzar per controlar la postura general de seguretat de l'organització i per identificar tendències i patrons.
• El desenvolupament de nous continguts de detecció i resposta és un procés iteratiu. És important controlar contínuament el SIEM i fer ajustaments al contingut segons sigui necessari. La migració SIEM és un moment excel·lent per millorar els vostres processos mitjançant enfocaments com la detecció com a codi (DaC).

Procés clau: formació i habilitació
Un procés que sovint es passa per alt durant la migració SIEM és la formació dels usuaris. El SIEM és potser l'eina única més important que utilitza un equip d'operacions de seguretat. La seva capacitat per utilitzar-lo de manera eficaç i productiva jugarà un paper important en l'èxit de la migració i la seva capacitat per protegir la vostra organització. Confieu en el vostre proveïdor de SIEM i soci de desplegament per oferir contingut i lliurament de formació. Aquí teniu una breu llista de temes sobre els quals haurien d'activar els vostres equips.

• Registra la ingestió i l'anàlisi de feeds
• Recerca/Investigació
• Gestió de casos
• Elaboració de regles
• Desenvolupament del quadre de comandament
• Llibre de jugades / Automatització

Conclusió

• Finalment, la migració d'un SIEM heretat a una solució moderna és inevitable. Tot i que els reptes poden semblar desalentadors, una migració ben planificada i executada pot comportar millores significatives en la detecció d'amenaces, les capacitats de resposta i la postura general de seguretat.
• Considerant acuradament la selecció d'un nou SIEM, aprofitant els punts forts de l'arquitectura nativa del núvol, incorporant intel·ligència d'amenaces avançada i utilitzant funcions impulsades per IA, les organitzacions poden capacitar els seus equips de seguretat per defensar-se de manera proactiva contra amenaces en constant evolució. L'èxit del procés de migració implica una planificació meticulosa, una documentació completa, una migració estratègica de fonts de registre i contingut, proves exhaustives i una formació integral dels usuaris.
• L'associació amb especialistes experimentats en desplegament pot ser inestimable per navegar per les complexitats i garantir una transició fluida. Amb un compromís amb la millora contínua i un enfocament en l'enginyeria de detecció, les organitzacions poden aprofitar-ho al màxim
• potencial del seu nou SIEM i reforçar les seves defenses de seguretat durant els propers anys.

Lectura addicional

• Document "Com Google SecOps pot ajudar a augmentar la vostra pila SIEM".
• "Futur del SOC: evolució o optimització: trieu el vostre camí" paper
• Bloc de la comunitat de Google Cloud Security
• Butlletí Setmanal d'Enginyeria de Detecció
• detect.fyi – Consells centrats en el professional en enginyeria de detecció
• Introducció a les operacions de detecció com a codi i de seguretat de Google - David French (Primera part, segona part)
• Implementació d'un flux de treball modern d'enginyeria de detecció - Dan Lussier (Primera part, segona part, tercera part)

Per a més informació visiteu cloud.google.com

Preguntes freqüents

P: Quin és l'objectiu de la guia Great SIEM Migration?
R: La guia pretén ajudar les organitzacions a passar de solucions SIEM obsoletes a opcions més noves i eficients per a la detecció i resposta d'amenaces.

P: Com puc beneficiar-me d'un SIEM natiu del núvol?
R: Els SIEM natius del núvol proporcionen escalabilitat, rendibilitat i seguretat eficaç per a les càrregues de treball del núvol a causa de la seva arquitectura i capacitats.

Documents/Recursos

Migració de Google Cloud SIEM [pdfInstruccions SIEM Migració, Migració

Referències

• Manual d'usuari