Google Cloud SIEM Migration

Impormasyon ng Produkto

Mga pagtutukoy:

• Pangalan ng Produkto: Gabay sa Paglilipat ng SIEM
• May-akda: Hindi kilala
• Nai-publish taon: Hindi tinukoy

Mga Tagubilin sa Paggamit ng Produkto

• Pagpili ng Bagong SIEM
  Magsimula sa pamamagitan ng pagtatanong sa iyong sarili at sa iyong koponan ng ilang mahahalagang tanong upang makatulong na matuklasan ang mga kalakasan at kahinaan ng bawat alok. Mabilis na tukuyin ang bawat superpower ng SIEM at planuhin kung paano makukuha ng iyong organisasyon ang advantage sa kanila.
• Cloud-native na SIEM
  Isaalang-alang kung ang SIEM ay inaalok ng isang pangunahing cloud service provider (CSP) na makakapagbigay ng world-scale na imprastraktura sa mga pakyawan na presyo. Nagbibigay-daan ang mga modelo ng deployment ng Cloud-native na SIEM para sa scalability at dynamic na pamamahala ng mga cloud workload.
• SIEM na may Intelligence
  Suriin kung nag-aalok ang vendor ng SIEM ng tuluy-tuloy na frontline threat intelligence upang himukin ang out-of-the-box na pagtuklas ng mga bago at umuusbong na pagbabanta.

Patay na ang SIEM, mabuhay ang SIEM

Kung ikaw ay tulad namin, maaari kang magulat na, sa 2024, ang mga sistema ng impormasyon sa seguridad at pamamahala ng kaganapan (SIEM) ay ang backbone pa rin ng karamihan sa mga sentro ng pagpapatakbo ng seguridad (SOC). Ang mga SIEM ay palaging ginagamit para sa pagkolekta at pagsusuri ng data ng seguridad mula sa iyong organisasyon upang matulungan kang matukoy, mag-imbestiga, at tumugon sa mga banta nang mabilis at epektibo. Ngunit ang katotohanan ay ang mga modernong SIEM ngayon ay may maliit na pagkakahawig sa mga itinayo 15+ taon na ang nakakaraan, bago ang pag-usbong ng cloud-native architecture, user entity and behavior analysis (UEBA), security orchestration, automation and response (SOAR), attack surface management at siyempre AI, upang pangalanan ang ilan.
Ang mga legacy na SIEM ay kadalasang mabagal, mahirap, at mahirap gamitin. Ang kanilang legacy na arkitektura ay madalas na pumipigil sa kanila mula sa pag-scale upang mag-ingest ng mataas na volume na mga pinagmumulan ng log, at maaaring hindi nila magawang makipagsabayan sa mga pinakabagong banta o suportahan ang mga pinakabagong feature at kakayahan. Maaaring hindi sila nag-aalok ng kakayahang umangkop upang suportahan ang mga partikular na kinakailangan ng iyong organisasyon o maging angkop sa multi-cloud na diskarte na siyang katotohanan para sa karamihan ng mga organisasyon ngayon. Sa wakas, maaaring sila ay hindi maganda ang posisyon upang kumuha ng advantage ng mga pinakabagong teknolohikal na pag-unlad, tulad ng artificial intelligence (AI).
Kaya't habang ang isang SIEM sa pamamagitan ng anumang iba pang pangalan ay maaaring kasing ganda ng tunog, ang mga pangkat ng pagpapatakbo ng seguridad ay patuloy na umaasa sa
"mga platform ng pagpapatakbo ng seguridad" (o anumang pangalang ipapangalan nila) sa nakikinita na hinaharap para sa pagtuklas ng banta, pagsisiyasat at pagtugon.

Nagsimula na ang Great SIEM Migration

Ang paglipat ng SIEM ay hindi bago. Nawalan ng pag-ibig ang mga organisasyon sa kanilang kasalukuyang SIEM at humanap ng mas bago at mas mahusay na mga opsyon sa loob ng maraming taon. Marahil mas madalas, tiniis ng mga organisasyon ang kanilang hindi mahusay na pagganap at/o sobrang mahal na SIEM nang mas matagal kaysa sa gusto nila, sa bahagi dahil sa mga alalahanin sa pagiging kumplikado ng pagharap sa paglilipat ng SIEM.
Ngunit kamakailang mga buwan ay nagpakilala ng mga tectonic na pagbabago sa espasyo ng SIEM na hindi masasabing kulang. Walang alinlangan na ang landscape ng SIEM ay ganap na magbabago sa loob ng ilang maikling taon mula ngayon — magsilang ng mga bagong pinuno ng merkado at makita ang pagbaba at marahil ay ang pagkamatay ng mga "dinosaur" na namuno sa SIEM-land sa loob ng mga dekada (o " eons” sa mga tuntunin ng cybersecurity). Ang mga pag-unlad na ito ay walang alinlangan na magpapabilis ng paglipat mula sa mga legacy na SIEM platform patungo sa mga moderno, kung saan maraming organisasyon ang nahaharap ngayon sa realidad kung kailan sila dapat lumipat sa halip na kung dapat silang lumipat.

Narito ang isang buod ng mga pangunahing hakbang sa nakalipas na 9 na buwan lamang:

Ang pagtukoy sa mga pagkukulang sa iyong kasalukuyang SIEM ay mas madali kaysa sa pagpili ng pinakamahusay na kapalit at pagsasagawa ng matagumpay na paglipat. Mahalaga ring tandaan na ang mga pagkabigo sa pag-deploy ng SIEM ay maaari ding magmumula sa mga proseso (at paminsan-minsan sa mga tao), at hindi lamang sa teknolohiya. Doon papasok ang papel na ito. Nakita ng mga may-akda ang daan-daang paglilipat ng SIEM bilang mga practitioner, analyst, at vendor sa loob ng maraming dekada. Kaya, tingnan natin ang mga nangungunang tip sa paglilipat ng SIEM para sa 2024. Hahatiin natin ang listahang ito sa mga kategorya at iwiwisik ang mga aral na natutunan natin mula sa mga trenches.

Pagpili ng Bagong SIEM

Magsimula sa pamamagitan ng pagtatanong sa iyong sarili at sa iyong koponan ng ilang mahahalagang tanong upang makatulong na matuklasan ang mga kalakasan at kahinaan ng bawat alok. Inirerekumenda namin ang mabilis na pagtukoy sa bawat "superpower" ng SIEM at pagpaplano kung paano makukuha ng iyong organisasyon ang advantage sa kanila. Para kay example:

• Cloud-native na SIEM
  
  • Ang SIEM ba ay inaalok ng isang pangunahing cloud service provider (CSP) na makakapagbigay ng world-scale na imprastraktura sa mga pakyawan na presyo?
    Ipinapakita ng aming karanasan na ang mga tagabigay ng SIEM na nagpapatakbo sa mga ulap na hindi nila pag-aari ay nahihirapang malampasan ang hindi maiiwasang “margin stacking” na kasama ng mga naturang modelo. Ang tanong na ito ay hindi mapaghihiwalay na nauugnay sa gastos.
    Ang isang cloud-native na modelo ng pag-deploy ng SIEM ay nagbibigay-daan din sa SIEM na palakihin at pababa bilang tugon sa mga bagong banta at pamahalaan din ang dynamic na katangian ng mga cloud workload ng isang organisasyon. Ang imprastraktura at mga application ng cloud ay maaaring lumago nang malaki sa ilang minuto. Ang isang cloud-native na arkitektura ng SIEM ay nagbibigay-daan sa kritikal na tooling ng mga security team na mag-scale sa parehong rate kasama ang mga pangangailangan ng mas malaking organisasyon.
    Ang mga cloud-native na SIEM ay mahusay din ang posisyon upang ma-secure ang mga cloud workload. Nagbibigay ang mga ito ng low-latency na pag-ingest ng data mula sa mga serbisyo ng cloud at nagpapadala ng content ng pag-detect upang makatulong na matukoy ang mga pag-atake na karaniwan sa cloud.
• SIEM na may Intelligence
  • Ang vendor ba ng SIEM ay may tuluy-tuloy na stream ng frontline threat intelligence upang himukin ang out-of-the-box na pagtuklas ng mga bago at umuusbong na mga banta?
    Ang mga ginintuang mapagkukunang ito ay karaniwang nagmumula sa mga nangungunang kasanayan sa pagtugon sa insidente, ang pagpapatakbo ng napakalaking consumer na IaaS o SaaS cloud na mga handog, o mga pandaigdigang base ng pag-install ng mga produkto ng software ng seguridad o mga operating system.
    Mahalaga ang threat intelligence para sa mga organisasyon upang epektibong matukoy, masuri, mag-imbestiga, at tumugon sa mga insidente sa seguridad. Ang frontline threat intelligence, sa partikular, ay mahalaga dahil nagbibigay ito ng real-time na impormasyon tungkol sa mga pinakabagong banta at kahinaan. Maaaring gamitin ang impormasyong ito upang mabilis na matukoy at bigyang-priyoridad ang mga insidente sa seguridad, at upang bumuo at magpatupad ng mga epektibong diskarte sa pagtugon.
    Para mapahusay ang real-time na mga kakayahan sa pagtuklas ng pagbabanta at pagtugon, ang mga organisasyong panseguridad ay naghahangad ng tuluy-tuloy na pagsasama ng threat intelligence at nauugnay na mga feed ng data sa kanilang mga daloy ng trabaho at tool sa pagpapatakbo ng seguridad. Ang swivel chair, copy-paste, at brittle integrations sa pagitan ng SIEM at threat intel sources ay productivity drains at mayroon silang negatibong epekto sa efficacy ng team at sa analyst experience.
• SIEM na may Na-curate na Nilalaman
  • Nag-aalok ba ang SIEM ng malawak na library ng mga sinusuportahang parser at mga panuntunan sa pag-detect, at mga aksyong pagtugon?
    Tip: Ang ilang mga vendor ng SIEM ay halos eksklusibong umaasa sa kanilang komunidad ng gumagamit o mga kasosyo sa teknikal na alyansa upang lumikha ng mga parser para sa mga sikat na feed ng data. Bagama't mahalaga ang isang umuunlad na komunidad ng gumagamit, isang problema ang labis na pagtitiwala dito upang magbigay ng mga pangunahing kakayahan tulad ng pag-parse. Ang mga parser para sa mga karaniwang pinagmumulan ng data ay dapat gawin, panatilihin, at suportahan nang direkta ng vendor ng SIEM. Gawin ang parehong diskarte kapag tumitingin sa nilalaman ng panuntunan sa pagtuklas. Mahalaga ang mga panuntunan ng komunidad, ngunit dapat mong asahan ang iyong vendor na gagawa at magpanatili ng isang solidong library ng mga pangunahing detection na regular na sinusubok, sinusuportahan, at pinapahusay. Ang mataas na kalidad, na-curate na pagtuklas ng pagbabanta ay mahalaga para sa mga organisasyon upang epektibong pamahalaan ang kanilang postura sa seguridad. Nagbibigay ang Google SecOps ng out-of-the-box na pagtuklas ng mga bago at umuusbong na banta, na makakatulong sa mga organisasyon na mabilis na matukoy at tumugon sa mga insidente sa seguridad.
• SIEM na may AI
  • Isinasama ba ng SIEM ang AI, at nakaposisyon ba ito upang magpatuloy sa pagbabago?
    Ang papel na ginagampanan ng artificial intelligence sa SIEM ay hindi pa rin lubos na nauunawaan (halos hindi gaanong ipinapatupad) ng sinumang vendor. Gayunpaman, ang mga nangungunang SIEM ay mayroon nang nakikitang AI-driven na feature na ipinapadala ngayon. Kasama sa mga feature na ito ang natural na pagpoproseso ng wika para sa pagpapahayag ng mga paghahanap at panuntunan, automated na pagbubuod ng kaso, at mga inirerekomendang pagkilos sa pagtugon. Itinuturing ng karamihan sa mga customer at tagamasid sa industriya ang mga feature tulad ng pagtukoy ng pagbabanta at predictive adversary analysis bilang ilan sa mga "holy grails" ng AI-driven na mga kakayahan ng SIEM. Walang SIEM na mapagkakatiwalaang nag-aalok ng mga tampok na ito ngayon. Habang pumipili ka ng bagong SIEM sa 2024, isaalang-alang kung namumuhunan ang vendor ng mga mapagkukunang kinakailangan upang makagawa ng makabuluhang pag-unlad sa mga kakayahan sa pagbabagong ito.

Ang Google Security Operations (dating Chronicle) ay isang cloud-based na solusyon sa SIEM na inaalok ng Google Cloud. Dinisenyo ito upang tulungan ang mga organisasyon na mangolekta ng mga log at iba pang telemetry ng seguridad, pagkatapos ay tuklasin, imbestigahan at tumugon sa mga banta sa seguridad nang real time. 

• Alamin at unahin ang mga banta sa seguridad: Tinutukoy at binibigyang-priyoridad ng mga panuntunan ng Google SecOps sa pag-detect ang mga banta sa seguridad sa real time. Tinutulungan nito ang mga organisasyon na mabilis at epektibong tumugon sa mga pinaka kritikal na banta.
• Mag-imbestiga sa mga insidente sa seguridad: Nagbibigay ang Google SecOps ng isang sentralisadong platform para sa pagsisiyasat ng mga insidente sa seguridad. Nakakatulong ito sa mga organisasyon nang mabilis at mahusay na mangalap ng ebidensya at matukoy ang saklaw ng insidente.
• Tumugon sa mga insidente sa seguridad: Nagbibigay ang Google SecOps ng iba't ibang mga tool upang matulungan ang mga organisasyon na tumugon sa mga insidente sa seguridad, gaya ng automated na remediation. Nakikita ng mga mangangaso ng pagbabanta ang bilis ng platform, mga kakayahan sa paghahanap, at inilapat na intelligence ng pagbabanta na napakahalaga sa pagsubaybay sa mga umaatake na maaaring nakalusot sa mga bitak. Nakakatulong ito sa mga organisasyon na mabilis at epektibong maglaman at mabawasan ang epekto ng mga insidente sa seguridad.
  Ang Google SecOps ay may bilang ng advantagay higit sa tradisyonal na mga solusyon sa SIEM, kabilang ang:
• Artipisyal na Katalinuhan: Ginagamit ng Google SecOps ang teknolohiya ng Gemini AI ng Google upang bigyang-daan ang mga tagapagtanggol na maghanap ng napakaraming data sa ilang segundo gamit ang natural na wika at gumawa ng mas mabilis na mga pagpapasya sa pamamagitan ng pagsagot sa mga tanong, pagbubuod ng mga kaganapan, pangangaso para sa mga pagbabanta, paglikha ng mga panuntunan, at paghahatid ng mga inirerekomendang aksyon batay sa konteksto ng mga pagsisiyasat. Magagamit din ng mga security team ang Gemini sa Security Operations para madaling makabuo ng mga response playbook, i-customize ang mga configuration, at isama ang mga pinakamahuhusay na kagawian — tumutulong na pasimplehin ang mga gawaing nakakaubos ng oras na nangangailangan ng malalim na kadalubhasaan.
• Inilapat ang Threat Intelligence: Ang Google SecOps ay native na sumasama sa Google Threat Intelligence (GTI) na sumasaklaw sa pinagsamang intelligence mula sa VirusTotal, Mandiant Threat Intelligence, at panloob na Google Threat intelligence source, upang matulungan ang mga customer na makakita ng higit pang mga banta na may kaunting pagsisikap.
• Scalability: Ang Google SecOps ay isang cloud-based na solusyon, kaya maaari nitong gamitin ang hyperscale cloud na imprastraktura na ibinigay ng Google cloud upang matugunan ang mga pangangailangan sa kapasidad at pagganap ng anumang organisasyon, anuman ang laki.
• Pagsasama sa Google Cloud: Ang Google SecOps ay mahigpit na isinama sa iba pang mga produkto at serbisyo ng Google Cloud, gaya ng Google Cloud Security Command Center Enterprise (SCCE). Ang pagsasamang ito ay nagpapadali para sa mga organisasyon na pamahalaan ang kanilang mga pagpapatakbo ng seguridad sa isang solong, pinag-isang platform. Ang Google SecOps ay ang pinakamahusay na SIEM para sa telemetry ng serbisyo ng GCP at kasama rin ang out of the box detection content para sa iba pang pangunahing cloud provider tulad ng AWS at Azure.

Inilapat ang Threat Intelligence sa Google SecOps
Binibigyang-daan ng Google SecOps ang mga security team na pamahalaan at suriin ang data ng seguridad na awtomatikong nauugnay at pinayaman ng data ng pagbabanta. Sa pamamagitan ng direktang pagsasama ng threat intelligence sa iyong SIEM, ang mga organisasyon ay maaaring:

• Pagbutihin ang pagtuklas at pagsubok: Ang data ng pagbabanta ay maaaring gamitin nang direkta upang lumikha ng mga panuntunan na makakatulong sa pagtukoy ng nakakahamak na aktibidad sa real time. Ginagamit din ang data na ito upang magdagdag ng konteksto sa iba pang mga alerto at awtomatikong ayusin ang kumpiyansa sa alerto. Tinutulungan nito ang mga organisasyon na mabilis na matukoy at masuri ang mga insidente sa seguridad, at ituon ang kanilang mga mapagkukunan sa mga pinakamahalagang banta.
• Pahusayin ang pagsisiyasat at pagtugon: Maaaring gamitin ang threat intelligence upang magbigay ng konteksto at mga insight sa panahon ng mga pagsisiyasat sa seguridad. Makakatulong ito sa mga analyst na mabilis na matukoy ang ugat ng isang insidente at bumuo at magpatupad ng mga epektibong diskarte sa pagtugon.
• Manatiling nangunguna sa tanawin ng pagbabanta: Makakatulong ang Threat Intelligence sa mga organisasyon na manatiling nangunguna sa tanawin ng pagbabanta sa pamamagitan ng pagbibigay ng impormasyon tungkol sa mga pinakabagong banta at kahinaan. Maaaring gamitin ang impormasyong ito upang bumuo at magpatupad ng mga proactive na hakbang sa seguridad, tulad ng pagbabanta sa pangangaso at pagsasanay sa kamalayan sa seguridad.

Pagtukoy sa Banta sa Google SecOps
Ang pagtuklas ng pagbabanta ng Google SecOps ay batay sa patuloy na stream ng frontline threat intelligence mula sa mga security team ng Google. Ginagamit ang katalinuhan na ito para gumawa ng mga panuntunan at alerto na maaaring tumukoy ng malisyosong aktibidad sa real time. Gumagamit din ang Google SecOps ng behavior analytics at risk scoring para matukoy ang mga kahina-hinalang pattern sa data ng seguridad. Nagbibigay-daan ito sa Google SecOps na maka-detect ng mga banta na hindi ma-detect ng mga tradisyunal na panuntunan sa pag-detect.

Ang halaga ng mataas na kalidad, na-curate na pagtuklas ng pagbabanta ay malinaw. Ang mga organisasyong gumagamit ng Google SecOps ay maaaring makinabang mula sa:

• Pinahusay na pagtuklas at pagsubok: Makakatulong ang Google SecOps sa mga organisasyon na mabilis na matukoy at subukan ang mga insidente sa seguridad. Nagbibigay-daan ito sa mga organisasyon na ituon ang kanilang mga mapagkukunan sa pinakamahalagang banta.
• Pinahusay na pagsisiyasat at tugon: Maaaring magbigay ang Google SecOps ng konteksto at mga insight sa panahon ng mga pagsisiyasat sa seguridad. Makakatulong ito sa mga analyst na mabilis na matukoy ang ugat ng isang insidente at bumuo at magpatupad ng mga epektibong diskarte sa pagtugon.
• Manatiling nangunguna sa landscape ng pagbabanta: Makakatulong ang Google SecOps sa mga organisasyon na manatiling nangunguna sa landscape ng pagbabanta sa pamamagitan ng pagbibigay ng impormasyon tungkol sa mga pinakabagong banta at kahinaan. Maaaring gamitin ang impormasyong ito upang bumuo at magpatupad ng mga proactive na hakbang sa seguridad, tulad ng pagbabanta sa pangangaso at pagsasanay sa kamalayan sa seguridad.

SIEM Migration

Kaya't nagpasya kang gumawa ng paglipat. Ang iyong diskarte sa paglipat ay mahalaga sa pagtiyak na mapanatili mo ang mga kinakailangang kakayahan at simulan ang pagkuha ng halaga mula sa bagong platform sa lalong madaling panahon. Ito ay bumaba sa prioritization. Ang isang karaniwang trade off ay ang pagkilala na habang ang isang SIEM migration ay kumakatawan sa isang pagkakataon na gawing moderno ang iyong buong diskarte sa pagsisiyasat, pagtuklas, at pagtugon, maraming SIEM migration ang nabigo dahil sinusubukan ng mga organisasyon na "pakuluan ang karagatan."

Kaya narito ang aming pinakamahusay na mga tip para sa pagpaplano at pagpapatupad ng iyong matagumpay na paglipat ng SIEM:

• Tukuyin ang iyong mga layunin sa paglilipat. Mukhang halata ito, ngunit ang iyong paglilipat sa SIEM ay isang napakahabang proseso, kaya ang pagtukoy sa iyong mga ninanais na resulta (hal., mas mabilis na pagtuklas ng pagbabanta, mas madaling pag-uulat sa pagsunod, pinahusay na visibility, nabawasan ang pagsusumikap ng analyst, habang nagpapababa rin ng gastos) ay lubos na nauugnay sa tagumpay.
• Gamitin ang migration bilang pagkakataon sa paglilinis ng bahay. Ito ang magandang panahon para maglinis iyong mga panuntunan sa pagtukoy at mga pinagmumulan ng log at i-migrate lang ang mga talagang ginagamit mo. Ito rin ay isang magandang oras upang mulingview ang iyong alertong triage at mga proseso ng pag-tune at tiyaking napapanahon ang mga ito.
• Huwag i-migrate ang bawat log source. Ang paglipat sa isang bagong SIEM ay isang magandang pagkakataon upang magpasya kung anong mga log ang kailangan mo, ito man ay para sa pagsunod o mga kadahilanang pangseguridad. Maraming organisasyon ang nag-iipon ng malaking halaga ng data ng log sa paglipas ng panahon, at hindi lahat ng ito ay kinakailangang mahalaga o may kaugnayan. Sa pamamagitan ng paglalaan ng oras upang suriin ang iyong mga source ng log bago mo i-migrate ang mga ito, maaari mong i-streamline ang iyong SIEM at tumuon sa data na pinakamahalaga sa iyong mga pangangailangan sa seguridad at pagsunod.
• Huwag i-migrate ang lahat ng content. Hindi palaging kinakailangan ang paglipat ng lahat ng iyong umiiral nang content, panuntunan, alerto, dashboard, visualization, at playbook sa isang bagong SIEM. Maglaan ng oras upang suriin ang iyong kasalukuyang saklaw ng pagtuklas at unahin ang paglipat ng mga panuntunang kailangan mo. Makakahanap ka ng mga pagkakataong pagsama-samahin ang mga panuntunan, upang alisin ang mga panuntunang hindi maaaring gumana dahil sa kakulangan ng telemetry o maling logic, o mga panuntunang mas mahusay na pinangangasiwaan ng nilalamang wala sa kahon. Tanungin ang sinumang vendor o kasosyo sa deployment na nagsusulong para sa isa-sa-isang paglilipat ng panuntunan.
• Unahin ang maagang paglipat ng nilalaman. Simulan kaagad ang pag-detect ng content migration kapag available ang mga log source at mga enrichment na kinakailangan para sa bawat partikular na kaso ng paggamit. Ang data-driven na diskarte na ito, na nag-a-align ng mga source sa mga kaso ng paggamit, ay nagbibigay-daan sa magkatulad na pagsisikap sa paglipat para sa pinakamainam na kahusayan at mga resulta.
• Ang pag-detect ng content migration ay isang prosesong pinangunahan ng tao. Maghanda upang muling buuin ang nilalaman ng pag-detect (mga panuntunan, alerto, dashboard, modelo, atbp.) (karamihan) mula sa simula, gamit ang iyong lumang nilalaman bilang inspirasyon. Sa ngayon, walang fool-proof na paraan upang awtomatikong i-convert ang mga panuntunan mula sa isang SIEM platform patungo sa isa pa. Bagama't nag-aalok ang ilang vendor ng mga tagasalin ng syntax, karaniwang nagreresulta sila sa isang mahusay na jumping off point sa halip na isang perpektong na-translate na panuntunan, paghahanap, o dashboard. Dapat kang kumuha ng maximum na advantage ng mga tool na ito, ngunit kilalanin na hindi ito isang panlunas sa lahat.
• Ang nilalaman ng pagtuklas ay nagmumula sa maraming mapagkukunan. Suriin ang iyong mga pangangailangan sa saklaw ng pagtuklas, pagkatapos ay gamitin o gawin ang iyong mga kaso ng paggamit ng pagtuklas kung kinakailangan. Magbibigay ang iyong vendor ng SIEM ng ilang out of the box na nilalaman na dapat mong gamitin palagi kung magagawa mo. Isaalang-alang din ang mga repositoryo ng panuntunan ng komunidad at mga provider ng content ng pagtuklas ng third-party. Kung kinakailangan, isulat ang iyong sariling mga panuntunan at tandaan ang karamihan sa mga panuntunan, anuman ang pinagmulan ng mga ito, ay kailangang nakatutok para sa partikular na kapaligiran ng iyong organisasyon.
• Bumuo ng isang makatotohanang timeline ng paglilipat. Kabilang dito ang accounting para sa paglilipat ng data, pagsubok, pag-tune, pagsasanay at mga potensyal na magkakapatong kung saan maaaring kailanganin mong patakbuhin ang parehong mga system nang magkatulad. Ang isang mahusay na tinukoy na plano sa paglipat ay makakatulong sa iyo na matukoy at mabawasan ang mga panganib, at matiyak na matagumpay na nakumpleto ang paglipat. Ang plano ay dapat magsama ng isang detalyadong timeline, isang listahan ng mga gawain, mapagkukunan, at isang badyet. Kilalanin na ang mga pangunahing proyekto tulad ng paglilipat ng SIEM ay dapat hatiin sa mga yugto.
• Pagsubok. Inirerekomenda namin ang pagsasanay ng pagsubok sa iyong SIEM at pag-detect ng content sa pamamagitan ng regular na pag-inject ng data na magti-trigger sa iyong mga detection, pagsuri sa pag-parse, at pag-validate ng daloy ng data mula sa detection hanggang case to response playbook. Ang paglilipat ng SIEM ay ang perpektong oras para magpatibay ng mahigpit programa ng detection engineering na kasama ang pagsubok tulad nito.
• Maghanda para sa panahon ng paglipat kung saan tatakbo ka ng mga luma at bagong tool. Iwasan ang isang nakakagambalang "rip and replace" approach. Ang isang phased migration, kung saan unti-unting nakakatulong ang pag-migrate mo ng mga source ng log at mga kaso ng paggamit na kontrolin ang proseso at binabawasan ang panganib. Gayundin, mag-isip nang dalawang beses tungkol sa muling paglunok ng data mula sa iyong lumang SIEM patungo sa bago. Sa ilang mga kaso, maaaring mayroon kang kakayahang iwanan ang nakaraang SIEM na tumatakbo para sa pinalawig na mga panahon upang payagan ang pag-access sa makasaysayang data.
• Paganahin ang iyong mga koponan. Mabibigo ang iyong paglipat ng SIEM kung hindi magagamit ng iyong mga analyst ang bagong system. Ang isang magandang plano sa paglilipat ay magsasama ng malalim na pagpapagana para sa iyong mga koponan. Mag-isip tungkol sa pagsasanay sa mga inhinyero sa onboarding at pag-parse ng data, pagsasanay sa mga analyst sa pamamahala ng kaso/pagsisiyasat/triage, mga mangangaso ng pagbabanta sa pagtuklas/paghahanap ng anomalya, at mga inhinyero sa pagtuklas sa pagsulat ng panuntunan. Ang oras ay kritikal para sa pagpapagana. Pinakamainam na sanayin ang mga tauhan habang nagsisimula sila sa mga partikular na yugto ng paglipat, sa halip na pagsasanay bago kailanganin ang mga kasanayang iyon.
• Humingi ng tulong! Kung ikaw ay mapalad (o baka malas?) bilang isang practitioner o pinuno, marahil ay dumaan ka sa isa o dalawang paglilipat ng SIEM sa iyong karera. Bakit hindi humingi ng tulong sa mga espesyalista na nakagawa na nito nang dose-dosenang o daan-daang beses? Ang mga propesyonal na pangkat ng serbisyo mula sa vendor at/o mga pangkat ng pagkonsulta mula sa mga kwalipikadong kasosyo sa serbisyo ay isang mahusay na pagpipilian. Ang mga paglilipat ng SIEM ay higit sa lahat ay nakasentro sa tao na mga pagsisikap.

Pangunahing Proseso: Pumili ng Deployment Partner
Walang desisyon ang magkakaroon ng mas malaking epekto sa sukdulang tagumpay ng paglilipat ng SIEM kaysa sa pagpili ng kasosyo sa deployment. Ang mga platform ng SIEM ay malakihan, kumplikado, mga sistema ng negosyo. Huwag subukang mag-isa; manatili sa isang kasosyo sa pag-deploy na dumaan sa maraming paglipat.

Ang kasosyo sa pag-deploy ay maaaring ang propesyonal na sangay ng serbisyo ng bagong vendor ng SIEM. Gayunpaman, mas karaniwan na pumili ng isang third-party na kasosyo upang patakbuhin ang paglipat. Tandaan na ang paglipat ng SIEM ay isang gawaing pinangunahan ng tao. Pinakamainam ang pagpili ng partner na may mga certification sa bagong SIEM at maraming reperensyang partner. Nakakatulong din ito kung mayroon silang kadalubhasaan sa SIEM kung saan ka nagmi-migrate. Higit pa sa mga sanggunian, ang isang matalinong paraan upang matukoy ang antas ng karanasan ng isang kasosyo sa iyong bagong SIEM ay upang tingnan ang mga forum ng komunidad upang makita kung ang koponan ay naging isang aktibong kontribyutor. Sa opinyon ng mga may-akda, ang mga kawani ng kasosyo na lubos na nakatuon ay nauugnay sa matagumpay na paglilipat ng SIEM. iyong rehiyon, o lahat ng tatlo! Maaari kang maghanap ng mga kasanayan sa wika at mapagkukunan sa advantagmga time zone. Maaari ka ring maghanap ng mga kasosyo na nagpapatakbo ng iyong SIEM para sa iyo, o naghahatid ng mga katulad na resulta bilang isang pinamamahalaang tagapagbigay ng serbisyo sa seguridad na maaaring bahagyang o ganap na mai-outsource ang SIEM ng iyong organisasyon.

Pangunahing Proseso: Idokumento ang Kasalukuyang Configuration at Use Cases
Ang mga deployment ng SIEM ay karaniwang malawak, patuloy na lumalaki sa saklaw at pagiging kumplikado sa paglipas ng mga taon ng paggamit. Maghanda para sa kaunti o walang dokumentasyon. Asahan na ang mga tauhan na nagsagawa ng paunang pagsasaayos at pag-customize ng SIEM ay kadalasang matagal nang wala. Ang masusing pagdodokumento sa configuration at mga kakayahan sa maagang bahagi ng proseso ng paglipat ay maaaring mangahulugan ng pagkakaiba sa pagitan ng tagumpay at kabiguan.

• Idokumento ang pagkakakilanlan at pamamahala ng pag-access na ginagamit ng SIEM. Tiyak na kakailanganin mong panatilihin ang ilang access na nakabatay sa tungkulin sa data at mga feature. Sa kabilang banda, ang migration ay isang pagkakataon upang suriin at tugunan ang access sprawl na natural na nangyayari sa karamihan ng mga organisasyon. Maaari mo ring tingnan ang proseso ng paglilipat bilang isang pagkakataon upang gawing moderno ang mga pamamaraan ng pagpapatotoo/awtorisasyon kabilang ang pagsasama-sama ng pagkakakilanlan sa mga pamantayan ng kumpanya at pagpapatupad ng multi-factor na pagpapatotoo.
• Kunin ang mga pangalan ng mga uri ng data na kinokolekta. Tandaan na tinatawag ng ilang SIEM ang mga pangalang ito na "sourcetype" o "logtype". Kunin kung gaano karaming data ng bawat uri ng data ang dumadaloy gamit ang gigabytes/araw bilang sukatan. Idokumento ang pipeline ng data para sa bawat pinagmumulan ng data (batay sa ahente, query sa API, web hook, cloud bucket ingestion, ingestion API, HTTP listener, atbp.), at makuha ang configuration ng parser ng SIEM kasama ng anumang mga pag-customize.
• Ipunin ang mga naka-save na paghahanap, mga kahulugan ng dashboard, at mga panuntunan sa pag-detect. Maraming mga SIEM ang mayroon ding mga patuloy na mekanismo ng pag-iimbak ng data gaya ng mga lookup table. Tiyaking unawain at idokumento kung paano ito napo-populate at ginagamit.
• Gumawa ng imbentaryo ng mga pagsasama sa mga panlabas na system. Maraming SIEM ang sumasama sa mga case management system, relational database, notification services (email, SMS, atbp), at threat intelligence platform.
• Kunin ang nilalaman ng pagtugon tulad ng mga playbook, mga template ng pamamahala ng kaso, at anumang aktibong pagsasama na hindi pa naidokumento.

Higit pa sa pagtitipon ng mahahalagang teknikal na detalyeng ito, napakahalagang maglaan ng oras sa interview mga gumagamit ng umiiral na SIEM upang maunawaan ang kanilang mga daloy ng trabaho. Itanong kung paano nila ginagamit ang SIEM, anong mga karaniwang pamamaraan sa pagpapatakbo ang umaasa sa SIEM. Mahalaga ring magtanong ng malalawak na tanong gaya ng kung anong mga koponan sa labas ng seguridad ang maaaring gumamit ng SIEM. Para kay exampHindi, karaniwan na ang mga compliance team o IT operations staff na umasa sa SIEM. Ang pagkabigong makuha ang mga kaso ng paggamit na ito ay maaaring magdulot ng mga hindi inaasahang inaasahan sa ibang pagkakataon sa proseso ng paglipat.

Pangunahing Proseso: Log Source Migration
Kasama sa paglilipat ng log source ang paglipat ng mga data source mula sa lumang SIEM patungo sa bagong SIEM. Ang prosesong ito ay nakasalalay sa dokumentasyon ng kasalukuyang config na nakalap sa Proseso: Idokumento ang Kasalukuyang Configuration at Paggamit seksyon.

Ang mga sumusunod na hakbang ay karaniwang kasama sa proseso ng paglilipat ng pinagmulan ng log:

1. Pagtuklas at imbentaryo: Ang unang hakbang ay ang pagtuklas at pag-imbentaryo ng lahat ng log source na kasalukuyang kinakain ng lumang SIEM. Magagawa ito gamit ang iba't ibang paraan, tulad ng reviewsa pagsasaayos ng SIEM files o paggamit ng mga API at kaugnay na tooling.
2. Priyoridad: Kapag natuklasan at naimbentaryo na ang mga pinagmumulan ng log, kailangang unahin ang mga ito para sa paglipat. Magagawa ito batay sa ilang salik, gaya ng analytics na hinimok ng log source, ang dami ng data, ang pagiging kritikal ng data, ang mga kinakailangan sa pagsunod, at ang pagiging kumplikado ng proseso ng paglipat.
3. Pagpaplano ng paglipat: Kapag na-prioritize na ang mga source ng log, dapat na bumuo ng plano sa paglilipat.
4. Pagpapatupad ng paglipat: Ang proseso ng paglipat ay maaaring isagawa ayon sa plano. Maaaring may kasama itong iba't ibang gawain, gaya ng pag-configure ng mga feed sa bagong SIEM, pag-install ng mga ahente, pag-configure ng mga API, atbp.
5. Pagsubok at pagpapatunay: Kapag nakumpleto na ang paglipat, mahalagang subukan at patunayan na ang data ng log ay natutunaw nang maayos. Gamitin ito bilang isang pagkakataon upang i-configure ang pag-aalerto para sa mga pinagmumulan ng data na naging tahimik.
6. Dokumentasyon: Panghuli, mahalagang idokumento ang bagong configuration ng log source.

Pangunahing Proseso: I-migrate ang Detection at Nilalaman ng Tugon
Ang pagtukoy sa SIEM at nilalaman ng pagtugon ay binubuo ng mga panuntunan, paghahanap, playbook, dashboard, at iba pang mga configuration na tumutukoy kung ano ang mga alerto ng iyong SIEM at kung paano ito nakakatulong sa mga analyst na pangasiwaan ang mga alertong iyon. Kung walang maayos na naka-configure na nilalaman, ang SIEM ay isa lamang magarbong paraan upang maghanap. Ito ay "mahal na grep" - isang termino na nilikha ng isang kasamahan ng mga may-akda ilang taon na ang nakakaraan. Ang nilalaman ng SIEM ay gumaganap ng isang mahalagang papel sa pagtukoy sa saklaw ng pagtuklas ng iyong organisasyon.

• Ginagamit ang mga panuntunan sa pagtukoy upang matukoy ang mga insidente sa seguridad. Ang mga inhinyero ng pag-detect na may malalim na kaalaman sa mga aktor ng pagbabanta sa seguridad at ang mga taktika, pamamaraan, at pamamaraan (TTP) na karaniwan sa kanila ay sumulat ng mga ito. Ang mga panuntunan sa pagtuklas ay naghahanap ng mga pattern na kumakatawan sa mga TTP na ito sa data ng log. Madalas na iniuugnay ng mga panuntunan sa pag-detect ang iba't ibang log source nang magkasama at ginagamit ang data ng threat intelligence.
• Ginagamit ang mga playbook ng pagtugon upang i-automate ang pagtugon sa mga alerto sa seguridad. Maaari silang magsama ng mga gawain tulad ng pagpapadala ng mga notification, pagbubukod ng mga nakompromisong host, pagpapayaman ng mga alerto gamit ang contextual data/threat intelligence, at pagpapatakbo ng mga remediation script.
• Ginagamit ang mga dashboard upang mailarawan ang data ng seguridad at subaybayan ang katayuan ng mga insidente sa seguridad. Magagamit ang mga ito upang subaybayan ang pangkalahatang postura ng seguridad ng organisasyon at upang matukoy ang mga uso at pattern.
• Ang pagbuo ng bagong detection at response content ay isang umuulit na proseso. Mahalagang patuloy na subaybayan ang SIEM at gumawa ng mga pagsasaayos sa nilalaman kung kinakailangan. Ang paglilipat ng SIEM ay isang magandang panahon para pahusayin ang iyong mga proseso gamit ang mga diskarte tulad ng detection as code (DaC).

Pangunahing Proseso: Pagsasanay at Pagpapagana
Ang isang madalas na hindi napapansing proseso sa panahon ng paglilipat ng SIEM ay ang pagsasanay ng gumagamit. Ang SIEM ay marahil ang pinakamahalagang nag-iisang tool na ginagamit ng isang security operations team. Malaki ang papel ng kanilang kakayahang gamitin ito nang epektibo at produktibo sa tagumpay ng paglipat, at ang kanilang kakayahang protektahan ang iyong organisasyon. Umasa sa iyong SIEM provider at deployment partner para magbigay ng content ng pagsasanay at paghahatid. Narito ang isang maikling listahan ng mga paksa kung saan dapat paganahin ang iyong mga koponan.

• Log feed ingestion at pag-parse
• Paghahanap / Pagsisiyasat
• Pamamahala ng Kaso
• Pag-akda ng Panuntunan
• Pagbuo ng Dashboard
• Playbook / Automation

Konklusyon

• Sa kalaunan, hindi maiiwasan ang paglipat mula sa isang legacy na SIEM patungo sa isang modernong solusyon. Bagama't mukhang nakakatakot ang mga hamon, ang isang mahusay na binalak at naisagawa na paglipat ay maaaring humantong sa mga makabuluhang pagpapabuti sa pagtuklas ng pagbabanta, mga kakayahan sa pagtugon, at pangkalahatang postura ng seguridad.
• Sa pamamagitan ng maingat na pagsasaalang-alang sa pagpili ng bagong SIEM, paggamit ng mga lakas ng cloud-native na arkitektura, pagsasama ng advanced na threat intelligence, at paggamit ng mga feature na hinimok ng AI, maaaring bigyang kapangyarihan ng mga organisasyon ang kanilang mga security team na proactive na ipagtanggol laban sa patuloy na umuusbong na mga banta. Ang matagumpay na proseso ng paglipat ay nagsasangkot ng masusing pagpaplano, komprehensibong dokumentasyon, madiskarteng pinagmumulan ng log at paglipat ng nilalaman, masusing pagsubok, at komprehensibong pagsasanay sa gumagamit.
• Ang pakikipagsosyo sa mga nakaranasang espesyalista sa pag-deploy ay maaaring maging napakahalaga sa pag-navigate sa mga kumplikado at pagtiyak ng maayos na paglipat. Sa isang pangako sa patuloy na pagpapabuti at isang pagtutok sa detection engineering, ang mga organisasyon ay maaaring gamitin nang buo
• potensyal ng kanilang bagong SIEM at palakasin ang kanilang mga panseguridad na panlaban sa mga darating na taon.

Karagdagang Pagbasa

• "Paano Makakatulong ang Google SecOps na Palakihin ang Iyong SIEM Stack" na papel
• “Kinabukasan ng SOC: Ebolusyon o Pag-optimize — Piliin ang Iyong Landas” papel
• Blog ng Komunidad ng Google Cloud Security
• Lingguhang Newsletter ng Detection Engineering
• detect.fyi – Practitioner-centric na mga tip sa detection engineering
• Pagsisimula sa Detection-as-Code at Google Security Operations – David French (Unang bahagi, ikalawang bahagi)
• Pagpapatupad ng modernong Detection Engineering Workflow – Dan Lussier (Unang bahagi, ikalawang bahagi, ikatlong bahagi)

Para sa karagdagang impormasyon bisitahin ang cloud.google.com

FAQ

Q: Ano ang layunin ng Great SIEM Migration guide?
A: Nilalayon ng gabay na tulungan ang mga organisasyon na lumipat mula sa mga lumang solusyon sa SIEM patungo sa mas bago, mas mahusay na mga opsyon para sa pagtuklas at pagtugon ng pagbabanta.

T: Paano ako makikinabang sa isang cloud-native na SIEM?
A: Ang mga Cloud-native na SIEM ay nagbibigay ng scalability, cost-efficiency, at epektibong seguridad para sa cloud workloads dahil sa kanilang arkitektura at mga kakayahan.

Mga Dokumento / Mga Mapagkukunan

Google Cloud SIEM Migration [pdf] Mga tagubilin SIEM Migration, Migration

Mga sanggunian

• User Manual