Гоогле Цлоуд СИЕМ Упутства за миграцију

Гоогле Цлоуд СИЕМ миграција

Информације о производу

Спецификације:

• Назив производа: СИЕМ Мигратион Гуиде
• Аутор: Непознато
• Објављено Година: Није наведено

Упутства за употребу производа

• Избор новог СИЕМ-а
  Почните тако што ћете себи и свом тиму поставити нека кључна питања која ће вам помоћи да откријете предности и слабости сваке понуде. Брзо идентификујте супермоћи сваког СИЕМ-а и планирајте како ваша организација може напредоватиtagе од њих.
• СИЕМ у клауду
  Размотрите да ли СИЕМ нуди примарни добављач услуга у облаку (ЦСП) који може да обезбеди инфраструктуру светских размера по велепродајним ценама. СИЕМ модели примене Цлоуд-а омогућавају скалабилност и динамичко управљање радним оптерећењима у облаку.
• СИЕМ са интелигенцијом
  Проверите да ли добављач СИЕМ-а нуди континуирану обавештајну информацију о претњама на првој линији за покретање детекције нових и нових претњи.

СИЕМ је мртав, живео СИЕМ

Ако сте попут нас, можда ћете бити изненађени да су 2024. системи за управљање безбедносним информацијама и догађајима (СИЕМ) и даље окосница већине безбедносних оперативних центара (СОЦ). СИЕМ-ови су одувек коришћени за прикупљање и анализу безбедносних података из целе ваше организације како би вам помогли да брзо и ефикасно идентификујете, истражите претње и одговорите на њих. Али реалност је да данашњи модерни СИЕМ-ови немају много сличности са онима изграђеним пре 15+ година, пре успона архитектуре засноване на облаку, анализе корисничких ентитета и понашања (УЕБА), безбедносне оркестрације, аутоматизације и одговора (СОАР), управљања површином напада и наравно АИ, да споменемо само неке.
Застарели СИЕМ-ови су често спори, гломазни и тешки за коришћење. Њихова застарела архитектура их често спречава да скалирају како би унели изворе евиденције великог обима и можда неће моћи да буду у току са најновијим претњама или подрже најновије функције и могућности. Они можда не нуде флексибилност да подрже специфичне захтеве ваше организације или нису прилагођени стратегији више облака која је реалност за већину организација данас. Коначно, они могу бити у лошој позицији да узму предностtagе од најновијих технолошких достигнућа, као што је вештачка интелигенција (АИ).
Дакле, иако СИЕМ под било којим другим именом може звучати једнако слатко, тимови за безбедносне операције ће се и даље ослањати на
„платформе за безбедносне операције“ (или како год да се називају) у догледној будућности за откривање претњи, истрагу и реаговање.

Велика СИЕМ миграција је почела

СИЕМ миграција није нова. Организације су се одљубиле од свог постојећег СИЕМ-а и годинама су тражиле новије и боље опције. Можда чешће, организације трпе своје слабе перформансе и/или прескупе СИЕМ дуже него што би желеле, делом због забринутости око сложености потребе да се баве миграцијом СИЕМ-а.
Али последњих месеци увели су тектонске промене у СИЕМ простору који се не могу потценити. Нема сумње да ће СИЕМ пејзаж бити потпуно трансформисан за неколико кратких година од сада — рађајући нове лидере на тржишту и видећи пад, а можда чак и нестанак „диносауруса“ који су деценијама владали СИЕМ-ом (или „ еони” у смислу сајбер безбедности). Ови развоји ће несумњиво убрзати миграцију са старих СИЕМ платформи на модерне, при чему се многе организације сада суочавају са реалношћу када треба да мигрирају уместо да ли треба да мигрирају.

Ево резимеа главних потеза само у последњих 9 месеци:

Идентификовање недостатака у вашем тренутном СИЕМ-у је много лакше него да изаберете најбољу замену и извршите успешну миграцију. Такође је важно напоменути да неуспеси у примени СИЕМ-а такође могу да проистекну из процеса (и повремено људи), а не само из технологије. Ту долази овај рад. Аутори су видели стотине СИЕМ миграција као практичари, аналитичари и продавци током више деценија. Дакле, хајде да сагледамо најбоље савете за миграцију СИЕМ-а за 2024. Поделићемо ову листу у категорије и посипати лекције које смо научили из ровова.

Избор новог СИЕМ-а

Почните тако што ћете себи и свом тиму поставити нека кључна питања која ће вам помоћи да откријете предности и слабости сваке понуде. Препоручујемо да брзо идентификујете „супермоћи“ сваког СИЕМ-а и планирате како ваша организација може да искористи предностtagе од њих. Фор екampле:

• СИЕМ у клауду
  
  • Да ли СИЕМ нуди примарни добављач услуга у облаку (ЦСП) који може да обезбеди инфраструктуру светских размера по велепродајним ценама?
    Наше искуство показује да СИЕМ провајдери који раде у облацима који не поседују имају потешкоћа да превазиђу неизбежно „слагање маргина“ које долази са таквим моделима. Ово питање је нераскидиво повезано са трошковима.
    Модел примене СИЕМ-а који је настао у облаку такође омогућава СИЕМ-у да се повећава и смањује као одговор на нове претње и такође управља динамичком природом радних оптерећења у облаку организације. Цлоуд инфраструктура и апликације могу драматично да расту за неколико минута. СИЕМ архитектура заснована на облаку омогућава да се критични алати безбедносних тимова скалирају истом брзином заједно са потребама веће организације.
    СИЕМ-ови који се налазе у облаку су такође добро позиционирани да обезбеде радна оптерећења у облаку. Они обезбеђују унос података са малим кашњењем из услуга у облаку и испоручују се са садржајем за откривање како би помогли у идентификацији напада уобичајених у облаку.
• СИЕМ са интелигенцијом
  • Да ли добављач СИЕМ-а има непрекидан ток обавештајних података о претњама на првој линији за покретање детекције нових и претњи у настајању?
    Ови златни извори обично произилазе из врхунских пракси реаговања на инциденте, рада масовних потрошачких ИааС или СааС понуда у облаку или глобалних инсталационих база безбедносних софтверских производа или оперативних система.
    Обавештајни подаци о претњама су критични за организације да ефикасно откривају, тријажу, истражују и реагују на безбедносне инциденте. Обавештајне информације о претњама на првој линији су посебно драгоцене јер пружају информације у реалном времену о најновијим претњама и рањивостима. Ове информације се могу користити за брзо идентификовање и одређивање приоритета безбедносних инцидената, као и за развој и имплементацију ефикасних стратегија реаговања.
    Да би побољшале могућности откривања претњи и реаговања у реалном времену, безбедносне организације траже беспрекорну интеграцију обавештајних података о претњама и повезаних извора података у своје безбедносне операције и алате. Окретна столица, цопи-пасте и крхке интеграције између СИЕМ-а и извора информација о претњама смањују продуктивност и имају негативан утицај на ефикасност тима и искуство аналитичара.
• СИЕМ са одабраним садржајем
  • Да ли СИЕМ нуди опсежну библиотеку подржаних парсера и правила детекције и радњи одговора?
    Савет: Неки добављачи СИЕМ-а ослањају се скоро искључиво на своју корисничку заједницу или партнере у техничком савезу да би креирали парсере за популарне изворе података. Иако је напредна корисничка заједница од суштинског значаја, превелико ослањање на њу у обезбеђивању основних могућности као што је рашчлањивање представља проблем. Парсери за уобичајене изворе података треба да буду креирани, одржавани и подржани директно од стране СИЕМ добављача. Користите исти приступ када гледате садржај правила детекције. Правила заједнице су од суштинског значаја, али требало би да очекујете да ваш добављач креира и одржава солидну библиотеку основних детекција које се редовно тестирају, подржавају и побољшавају. Висококвалитетно, одабрано откривање претњи је кључно за организације да ефикасно управљају својим безбедносним положајем. Гоогле СецОпс омогућава откривање нових и новонасталих претњи, што може помоћи организацијама да брзо идентификују безбедносне инциденте и реагују на њих.
• СИЕМ са АИ
  • Да ли СИЕМ укључује вештачку интелигенцију и да ли је у позицији да настави са иновацијама?
    Улога вештачке интелигенције у СИЕМ-у још увек није у потпуности схваћена (а још мање имплементирана) од стране било ког добављача. Међутим, водећи СИЕМ-ови већ данас испоручују опипљиве функције вођене вештачком интелигенцијом. Ове карактеристике укључују обраду природног језика за изражавање претрага и правила, аутоматизовано сумирање случајева и препоручене акције одговора. Већина купаца и посматрача индустрије сматра да су функције као што су откривање претњи и предиктивна анализа противника неки од „светих грала“ СИЕМ могућности вођених вештачком интелигенцијом. Ниједан СИЕМ данас поуздано не нуди ове функције. Док будете бирали нови СИЕМ 2024. године, размислите да ли продавац улаже ресурсе неопходне да оствари значајан напредак у овим трансформационим способностима.

Гоогле Сецурити Оператионс (раније Цхроницле) је СИЕМ решење засновано на облаку које нуди Гоогле Цлоуд. Дизајниран је да помогне организацијама да централно прикупљају евиденције и другу безбедносну телеметрију, затим да открију, истраже и реагују на безбедносне претње у реалном времену. 

• Откријте и одредите приоритете безбедносних претњи: Гоогле СецОпс-ова готова правила детекције идентификују и дају приоритет безбедносним претњама у реалном времену. Ово помаже организацијама да брзо и ефикасно одговоре на најкритичније претње.
• Истражите безбедносне инциденте: Гоогле СецОпс пружа централизовану платформу за истраживање безбедносних инцидената. Ово помаже организацијама да брзо и ефикасно прикупе доказе и одреде обим инцидента.
• Одговорите на безбедносне инциденте: Гоогле СецОпс пружа низ алата који помажу организацијама да реагују на безбедносне инциденте, као што је аутоматизована санација. Ловци на претње сматрају да су брзина платформе, могућности претраживања и примењена обавештајна информација о претњама од непроцењиве вредности у проналажењу нападача који су се можда провукли кроз пукотине. Ово помаже организацијама да брзо и ефикасно обуздају и ублаже утицај безбедносних инцидената.
  Гоогле СецОпс има бројне предностиtagес у односу на традиционална СИЕМ решења, укључујући:
• Вештачка интелигенција: Гоогле СецОпс користи Гоогле-ову Гемини АИ технологију како би омогућио браниоцима да претражују огромне количине података у секунди користећи природни језик и доносе брже одлуке одговарајући на питања, сумирајући догађаје, тражећи претње, креирајући правила и испоручујући препоручене радње на основу контекста истраге. Безбедносни тимови такође могу да користе Гемини у безбедносним операцијама да би лако направили свеске за одговоре, прилагодили конфигурације и уградили најбоље праксе — помажући да се поједноставе дуготрајни послови који захтевају дубоку стручност.
• Примењена обавештајна информација о претњи: Гоогле СецОпс се изворно интегрише са Гоогле Тхреат Интеллигенце (ГТИ) који обухвата комбиноване обавештајне податке из ВирусТотал, Мандиант Тхреат Интеллигенце и интерних Гоогле Тхреат обавештајних извора, како би помогао клијентима да открију више претњи уз мање напора.
• Скалабилност: Гоогле СецОпс је решење засновано на облаку, тако да може да искористи инфраструктуру облака хиперскале коју обезбеђује Гоогле облак да би задовољио потребе за капацитетом и перформансама било које организације, без обзира на величину.
• Интеграција са Гоогле Цлоуд-ом: Гоогле СецОпс је чврсто интегрисан са другим Гоогле Цлоуд производима и услугама, као што је Гоогле Цлоуд Сецурити Цомманд Центер Ентерприсе (СЦЦЕ). Ова интеграција олакшава организацијама да управљају својим безбедносним операцијама на јединственој, уједињеној платформи. Гоогле СецОпс је најбољи СИЕМ за телеметрију ГЦП услуге и такође укључује готов садржај за откривање за друге велике добављаче у облаку као што су АВС и Азуре.

Примењена обавештајна информација о претњама у Гоогле СецОпс-у
Гоогле СецОпс омогућава безбедносним тимовима да управљају и анализирају безбедносне податке који су аутоматски повезани и обогаћени подацима о претњама. Интеграцијом обавештајних података о претњама директно у ваш СИЕМ, организације могу:

• Побољшајте откривање и тријажу: Подаци о претњама се могу директно користити за креирање правила која могу помоћи у идентификацији злонамерне активности у реалном времену. Ови подаци се такође користе за додавање контекста другим упозорењима и аутоматско прилагођавање поверења у упозорење. Ово помаже организацијама да брзо открију и анализирају безбедносне инциденте и да усредсреде своје ресурсе на најкритичније претње.
• Побољшајте истрагу и одговор: Обавештајни подаци о претњама се могу користити за пружање контекста и увида током безбедносних истрага. Ово може помоћи аналитичарима да брзо идентификују основни узрок инцидента и да развију и примене ефикасне стратегије реаговања.
• Будите испред пејзажа претњи: Обавештајне информације о претњама могу помоћи организацијама да буду испред окружења претњи пружањем информација о најновијим претњама и рањивостима. Ове информације се могу користити за развој и спровођење проактивних безбедносних мера, као што су лов на претње и обука о безбедности.

Откривање претњи у Гоогле СецОпс-у
Гоогле СецОпс откривање претњи засновано је на континуираном току обавештајних података о претњама из Гоогле-ових безбедносних тимова. Ова интелигенција се користи за креирање правила и упозорења која могу идентификовати злонамерне активности у реалном времену. Гоогле СецОпс такође користи аналитику понашања и оцењивање ризика да би идентификовао сумњиве обрасце у безбедносним подацима. Ово омогућава Гоогле СецОпс-у да открије претње које се не могу открити традиционалним правилима детекције.

Вредност висококвалитетног, курираног откривања претњи је јасна. Организације које користе Гоогле СецОпс могу имати користи од:

• Побољшано откривање и тријажа: Гоогле СецОпс може помоћи организацијама да брзо идентификују и тријажу безбедносне инциденте. Ово омогућава организацијама да усредсреде своје ресурсе на најкритичније претње.
• Побољшана истрага и одговор: Гоогле СецОпс може да пружи контекст и увид током безбедносних истрага. Ово може помоћи аналитичарима да брзо идентификују основни узрок инцидента и да развију и примене ефикасне стратегије реаговања.
• Останите испред окружења претњи: Гоогле СецОпс може помоћи организацијама да остану испред окружења претњи пружањем информација о најновијим претњама и рањивостима. Ове информације се могу користити за развој и спровођење проактивних безбедносних мера, као што су лов на претње и обука о безбедности.

СИЕМ миграција

Дакле, одлучили сте да направите потез. Ваш приступ миграцији је критичан како бисте осигурали да задржите потребне могућности и почнете да извлачите вредност из нове платформе што је пре могуће. Своди се на одређивање приоритета. Типичан компромис је препознавање да, иако СИЕМ миграција представља прилику да модернизујете читав приступ истраживању, откривању и реаговању, многе СИЕМ миграције не успевају јер организације покушавају да „прокувају океан“.

Дакле, ево наших најбољих савета за планирање и извршење ваше успешне СИЕМ миграције:

• Дефинишите своје циљеве миграције. Ово звучи очигледно, али ваша СИЕМ миграција је дуготрајан процес, тако да је дефинисање ваших жељених резултата (нпр. брже откривање претњи, лакше извештавање о усклађености, побољшана видљивост, смањен напор аналитичара, а такође и смањење трошкова) у снажној корелацији са успехом.
• Искористите миграцију као прилику за чишћење куће. Ово је добро време за чишћење ваша правила детекције и извори евиденције и мигрирајте само оне које стварно користите. Такође је добро време да се поновоview ваше процесе тријаже упозорења и подешавања и проверите да ли су ажурирани.
• Немојте мигрирати сваки извор евиденције. Прелазак на нови СИЕМ је одлична прилика да одлучите које евиденције су вам потребне, било да се ради о усклађености или из безбедносних разлога. Многе организације акумулирају огромну количину података дневника током времена, а нису сви они нужно вредни или релевантни. Ако одвојите време да процените своје изворе евиденције пре него што их мигрирате, можете да поједноставите свој СИЕМ и да се фокусирате на податке који су најважнији за ваше потребе безбедности и усклађености.
• Немојте мигрирати сав садржај. Миграција вашег постојећег садржаја за откривање, правила, упозорења, контролне табле, визуелизације и приручника на нови СИЕМ није увек неопходна. Одвојите време да процените своју тренутну покривеност откривањем и одредите приоритет миграције правила која су вам потребна. Пронаћи ћете прилике да консолидујете правила, да елиминишете правила која никада не би могла да се активирају због недостатка телеметрије или неисправне логике, или правила којима се боље рукује готовим садржајем. Испитајте било ког добављача или партнера за примену који се залаже за индивидуалну миграцију правила.
• Дајте приоритет раној миграцији садржаја. Започните миграцију садржаја детекције одмах по доступности извора евиденције и обогаћивања потребних за сваки специфични случај употребе. Овај приступ заснован на подацима, усклађивање извора са случајевима коришћења, омогућава паралелне напоре миграције за оптималну ефикасност и резултате.
• Миграција садржаја за откривање је процес који води људи. Припремите се да поново направите садржај за откривање (правила, упозорења, контролне табле, модели итд.) (углавном) од нуле, користећи свој стари садржај као инспирацију. Данас не постоји метод за аутоматско претварање правила са једне СИЕМ платформе на другу. Док неки добављачи нуде преводиоце синтаксе, они генерално резултирају добром полазном тачком, а не савршено преведеним правилом, претрагом или контролном таблом. Требало би да узмете максимумtagе од ових алата, али признајте да они нису лек.
• Садржај за откривање долази из многих извора. Анализирајте своје потребе за покривеношћу детекције, а затим усвојите или креирајте случајеве употребе детекције по потреби. Ваш добављач СИЕМ-а ће вам обезбедити неки готов садржај који увек треба да искористите ако можете. Узмите у обзир и спремишта правила заједнице и добављаче садржаја за откривање трећих страна. Када је потребно, напишите сопствена правила и запамтите да већина правила, без обзира на њихово порекло, треба да буду подешена за специфично окружење ваше организације.
• Развијте реалистичан временски оквир миграције. Ово укључује обрачун преноса података, тестирања, подешавања, обуке и потенцијалних преклапања где ћете можда морати да покренете оба система паралелно. Добро дефинисан план миграције ће вам помоћи да идентификујете и ублажите ризике и обезбедите да се миграција успешно заврши. План треба да садржи детаљан временски оквир, листу задатака, ресурса и буџет. Схватите да велики пројекти као што је СИЕМ миграција морају бити подељени у фазе.
• Тестирање. Препоручујемо праксу тестирања вашег СИЕМ-а и садржаја детекције редовним убацивањем података који ће покренути ваша откривања, провером рашчлањивања и валидацијом тока података од детекције до случаја до одговора. СИЕМ миграција је савршено време за усвајање ригорозних инжењерски програм детекције што укључује овакво тестирање.
• Припремите се за прелазни период током којег ћете користити и старе и нове алате. Избегавајте ометајући приступ „исцепите и замените“. Фазна миграција, где мигрирате изворе евиденције и случајеве коришћења постепено помаже у контроли процеса и смањује ризик. Такође, размислите двапут о поновном уносу података са старог СИЕМ-а у нови. У неким случајевима, можда ћете имати могућност да оставите претходни СИЕМ да ради на дуже периоде да бисте омогућили приступ историјским подацима.
• Омогућите своје тимове. Ваша СИЕМ миграција неће успети ако ваши аналитичари не могу да користе нови систем. Добар план миграције ће укључивати дубоко омогућавање за ваше тимове. Размислите о обуци инжењера о увођењу и рашчлањивању података, обуци аналитичара о управљању случајевима/истрази/тријажи, ловцима на претње о откривању/претрази аномалија и инжењерима за откривање о писању правила. Тајминг је кључан за омогућавање. Најбоље је обучавати особље док се упуштају у одређене фазе миграције, а не обучавати пре него што ће те вештине бити потребне.
• Нађи помоћ! Ако имате среће (или можда несреће?) као практичар или вођа, можда ћете у својој каријери проћи кроз једну или две СИЕМ миграције. Зашто не потражите помоћ од специјалиста који су то радили десетине или стотине пута? Тимови професионалних услуга добављача и/или консултантски тимови квалификованих партнера за услуге су одличан избор. СИЕМ миграције су углавном напори усмерени на људе.

Кључни процес: Одаберите партнера за примену
Ниједна одлука неће имати већи утицај на крајњи успех СИЕМ миграције од избора партнера за имплементацију. СИЕМ платформе су велики, сложени системи предузећа. Не покушавајте сами; држите се партнера за распоређивање који је прошао кроз многе миграције.

Партнер за имплементацију може једноставно бити рука професионалних услуга новог СИЕМ добављача. Међутим, чешће је изабрати партнера треће стране за покретање миграције. Запамтите да је СИЕМ миграција подухват предвођен људима. Најбоље је изабрати партнера са сертификатима у новом СИЕМ-у и мноштвом референтних партнера. Такође помаже ако имају стручност у СИЕМ-у из којег прелазите. Осим референци, паметан начин да се утврди ниво искуства партнера са вашим новим СИЕМ-ом је да проверите форуме заједнице да видите да ли је тим био активан сарадник. По мишљењу аутора, високо ангажовано партнерско особље корелира са успешним миграцијама СИЕМ-а. Осим техничких битова и бајтова СИЕМ миграције, такође можете изабрати партнере који имају специфично искуство у вашој бранши, или у вашем окружењу усклађености, или у ваш регион, или сва три! Можете потражити језичке вештине и ресурсе у адванtagеоус временске зоне. Такође можете да тражите партнере који управљају вашим СИЕМ-ом уместо вас или који дају сличне резултате као добављач услуга контролисане безбедности који може делимично или у потпуности оутсоурцинг СИЕМ-а ваше организације.

Кључни процес: Документујте тренутну конфигурацију и случајеве употребе
Примене СИЕМ-а су обично експанзивне, са сталним растом обима и сложености током година коришћења. Припремите се за мало или никакву документацију. Очекујте да је особље које је извршило почетну конфигурацију и прилагођавање СИЕМ-а често одавно нестало. Темељно документовање конфигурације и могућности у раној фази процеса миграције може значити разлику између успеха и неуспеха.

• Документујте идентитет и управљање приступом које користи СИЕМ. Сигурно ћете морати да сачувате приступ подацима и функцијама заснован на улози. С друге стране, миграција је прилика за анализу и решавање ширења приступа који се природно јавља у већини организација. Такође можете гледати на процес миграције као на прилику за модернизацију метода аутентификације/ауторизације, укључујући повезивање идентитета са корпоративним стандардима и имплементацију вишефакторске аутентификације.
• Снимите имена типова података који се прикупљају. Имајте на уму да неки СИЕМ-ови називају ове називе „соурцетипе“ или „логтипе“. Снимите колико података сваког типа података тече користећи гигабајте/дан као метрику. Документујте цевовод података за сваки извор података (засновано на агентима, АПИ упит, web кука, ингестирање клауд бацкета, АПИ за унос, ХТТП слушалац, итд.), и ухвати конфигурацију СИЕМ-овог парсера заједно са свим прилагођавањима.
• Прикупите сачуване претраге, дефиниције контролне табле и правила откривања. Многи СИЕМ-ови такође имају трајне механизме складиштења података као што су табеле за тражење. Будите сигурни да разумете и документујете како се они попуњавају и користе.
• Направите инвентар интеграција са спољним системима. Многи СИЕМ-ови се интегришу са системима за управљање случајевима, релационим базама података, услугама обавештења (е-пошта, СМС, итд.) и платформама за обавештавање претњи.
• Снимите садржај одговора као што су приручници, шаблони за управљање случајевима и све активне интеграције које већ нису документоване.

Осим прикупљања ових важних техничких детаља, кључно је одвојити време за међусобну утакмицуview корисницима постојећег СИЕМ-а да разумеју своје токове рада. Питајте како користе СИЕМ, које стандардне оперативне процедуре се ослањају на СИЕМ. Такође је важно поставити широка питања као што су који тимови изван безбедности могу да користе СИЕМ. Фор екampДакле, није неуобичајено да се тимови за усклађеност или ИТ оперативно особље ослањају на СИЕМ. Ако не ухватите ове случајеве употребе, касније у процесу миграције може доћи до промашених очекивања.

Кључни процес: миграција извора евиденције
Миграција извора евиденције укључује премештање извора података са старог СИЕМ-а на нови СИЕМ. Овај процес зависи од документације тренутне конфигурације прикупљене у Процес: Документ тренутна конфигурација и употреба одељак.

Следећи кораци су обично укључени у процес миграције извора евиденције:

1. Откриће и инвентар: Први корак је откривање и инвентаризација свих извора евиденције које тренутно користи стари СИЕМ. Ово се може урадити коришћењем различитих метода, као што је реviewинг конфигурацију СИЕМ-а fileс или коришћењем АПИ-ја и сродних алата.
2. Одређивање приоритета: Када су извори дневника откривени и инвентарисани, потребно им је дати приоритет за миграцију. Ово се може урадити на основу бројних фактора, као што су аналитика коју води извор евиденције, обим података, критичност података, захтеви усклађености и сложеност процеса миграције.
3. Планирање миграције: Када се одреди приоритет за изворе дневника, мора се израдити план миграције.
4. Извршење миграције: Процес миграције се тада може извршити према плану. Ово може укључивати различите задатке, као што је конфигурисање фидова у новом СИЕМ-у, инсталирање агената, конфигурисање АПИ-ја итд.
5. Тестирање и валидација: Када се миграција заврши, важно је тестирати и потврдити да ли се подаци дневника правилно уносе. Искористите ово као прилику да конфигуришете упозорење за изворе података који су утихнули.
6. Документација: На крају, важно је документовати нову конфигурацију извора дневника.

Кључни процес: Детекција миграције и садржај одговора
Садржај откривања и одговора СИЕМ-а састоји се од правила, претрага, приручника, контролних табли и других конфигурација које дефинишу на шта ваша СИЕМ упозорења и како помажу аналитичарима да управљају тим упозорењима. Без правилно конфигурисаног садржаја, СИЕМ је само фенси начин претраживања. То је „скуп греп“ – термин који је колега аутора сковао пре неколико година. СИЕМ садржај игра кључну улогу у дефинисању покривености открића ваше организације.

• Правила детекције се користе за идентификацију безбедносних инцидената. Пишу их инжењери за откривање који имају дубоко знање о актерима безбедносних претњи и тактикама, техникама и процедурама (ТТП) које су им заједничке. Правила откривања траже обрасце који представљају ове ТТП-ове у подацима евиденције. Правила откривања често повезују различите изворе дневника заједно и користе податке обавештајних података о претњама.
• Приручници за одговоре се користе за аутоматизацију одговора на безбедносна упозорења. Они могу укључивати задатке као што су слање обавештења, изоловање угрожених хостова, обогаћивање упозорења контекстуалним подацима/обавештајним подацима о претњама и покретање скрипти за санацију.
• Контролне табле се користе за визуелизацију безбедносних података и праћење статуса безбедносних инцидената. Могу се користити за праћење целокупног безбедносног положаја организације и за идентификацију трендова и образаца.
• Развој новог садржаја детекције и одговора је итеративни процес. Важно је континуирано пратити СИЕМ и вршити прилагођавања садржаја по потреби. СИЕМ миграција је одлично време да побољшате своје процесе користећи приступе као што је детекција као код (ДаЦ).

Кључни процес: Обука и оспособљавање
Процес који се често занемарује током СИЕМ миграције је обука корисника. СИЕМ је можда најважнији појединачни алат који користи безбедносни оперативни тим. Њихова способност да га ефикасно и продуктивно користе играће велику улогу у успеху миграције и њиховој способности да заштите вашу организацију. Ослоните се на свог СИЕМ провајдера и партнера за примену да обезбеди садржај обуке и испоруку. Ево кратке листе тема на којима би ваши тимови требали бити омогућени.

• Дневник уноса и рашчлањивања фида
• Претрага / Истрага
• Управљање случајевима
• Израда правила
• Развој контролне табле
• Плаибоок / Аутоматион

Закључак

• На крају, миграција са застарелог СИЕМ-а на модерно решење је неизбежна. Иако изазови могу изгледати застрашујуће, добро планирана и извршена миграција може довести до значајних побољшања у откривању претњи, способностима реаговања и целокупном безбедносном положају.
• Пажљивим разматрањем избора новог СИЕМ-а, коришћењем предности архитектуре засноване на облаку, уградњом напредне интелигенције претњи и коришћењем функција вођених вештачком интелигенцијом, организације могу да оснаже своје безбедносне тимове да се проактивно бране од претњи које се стално развијају. Успешан процес миграције укључује пажљиво планирање, свеобухватну документацију, стратешки дневник извора и миграцију садржаја, темељно тестирање и свеобухватну обуку корисника.
• Партнерство са искусним стручњацима за примену може бити од непроцењиве вредности у навигацији кроз сложеност и обезбеђивању несметане транзиције. Са посвећеношћу сталном побољшању и фокусом на инжењеринг детекције, организације могу да искористе у потпуности
• потенцијал њиховог новог СИЕМ-а и ојачати њихову безбедносну одбрану у годинама које долазе.

Додатно читање

• Документ „Како Гоогле СецОпс може помоћи да повећате свој СИЕМ стацк“.
• „Будућност СПЦ: еволуција или оптимизација — изаберите свој пут“ папир
• Блог заједнице Гоогле Цлоуд Сецурити
• Детецтион Енгинееринг Веекли Невслеттер
• детектовати.фии – Савети усредсређени на практичаре о инжењерингу детекције
• Почетак рада са Детецтион-ас-Цоде и Гоогле безбедносним операцијама – Давид Френцх (Први део, део други)
• Имплементација модерног процеса детекције инжењеринга – Дан Луссиер (Први део, део други, трећи део)

За више информација посетите цлоуд.гоогле.цом

ФАК

П: Која је сврха Великог водича за СИЕМ миграцију?
О: Водич има за циљ да помогне организацијама да пређу са застарелих СИЕМ решења на новије, ефикасније опције за откривање претњи и одговор.

П: Како могу имати користи од СИЕМ-а који је настао у облаку?
О: СИЕМ изворни у облаку пружају скалабилност, економичност и ефективну сигурност за радна оптерећења у облаку због своје архитектуре и могућности.