Megosztás a következőn keresztül:

A Microsoft Sentinel üzembe helyezése egymás mellett egy meglévő SIEM-ben

  • Cikk

A biztonsági üzemeltetési központ (SOC) csapata központosított biztonsági információkat és eseménykezelést (SIEM) és biztonsági vezénylési, automatizálási és válaszmegoldásokat (SOAR) használ az egyre decentralizáltabb digitális tulajdon védelme érdekében.

Ez a cikk azt ismerteti, hogyan helyezheti üzembe a Microsoft Sentinelt egymás melletti konfigurációban a meglévő SIEM-sel együtt.

Egymás melletti megközelítés és módszer kiválasztása

A szervezet SIEM-igényeitől függően használjon egy egymás melletti architektúrát rövid távú, átmeneti fázisként, amely egy teljesen felhőben üzemeltetett SIEM-hez vezet, vagy közép- és hosszú távú üzemeltetési modellként.

Bár az ajánlott architektúra például egy egymás melletti architektúra használata, amely elég hosszú a Microsoft Sentinelbe való migrálás befejezéséhez, előfordulhat, hogy a szervezet hosszabb ideig szeretné tartani az egymás melletti konfigurációt, például ha nem áll készen arra, hogy távolodjon az örökölt SIEM-től. A hosszú távú, egymás mellett konfigurálást használó szervezetek általában a Microsoft Sentinel használatával elemzik csak a felhőbeli adataikat.

Vegye figyelembe az egyes megközelítések előnyeit és hátrányait, amikor eldönti, melyiket használja.

Megjegyzés:

Számos szervezet költség és összetettség miatt nem futtat több helyszíni elemzési megoldást.

A Microsoft Sentinel használatalapú díjszabást és rugalmas infrastruktúrát biztosít, így az SOC-csapatoknak időt kell biztosítani a változáshoz való alkalmazkodásra. A tartalom üzembe helyezése és tesztelése a szervezet számára legjobban megfelelő ütemben, valamint a Microsoft Sentinelbe való teljes migrálás megismerése.

Rövid távú megközelítés

Előnyök Hátrányok
• A SOC munkatársainak időt ad arra, hogy a számítási feladatok és elemzések üzembe helyezése során alkalmazkodjanak az új folyamatokhoz.

• Mély korrelációt biztosít a vadászati forgatókönyvek összes adatforrásában.

• Nem kell elemzéseket végeznie az SIEM-ek között, továbbítási szabályokat kell létrehoznia, és két helyen kell lezárnia a vizsgálatokat.

• Lehetővé teszi az SOC-csapat számára, hogy gyorsan visszaminősíthesse az örökölt SIEM-megoldásokat, ezáltal kiküszöbölve az infrastruktúrát és a licencelési költségeket.		 • Meredek tanulási görbét igényelhet az SOC-munkatársak számára.

Közép- és hosszú távú megközelítés

Előnyök Hátrányok
• Lehetővé teszi a Microsoft Sentinel főbb előnyeit, például az AI, az ML és a vizsgálati képességek használatát anélkül, hogy teljesen eltávolodhat az örökölt SIEM-től.

• Pénzt takarít meg az örökölt SIEM-hez képest a Felhő- vagy Microsoft-adatok Microsoft Sentinelben való elemzésével.		 • Az elemzések különböző adatbázisok közötti elkülönítésével növeli az összetettség növelését.

• Felosztja a többkörnyezetes incidensek esetkezelését és vizsgálatát.

• Nagyobb személyi és infrastrukturális költségekkel jár.

• Megköveteli, hogy a SOC személyzete két különböző SIEM-megoldás ismerete legyen.

Küldjön riasztásokat vagy rendellenes tevékenységjelzőket az örökölt SIEM-ből a Microsoft Sentinelnek.

  • Felhőadatok betöltése és elemzése a Microsoft Sentinelben
  • Az örökölt SIEM használatával elemezheti a helyszíni adatokat, és riasztásokat hozhat létre.
  • A helyszíni SIEM riasztásainak továbbítása a Microsoft Sentinelbe egyetlen felület létrehozásához.

Továbbíthat például riasztásokat a Logstash, API-k vagy Syslog használatával, és JSON formátumban tárolhatja őket a Microsoft Sentinel Log Analytics-munkaterületen.

Az örökölt SIEM-ből a Microsoft Sentinelbe küldött riasztások segítségével csapata összevetheti és kivizsgálhatja ezeket a riasztásokat a Microsoft Sentinelben. A csapat szükség esetén továbbra is hozzáfér az örökölt SIEM-hez a mélyebb vizsgálat érdekében. Eközben az adatforrások hosszabb átmeneti időszakon keresztül is üzembe helyezhetők.

Ez az ajánlott, egymás melletti üzembe helyezési módszer teljes körű értéket biztosít a Microsoft Sentineltől, és lehetővé teszi az adatforrások a szervezet számára megfelelő ütemben történő üzembe helyezését. Ez a megközelítés elkerüli az adattárolási és betöltési költségek duplikálását az adatforrások áthelyezése közben.

For more information, see:

Ha teljes körű migrálást szeretne végezni a Microsoft Sentinelbe, tekintse át a teljes migrálási útmutatót.

Riasztások és bővített incidensek küldése a Microsoft Sentinelből egy örökölt SIEM-be

Elemezzen néhány adatot a Microsoft Sentinelben, például a felhőbeli adatokat, majd küldje el a létrehozott riasztásokat egy örökölt SIEM-nek. Az örökölt SIEM-et egyetlen kezelőfelületként használhatja a Microsoft Sentinel által létrehozott riasztásokkal való keresztkorrelációhoz. Továbbra is használhatja a Microsoft Sentinelt a Microsoft Sentinel által létrehozott riasztások részletesebb vizsgálatához.

Ez a konfiguráció költséghatékony, mivel a felhőbeli adatelemzést a Microsoft Sentinelbe helyezheti át anélkül, hogy duplikálja a költségeket, vagy kétszer fizetne az adatokért. Továbbra is szabadon migrálhat a saját tempójában. Mivel továbbra is áttér az adatforrásokra és az észlelésekre a Microsoft Sentinelre, egyszerűbbé válik a Microsoft Sentinelre való migrálás elsődleges felületként. A bővített incidensek örökölt SIEM-hez való továbbítása azonban korlátozza a Microsoft Sentinel vizsgálati, keresési és automatizálási képességeiből származó értéket.

For more information, see:

Egyéb módszerek

Az alábbi táblázat azokat az egymás melletti konfigurációkat ismerteti, amelyek nem ajánlottak, és részletesen ismertetik, hogy miért:

Metódus Leírás
Microsoft Sentinel-naplók küldése az örökölt SIEM-be Ezzel a módszerrel továbbra is tapasztalhatja a helyszíni SIEM költségeit és skálázási kihívásait.

A Microsoft Sentinelben történő adatbetöltésért és az örökölt SIEM tárolási költségeiért fizetnie kell, és nem használhatja ki a Microsoft Sentinel SIEM- és SOAR-észlelési, elemzési, felhasználói entitás viselkedéselemzési (UEBA), AI- vagy vizsgálati és automatizálási eszközeit.
Naplók küldése régi SIEM-ből a Microsoft Sentinelnek Bár ez a módszer a Microsoft Sentinel teljes funkcionalitását biztosítja, a szervezet továbbra is fizet két különböző adatbetöltési forrásért. Az architekturális összetettség hozzáadása mellett ez a modell magasabb költségeket is eredményezhet.
A Microsoft Sentinel és az örökölt SIEM használata két teljesen különálló megoldásként A Microsoft Sentinel használatával elemezhet bizonyos adatforrásokat, például a felhőbeli adatokat, és továbbra is használhatja a helyszíni SIEM-et más forrásokhoz. Ez a beállítás egyértelmű határokat biztosít arra vonatkozóan, hogy mikor érdemes használni az egyes megoldásokat, és elkerülheti a költségek duplikálását.

A kereszt-korreláció azonban nehézkessé válik, és nem lehet teljesen diagnosztizálni a két adatforrást keresztező támadásokat. A mai környezetben, ahol a fenyegetések gyakran oldalirányban mozognak egy szervezeten belül, az ilyen láthatósági hiányosságok jelentős biztonsági kockázatot jelenthetnek.

Automatizálás használata a folyamatok egyszerűsítéséhez

Automatizált munkafolyamatok használatával csoportosíthatja és rangsorolhatja a riasztásokat egy gyakori incidensbe, és módosíthatja annak prioritását.

For more information, see:

További lépések

Fedezze fel a Microsoft Microsoft Sentinel-erőforrásait, hogy bővítse készségeit, és a lehető legtöbbet hozhassa ki a Microsoft Sentinelből.

Fontolja meg a veszélyforrások elleni védelem növelését a Microsoft Sentinel és a Microsoft Defender XDRés Felhőhöz készült Microsoft Defender használatával az integrált veszélyforrások elleni védelem érdekében. Kihasználhatja a Microsoft Sentinel által nyújtott láthatóságot, miközben részletesebben is megismerkedik a fenyegetéselemzéssel.

For more information, see: