Sebarkan Microsoft Sentinel secara berdampingan ke SIEM yang ada
Tim pusat operasi keamanan (SOC) Anda menggunakan informasi keamanan terpusat dan manajemen peristiwa (SIEM) dan solusi orkestrasi keamanan, otomatisasi, dan respons (SOAR) untuk melindungi wilayah digital Anda yang semakin terdesentralisasi.
Artikel ini menjelaskan cara menggunakan Microsoft Sentinel dalam konfigurasi berdampingan bersama dengan SIEM Anda yang sudah ada.
Pilih metode dan pendekatan berdampingan
Gunakan arsitektur berdampingan baik sebagai fase transisi jangka pendek yang mengarah ke SIEM yang sepenuhnya dihosting cloud, atau sebagai model operasional jangka menengah hingga panjang, tergantung pada kebutuhan SIEM organisasi Anda.
Misalnya, meskipun arsitektur yang disarankan adalah menggunakan arsitektur berdampingan cukup lama untuk menyelesaikan migrasi ke Microsoft Sentinel, organisasi Anda mungkin ingin tetap menggunakan konfigurasi berdampingan lebih lama, seperti jika Anda tidak siap untuk pindah dari SIEM warisan Anda. Biasanya, organisasi yang menggunakan konfigurasi jangka panjang berdampingan menggunakan Microsoft Sentinel hanya untuk menganalisis data cloud mereka.
Pertimbangkan pro dan kontra untuk setiap pendekatan saat memutuskan mana yang akan digunakan.
Catatan
Banyak organisasi menghindari menjalankan beberapa solusi analisis lokal karena biaya dan kompleksitas.
Microsoft Sentinel memberikan harga bayar sesuai penggunaan dan infrastruktur fleksibel, memberikan waktu kepada tim SOC untuk beradaptasi terhadap perubahan. Sebarkan dan uji konten Anda dengan kecepatan yang paling sesuai untuk organisasi Anda, dan pelajari tentang cara bermigrasi sepenuhnya ke Microsoft Sentinel.
Pendekatan jangka pendek
| Pro | Kontra |
|---|---|
| • Memberi staf SOC waktu untuk beradaptasi dengan proses baru saat Anda menyebarkan beban kerja dan analitik. • Mendapatkan korelasi mendalam di semua sumber data untuk skenario berburu. • Menghilangkan analisis yang harus dilakukan antara SIEM, membuat aturan penerusan, dan menutup investigasi di dua tempat. • Memungkinkan tim SOC Anda untuk menurunkan versi solusi SIEM lama dengan cepat, menghilangkan biaya infrastruktur dan lisensi. |
• Dapat membutuhkan kurva belajar yang lama untuk staf SOC. |
Pendekatan jangka menengah hingga sedang
| Pro | Kontra |
|---|---|
| • Memungkinkan Anda menggunakan manfaat utama Microsoft Sentinel, seperti AI, ML, dan kemampuan investigasi, tanpa meninggalkan SIEM warisan Anda sepenuhnya. • Menghemat uang dibandingkan dengan SIEM warisan Anda, dengan menganalisis data cloud atau Microsoft di Microsoft Sentinel. |
• Meningkatkan kompleksitas dengan memisahkan analitik di berbagai database. • Membagi manajemen kasus dan investigasi untuk insiden multi-lingkungan. • Menimbulkan biaya staf dan infrastruktur yang lebih besar. • Membutuhkan staf SOC untuk memiliki pengetahuan tentang dua solusi SIEM yang berbeda. |
Mengirim peringatan dari SIEM warisan ke Microsoft Sentinel (Direkomendasikan)
Kirim peringatan, atau indikator aktivitas anomali, dari SIEM warisan Anda ke Microsoft Sentinel.
- Menyerap dan menganalisis data cloud di Microsoft Sentinel
- Gunakan SIEM lama Anda untuk menganalisis data lokal dan membuat peringatan.
- Teruskan peringatan dari SIEM lokal Anda ke Microsoft Sentinel untuk membuat antarmuka tunggal.
Misalnya, teruskan peringatan menggunakan Logstash, API, atau Syslog, dan simpan dalam format JSON di ruang kerja Log Analytics Microsoft Sentinel.
Dengan mengirimkan peringatan dari SIEM warisan Anda ke Microsoft Sentinel, tim Anda dapat mengorelasikan silang dan menyelidiki peringatan tersebut di Microsoft Sentinel. Tim masih dapat mengakses SIEM warisan untuk investigasi yang lebih dalam jika diperlukan. Sementara itu, Anda dapat terus menyebarkan sumber data selama periode transisi yang diperpanjang.
Metode penerapan berdampingan yang direkomendasikan ini memberi Anda nilai penuh dari Microsoft Sentinel dan kemampuan untuk menyebarkan sumber data dengan kecepatan yang tepat untuk organisasi Anda. Pendekatan ini menghindari duplikasi biaya untuk penyerapan dan penyimpanan data saat Anda memindahkan sumber data Anda.
Untuk informasi selengkapnya, lihat:
- Memigrasikan pelanggaran QRadar ke Microsoft Sentinel
- Mengekspor data dari Splunk ke Microsoft Sentinel.
Jika Anda ingin sepenuhnya bermigrasi ke Microsoft Sentinel, tinjau panduan migrasi lengkap.
Mengirim peringatan dan insiden yang diperkaya dari Microsoft Sentinel ke SIEM warisan
Analisis beberapa data di Microsoft Sentinel, seperti data cloud, lalu kirimkan peringatan yang dihasilkan ke SIEM warisan. Gunakan SIEM warisan sebagai antarmuka tunggal Anda untuk melakukan korelasi silang dengan peringatan yang dihasilkan Microsoft Sentinel. Anda masih dapat menggunakan Microsoft Sentinel untuk investigasi yang lebih dalam dari peringatan yang dibuat Microsoft Sentinel.
Konfigurasi ini hemat biaya, karena Anda dapat memindahkan analisis data cloud Anda ke Microsoft Sentinel tanpa menduplikasi biaya atau membayar data dua kali. Anda masih memiliki kebebasan untuk bermigrasi dengan kecepatan Anda sendiri. Saat Anda terus mengalihkan deteksi dan sumber data ke Microsoft Sentinel, menjadi lebih mudah untuk bermigrasi ke Microsoft Sentinel sebagai antarmuka utama Anda. Namun, cukup meneruskan insiden yang diperkaya ke SIEM warisan akan membatasi nilai yang Anda dapatkan dari kemampuan investigasi, berburu, dan otomatisasi Microsoft Sentinel.
Untuk informasi selengkapnya, lihat:
- Mengirimkan peringatan Microsoft Sentinel yang diperkaya ke SIEM warisan Anda
- Mengirimkan peringatan Microsoft Sentinel yang diperkaya ke IBM QRadar
- Menyerap peringatan Microsoft Sentinel ke Splunk
Metode lain
Tabel berikut menjelaskan konfigurasi berdampingan yang tidak direkomendasikan, dengan detail alasan:
| Metode | Deskripsi |
|---|---|
| Mengirimkan log Microsoft Sentinel ke SIEM warisan Anda | Dengan metode ini, Anda akan terus mengalami tantangan biaya dan skala SIEM lokal Anda. Anda akan membayar untuk penyerapan data di Microsoft Sentinel, bersama dengan biaya penyimpanan di SIEM warisan Anda, dan Anda tidak dapat memanfaatkan deteksi SIEM dan SOAR, analitik, Analitik Perilaku Entitas Pengguna (UEBA), AI, atau alat investigasi dan otomatisasi Microsoft Sentinel. |
| Mengirim log dari SIEM warisan ke Microsoft Sentinel | Meskipun metode ini memberi Anda fungsionalitas penuh dari Microsoft Sentinel, organisasi Anda masih membayar dua sumber penyerapan data yang berbeda. Selain menambah kompleksitas arsitektur, model ini dapat menghasilkan biaya yang lebih tinggi. |
| Menggunakan Microsoft Sentinel dan SIEM warisan Anda sebagai dua solusi yang sepenuhnya terpisah | Anda dapat menggunakan Microsoft Sentinel untuk menganalisis beberapa sumber data, seperti data cloud Anda, dan terus menggunakan SIEM lokal Anda untuk sumber lain. Pengaturan ini memungkinkan batas-batas yang jelas kapan harus menggunakan setiap solusi, dan menghindari duplikasi biaya. Namun, korelasi silang menjadi sulit, dan Anda tidak dapat sepenuhnya mendiagnosis serangan yang melintasi kedua set sumber data. Dalam lanskap saat ini, di mana ancaman sering bergerak lateral di seluruh organisasi, kesenjangan visibilitas seperti itu dapat menimbulkan risiko keamanan yang signifikan. |
Gunakan automasi untuk merampingkan proses
Gunakan alur kerja otomatis untuk mengelompokkan dan memprioritaskan pemberitahukan ke dalam insiden umum, dan ubah prioritasnya.
Untuk informasi selengkapnya, lihat:
- Security Orchestration, Automation, and Response (SOAR) di Microsoft Sentinel.
- Mengotomatiskan respons ancaman dengan playbook di Microsoft Sentinel
- Mengotomatiskan penanganan insiden di Microsoft Sentinel dengan aturan automasi
Langkah berikutnya
Jelajahi sumber daya Microsoft Sentinel untuk memperluas keterampilan Anda dan mendapatkan hasil maksimal dari Microsoft Sentinel.
Pertimbangkan juga untuk meningkatkan perlindungan ancaman Anda dengan menggunakan Microsoft Sentinel bersama Pertahanan Microsoft XDR dan Microsoft Defender untuk Cloud untuk perlindungan ancaman terintegrasi. Manfaatkan luasnya visibilitas yang diberikan Microsoft Sentinel, sambil lebih memahami analisis ancaman terperinci.
Untuk informasi selengkapnya, lihat:
- Praktik terbaik migrasi aturan
- Webinar: Praktik Terbaik untuk Mengonversi Aturan Deteksi
- Security Orchestration, Automation, and Response (SOAR) di Microsoft Sentinel
- Mengelola SOC Anda dengan lebih baik dengan metrik insiden
- Jalur pembelajaran Microsoft Sentinel
- Sertifikat SC-200 Microsoft Security Operations Analyst
- Pelatihan Microsoft Sentinel Ninja
- Menyelidiki serangan pada lingkungan hibrid dengan Microsoft Sentinel