Bagikan melalui

Merencanakan migrasi Amda ke Microsoft Azure Sentinel

  • Artikel

Tim pusat operasi keamanan (SOC) menggunakan solusi Security Information and Event Management (SIEM) dan orkestrasi keamanan, otomatisasi, dan respons (SOAR) untuk melindungi estate digitalnya yang semakin terdesentralisasi. Meskipun SIEM warisan dapat mempertahankan cakupan aset lokal yang baik, arsitektur lokal mungkin memiliki cakupan yang tidak memadai untuk aset cloud, seperti di Azure, Microsoft 365, AWS, atau Google Cloud Platform (GCP). Sebaliknya, Microsoft Sentinel dapat menyerap data dari aset lokal dan cloud, memastikan cakupan atas seluruh estate.

Artikel ini membahas alasan migrasi dari SIEM warisan, dan menjelaskan cara merencanakan berbagai fase migrasi Anda.

Langkah migrasi

Dalam panduan ini, Anda mempelajari cara memigrasikan SIEM warisan Anda ke Microsoft Sentinel. Ikuti proses migrasi Anda melalui rangkaian artikel ini, di mana Anda akan mempelajari cara menavigasi langkah-langkah yang berbeda dalam prosesnya.

Catatan

Untuk proses migrasi terpandu, bergabunglah dengan Program Migrasi dan Modernisasi Microsoft Sentinel. Program ini memungkinkan Anda menyederhanakan dan mempercepat migrasi, termasuk panduan praktik terbaik, sumber daya, dan bantuan ahli di setiap tahap. Untuk mempelajari lebih lanjut, hubungi tim akun Anda.

Langkah Artikel
Rencanakan migrasi Anda Anda di sini
Melacak migrasi dengan buku kerja Melacak migrasi Microsoft Azure Sentinel Anda dengan buku kerja
Menggunakan pengalaman Migrasi SIEM Migrasi SIEM (Pratinjau)
Melakukan migrasi dari ArcSight Memigrasikan aturan deteksi
Memigrasikan otomatisasi SOAR
Mengekspor data historis
Melakukan migrasi dari Splunk Memigrasikan aturan deteksi
Memigrasikan otomatisasi SOAR
Mengekspor data historis

Jika Anda ingin memigrasikan penyebaran Splunk Observability Anda, pelajari selengkapnya tentang cara bermigrasi dari Splunk ke Log Azure Monitor.
Melakukan migrasi dari QRadar Memigrasikan aturan deteksi
Memigrasikan otomatisasi SOAR
Mengekspor data historis
Menyerap data historis Pilih platform Azure target untuk meng-hosting data historis yang diekspor
Pilih alat penyerapan data
Menyerap data historis ke platform target Anda
Mengonversi dasbor ke buku kerja Mengonversi dasbor ke Azure Workbooks
Memperbarui proses SOC Memperbarui proses SOC

Apa itu Microsoft Sentinel?

Microsoft Sentinel adalah informasi keamanan dan manajemen peristiwa (SIEM) yang scalable dan cloud-native serta solusi orkestrasi keamanan, otomatisasi, dan respons (SOAR). Microsoft Sentinel memberikan analisis keamanan cerdas dan intelijensi ancaman di seluruh perusahaan. Microsoft Azure Sentinel menyediakan satu solusi untuk deteksi ancaman, visibilitas ancaman, perburuan proaktif, dan respons ancaman. Pelajari selengkapnya tentang Microsoft Sentinel.

Mengapa bermigrasi dari SIEM lama?

Tim SOC menghadapi serangkaian tantangan saat mengelola SIEM warisan:

  • Respons lambat terhadap ancaman. SIEM lama menggunakan aturan korelasi, yang sulit dipertahankan dan tidak efektif untuk mengidentifikasi ancaman yang muncul. Selain itu, analis SOC dihadapkan dengan sejumlah besar positif palsu, banyak peringatan dari berbagai komponen keamanan, dan volume log yang semakin tinggi. Menganalisis data ini memperlambat tim SOC dalam upaya mereka merespons ancaman penting di lingkungan.
  • Menskalakan tantangan. Seiring dengan meningkatnya tingkat penyerapan data, tim SOC ditantang untuk menskalakan SIEM mereka. Alih-alih berfokus pada melindungi organisasi, tim SOC harus berinvestasi dalam penyiapan dan pemeliharaan infrastruktur, dan terikat oleh batas penyimpanan atau kueri.
  • Analisis dan respons manual. Tim SOC membutuhkan analis yang sangat terampil untuk memproses pemberitahuan dalam jumlah besar secara manual. Tim SOC terlalu banyak bekerja dan analis baru sulit ditemukan.
  • Manajemen yang kompleks dan tidak efisien. Tim SOC biasanya mengawasi orkestrasi dan infrastruktur, mengelola koneksi antara SIEM dan berbagai sumber data, dan melakukan pembaruan dan patch. Tugas-tugas ini sering mengorbankan triase dan analisis penting.

SIEM cloud-native mengatasi tantangan ini. Microsoft Azure Sentinel mengumpulkan data secara otomatis dan dalam skala besar, mendeteksi ancaman yang tidak diketahui, menyelidiki ancaman dengan kecerdasan buatan, dan merespons insiden dengan cepat dengan otomatisasi bawaan.

Rencanakan migrasi Anda

Selama fase perencanaan, Anda mengidentifikasi komponen SIEM yang ada, proses SOC yang ada, dan Anda merancang dan merencanakan kasus penggunaan baru. Perencanaan menyeluruh memungkinkan Anda mempertahankan perlindungan untuk aset berbasis cloud Anda—Microsoft Azure, AWS, atau GCP—dan solusi SaaS Anda, seperti Microsoft Office 365.

Diagram ini menjelaskan fase tingkat tinggi yang disertakan oleh migrasi umum. Setiap fase mencakup tujuan yang jelas, aktivitas utama, dan hasil serta hasil kerja yang ditentukan.

Fase dalam diagram ini adalah pedoman tentang cara menyelesaikan prosedur migrasi umum. Migrasi aktual mungkin tidak menyertakan beberapa fase atau mungkin mencakup lebih banyak fase. Daripada meninjau serangkaian fase lengkap, artikel dalam panduan ini meninjau tugas dan langkah-langkah tertentu yang sangat penting untuk migrasi Microsoft Azure Sentinel.

Diagram of the Microsoft Sentinel migration phases.

Pertimbangan

Tinjau pertimbangan utama ini untuk setiap fase.

Fase Pertimbangan
Temukan Identifikasi kasus penggunaan dan prioritas migrasi sebagai bagian dari fase ini.
Rancang Tentukan desain dan arsitektur terperinci untuk implementasi Microsoft Azure Sentinel Anda. Anda akan menggunakan informasi ini untuk mendapatkan persetujuan dari pemangku kepentingan yang relevan sebelum memulai fase implementasi.
Menerapkan Saat Anda menerapkan komponen Microsoft Azure Sentinel sesuai dengan fase desain, dan sebelum mengonversi seluruh infrastruktur, pertimbangkan apakah Anda dapat menggunakan konten siap pakai Microsoft Azure Sentinel alih-alih memigrasikan semua komponen. Anda dapat mulai menggunakan Microsoft Azure Sentinel secara bertahap, dimulai dengan produk layak minimum (MVP) untuk beberapa kasus penggunaan. Saat menambahkan lebih banyak kasus penggunaan, Anda dapat menggunakan instans Microsoft Sentinel ini sebagai lingkungan pengujian penerimaan pengguna (UAT) untuk memvalidasi kasus penggunaan.
Mengoperasionalkan Anda memigrasikan konten dan proses SOC untuk memastikan bahwa pengalaman analis yang ada tidak terganggu.

Mengidentifikasi prioritas migrasi Anda

Gunakan pertanyaan-pertanyaan ini untuk menyematkan prioritas migrasi Anda:

  • Apa saja komponen, sistem, aplikasi, dan data infrastruktur paling penting dalam bisnis Anda?
  • Siapa apakah pemangku kepentingan Anda dalam migrasi? Migrasi SIEM kemungkinan akan menyentuh banyak bidang bisnis Anda.
  • Apa yang mendorong prioritas Anda? Misalnya, risiko bisnis terbesar, persyaratan kepatuhan, prioritas bisnis, dan sebagainya.
  • Apa skala migrasi dan garis waktu Anda? Faktor apa yang memengaruhi tanggal dan tenggat waktu Anda. Apakah Anda memigrasikan seluruh sistem lama?
  • Apakah Anda memiliki keterampilan yang Anda butuhkan? Apakah staf keamanan Anda terlatih dan siap untuk migrasi?
  • Apakah ada pemblokir tertentu di organisasi Anda? Apakah ada masalah yang memengaruhi perencanaan dan penjadwalan migrasi? Misalnya, masalah seperti persyaratan kepegawaian dan pelatihan, tanggal lisensi, hard stop, kebutuhan bisnis tertentu, dan sebagainya.

Sebelum Memulai migrasi, identifikasi kasus penggunaan utama, aturan deteksi, data, dan automasi di SIEM Anda saat ini. Dekati migrasi Anda sebagai proses bertahap. Berhati-hatilah dan pikirkan tentang apa yang Anda migrasikan terlebih dahulu, apa yang Anda tidak terlalu prioritaskan, dan apa yang sebenarnya tidak perlu dimigrasikan. Tim Anda mungkin memiliki jumlah deteksi dan kasus penggunaan yang luar biasa yang berjalan di SIEM Anda saat ini. Sebelum memulai migrasi, putuskan mana yang berguna secara aktif untuk bisnis Anda.

Mengidentifikasi kasus penggunaan

Saat merencanakan fase penemuan, gunakan panduan berikut untuk mengidentifikasi kasus penggunaan Anda.

  • Identifikasi dan analisis kasus penggunaan Anda saat ini dengan ancaman, sistem operasi, produk, dan sebagainya.
  • Apa ruang lingkupnya? Apakah Anda ingin memigrasikan semua kasus penggunaan, atau menggunakan beberapa kriteria prioritas?
  • Identifikasi aset keamanan mana yang paling penting untuk migrasi Anda.
  • Kasus penggunaan apa yang efektif? Tempat awal yang baik adalah melihat deteksi mana yang telah menghasilkan hasil dalam setahun terakhir (positif palsu versus tingkat positif).
  • Apa saja prioritas bisnis yang memengaruhi migrasi kasus penggunaan? Apa risiko terbesar bagi bisnis Anda? Jenis masalah apa yang paling membahayakan bisnis Anda?
  • Prioritaskan berdasarkan karakteristik kasus penggunaan.
    • Pertimbangkan untuk menetapkan prioritas yang lebih rendah dan lebih tinggi. Kami menyarankan agar Anda fokus pada deteksi yang akan memberlakukan 90 persen positif sejati pada umpan pemberitahuan. Kasus penggunaan yang menyebabkan tingkat positif palsu yang tinggi mungkin menjadi prioritas yang lebih rendah untuk bisnis Anda.
    • Pilih kasus penggunaan yang membenarkan migrasi aturan dalam hal prioritas dan kemanjuran bisnis:
      • Tinjau aturan yang belum memicu pemberitahuan apa pun dalam 6 hingga 12 bulan terakhir.
      • Hilangkan ancaman atau peringatan tingkat rendah yang secara rutin Anda abaikan.
  • Siapkan proses validasi. Tentukan skenario pengujian dan buat skrip pengujian.
  • Dapatkah Anda menerapkan metodologi untuk memprioritaskan kasus penggunaan? Anda dapat mengikuti metodologi seperti MoSCoW untuk memprioritaskan serangkaian kasus penggunaan yang lebih ramping untuk migrasi.

Langkah berikutnya

Dalam artikel ini, Anda mempelajari cara merencanakan dan mempersiapkan migrasi Anda.

Melacak migrasi dengan buku kerja