Share via

Microsoft Sentinel naast elkaar implementeren in een bestaande SIEM

  • Artikel

Uw SOC-team (Security Operations Center) maakt gebruik van gecentraliseerde SIEM-oplossingen (Security Information and Event Management) en SOAR-oplossingen (Security Orchestration, Automation and Response) om uw steeds gedecentraliseerde digitale activa te beschermen.

In dit artikel wordt beschreven hoe u Microsoft Sentinel implementeert in een configuratie naast elkaar, samen met uw bestaande SIEM.

Een benadering en methode naast elkaar selecteren

Gebruik een side-by-side architectuur als een korte, overgangsfase die leidt tot een volledig in de cloud gehoste SIEM of als een operationeel model op middellange tot lange termijn, afhankelijk van de SIEM-behoeften van uw organisatie.

Hoewel de aanbevolen architectuur bijvoorbeeld een side-by-side-architectuur net genoeg gebruikt om een migratie naar Microsoft Sentinel te voltooien, wilt uw organisatie mogelijk langer bij uw side-by-side-configuratie blijven, bijvoorbeeld als u niet klaar bent om weg te gaan van uw verouderde SIEM. Organisaties die een configuratie op lange termijn gebruiken, maken doorgaans gebruik van Microsoft Sentinel om alleen hun cloudgegevens te analyseren.

Houd rekening met de voor- en nadelen voor elke benadering bij het bepalen welke methode u wilt gebruiken.

Notitie

Veel organisaties vermijden het uitvoeren van meerdere on-premises analyseoplossingen vanwege kosten en complexiteit.

Microsoft Sentinel biedt prijzen voor betalen per gebruik en flexibele infrastructuur, waardoor SOC-teams tijd hebben om zich aan de wijziging aan te passen. Implementeer en test uw inhoud in een tempo dat het beste werkt voor uw organisatie en leer hoe u volledig kunt migreren naar Microsoft Sentinel.

Benadering op korte termijn

Voordelen Nadelen
• Geeft SOC-medewerkers tijd om zich aan nieuwe processen aan te passen tijdens het implementeren van workloads en analyses.

• Verkrijgt een diepgaande correlatie tussen alle gegevensbronnen voor opsporingsscenario's.

• Elimineert het uitvoeren van analyses tussen SIEM's, het maken van doorstuurregels en het sluiten van onderzoeken op twee plaatsen.

• Stelt uw SOC-team in staat om verouderde SIEM-oplossingen snel te downgraden, waardoor infrastructuur- en licentiekosten worden geëlimineerd.		 • Kan een steile leercurve vereisen voor SOC-medewerkers.

Benadering op middellange tot lange termijn

Voordelen Nadelen
• Hiermee kunt u de belangrijkste voordelen van Microsoft Sentinel gebruiken, zoals AI, ML en onderzoeksmogelijkheden, zonder dat u volledig van uw verouderde SIEM hoeft af te stappen.

• Bespaart geld in vergelijking met uw verouderde SIEM door cloud- of Microsoft-gegevens in Microsoft Sentinel te analyseren.		 • Verhoogt de complexiteit door analyses in verschillende databases te scheiden.

• Splitst casebeheer en onderzoeken voor incidenten met meerdere omgevingen.

• Er worden meer personeel en infrastructuurkosten in rekening gebracht.

• Vereist dat SOC-medewerkers op de hoogte zijn van twee verschillende SIEM-oplossingen.

Waarschuwingen of indicatoren van afwijkende activiteiten verzenden van uw oude SIEM naar Microsoft Sentinel.

  • Cloudgegevens opnemen en analyseren in Microsoft Sentinel
  • Gebruik uw verouderde SIEM om on-premises gegevens te analyseren en waarschuwingen te genereren.
  • Stuur de waarschuwingen van uw on-premises SIEM door naar Microsoft Sentinel om één interface tot stand te brengen.

Stuur bijvoorbeeld waarschuwingen door met behulp van Logstash, API's of Syslog en sla ze op in JSON-indeling in uw Microsoft Sentinel Log Analytics-werkruimte.

Door waarschuwingen van uw verouderde SIEM naar Microsoft Sentinel te verzenden, kan uw team deze waarschuwingen kruislings correleren en onderzoeken in Microsoft Sentinel. Het team heeft zo nodig nog steeds toegang tot de verouderde SIEM voor dieper onderzoek. Ondertussen kunt u doorgaan met het implementeren van gegevensbronnen gedurende een langere overgangsperiode.

Deze aanbevolen implementatiemethode naast elkaar biedt u volledige waarde van Microsoft Sentinel en de mogelijkheid om gegevensbronnen te implementeren in het tempo dat geschikt is voor uw organisatie. Deze aanpak voorkomt het dupliceren van kosten voor gegevensopslag en -opname terwijl u uw gegevensbronnen verplaatst.

Zie voor meer informatie:

Als u volledig wilt migreren naar Microsoft Sentinel, raadpleegt u de volledige migratiehandleiding.

Waarschuwingen en verrijkte incidenten van Microsoft Sentinel verzenden naar een verouderde SIEM

Analyseer enkele gegevens in Microsoft Sentinel, zoals cloudgegevens, en verzend vervolgens de gegenereerde waarschuwingen naar een verouderde SIEM. Gebruik de verouderde SIEM als uw enkele interface om kruiscorrelatie uit te voeren met de waarschuwingen die Door Microsoft Sentinel zijn gegenereerd. U kunt Microsoft Sentinel nog steeds gebruiken voor een dieper onderzoek naar de door Microsoft Sentinel gegenereerde waarschuwingen.

Deze configuratie is rendabel, omdat u uw cloudgegevensanalyse naar Microsoft Sentinel kunt verplaatsen zonder kosten te dupliceren of twee keer te betalen voor gegevens. U hebt nog steeds de vrijheid om in uw eigen tempo te migreren. Naarmate u gegevensbronnen en detecties naar Microsoft Sentinel blijft verplaatsen, wordt het eenvoudiger om als primaire interface naar Microsoft Sentinel te migreren. Het doorsturen van verrijkte incidenten naar een verouderde SIEM beperkt echter de waarde die u krijgt van de onderzoeks-, opsporings- en automatiseringsmogelijkheden van Microsoft Sentinel.

Zie voor meer informatie:

Andere methoden

In de volgende tabel worden configuraties naast elkaar beschreven die niet worden aanbevolen, met details over waarom:

Wijze Description
Microsoft Sentinel-logboeken verzenden naar uw verouderde SIEM Met deze methode blijft u de kosten en schaalproblemen van uw on-premises SIEM ervaren.

U betaalt voor gegevensopname in Microsoft Sentinel, samen met de opslagkosten in uw verouderde SIEM, en u kunt niet profiteren van SIEM- en SOAR-detecties, analyses, UEBA (User Entity Behavior Analytics), AI of hulpprogramma's voor onderzoek en automatisering van Microsoft Sentinel.
Logboeken verzenden van een verouderde SIEM naar Microsoft Sentinel Hoewel deze methode u de volledige functionaliteit van Microsoft Sentinel biedt, betaalt uw organisatie nog steeds voor twee verschillende gegevensopnamebronnen. Naast het toevoegen van architectuurcomplexiteit kan dit model leiden tot hogere kosten.
Microsoft Sentinel en uw verouderde SIEM gebruiken als twee volledig afzonderlijke oplossingen U kunt Microsoft Sentinel gebruiken om bepaalde gegevensbronnen, zoals uw cloudgegevens, te analyseren en uw on-premises SIEM te blijven gebruiken voor andere bronnen. Met deze instelling kunt u duidelijke grenzen instellen voor het gebruik van elke oplossing en voorkomt u duplicatie van kosten.

Kruiscorrelatie wordt echter moeilijk en u kunt geen volledige diagnose stellen van aanvallen die beide sets gegevensbronnen kruisen. In het huidige landschap, waar bedreigingen vaak lateraal binnen een organisatie worden verplaatst, kunnen dergelijke zichtbaarheidsverschillen aanzienlijke beveiligingsrisico's opleveren.

Automatisering gebruiken om processen te stroomlijnen

Gebruik geautomatiseerde werkstromen om waarschuwingen te groeperen en te prioriteren in een gemeenschappelijk incident en de prioriteit ervan te wijzigen.

Zie voor meer informatie:

Volgende stappen

Verken de Microsoft Sentinel-resources van Microsoft om uw vaardigheden uit te breiden en optimaal gebruik te maken van Microsoft Sentinel.

Overweeg ook om uw bedreigingsbeveiliging te verhogen met Behulp van Microsoft Sentinel naast Microsoft Defender XDR en Microsoft Defender voor Cloud voor geïntegreerde bedreigingsbeveiliging. Profiteer van de breedte van zichtbaarheid die Microsoft Sentinel levert, terwijl u dieper ingaat op gedetailleerde bedreigingsanalyse.

Zie voor meer informatie: