Implantar o Microsoft Sentinel lado a lado em um SIEM existente
Sua equipe de SOC (centro de operações de segurança) usa soluções centralizadas de SIEM (gerenciamento de eventos e informações de segurança) e de SOAR (orquestração de segurança, automação e resposta) para proteger seu espaço digital cada vez mais descentralizado.
Este artigo descreve como implantar o Microsoft Sentinel em uma configuração lado a lado com o SIEM existente.
Selecionar uma abordagem e um método lado a lado
Use uma arquitetura lado a lado como uma fase de transição de curto prazo que leva a um SIEM totalmente hospedado na nuvem ou como um modelo operacional de médio a longo prazo, dependendo das necessidades de SIEM de sua organização.
Por exemplo, embora o recomendado seja usar uma arquitetura lado a lado por tempo suficiente para concluir a migração para o Microsoft Sentinel, sua organização pode querer permanecer com a configuração lado a lado por mais tempo, por exemplo, se não estiver pronta para deixar o SIEM herdado. Normalmente, as organizações que usam uma configuração lado a lado em longo prazo usam o Microsoft Sentinel para analisar apenas os dados de nuvem.
Pense nas vantagens e desvantagens de cada abordagem ao decidir qual usar.
Observação
Muitas organizações evitam a execução de várias soluções de análise locais por causa do custo e da complexidade.
O Microsoft Sentinel tem preços pagos conforme o uso e infraestrutura flexível, o que dá às equipes de SOC tempo para se adaptar à alteração. Implante e teste seu conteúdo em um ritmo que funcione melhor para sua organização e saiba como migrar totalmente para o Microsoft Sentinel.
Abordagem de curto prazo
| Prós | Contras |
|---|---|
| • Dá à equipe de SOC tempo para se adaptar a novos processos conforme são implantadas as cargas de trabalho e as análises. • Obtém uma correlação profunda entre todas as fontes de dados para cenários de busca. • Elimina a necessidade de fazer análises entre os SIEMs, criar regras de encaminhamento e fechar investigações em dois lugares. • Permite que sua equipe de SOC faça downgrade rápido das soluções de SIEM herdadas, eliminando os custos de infraestrutura e licenciamento. |
• Pode exigir uma curva de aprendizado acentuada da equipe de SOC. |
Abordagem de médio a longo prazo
| Prós | Contras |
|---|---|
| • Permite que você use os principais benefícios do Microsoft Sentinel, como IA, ML e funcionalidades de investigação, sem se afastar completamente do seu SIEM herdado. • Economiza dinheiro em comparação com o SIEM herdado, analisando dados da nuvem ou da Microsoft no Microsoft Sentinel. |
• Aumenta a complexidade ao separar a análise em bancos de dados diferentes. • Divide o gerenciamento de casos e investigações para incidentes de vários ambientes. • Gera maior custo de infraestrutura e de equipe. • Requer que a equipe de SOC tenha conhecimento de duas soluções de SIEM diferentes. |
Enviar alertas de um SIEM herdado para o Microsoft Sentinel (recomendado)
Envie alertas ou indicadores de atividade anômala do SIEM herdado para o Microsoft Sentinel.
- Ingerir e analisar dados de nuvem no Microsoft Sentinel
- Use seu SIEM herdado para analisar dados locais e gerar alertas.
- Encaminhe os alertas do SIEM local para o Microsoft Sentinel para estabelecer uma única interface.
Por exemplo, encaminhe alertas usando Logstash, APIs ou Syslog, e armazene-os no formato JSON no workspace do Log Analytics do Microsoft Sentinel.
Ao enviar alertas do SIEM herdado para o Microsoft Sentinel, sua equipe pode fazer a correlação e investigar esses alertas no Microsoft Sentinel. A equipe ainda pode acessar o SIEM herdado para uma investigação mais profunda, se necessário. Enquanto isso, você pode continuar implantando fontes de dados por um período de transição estendido.
Esse método recomendado de implantação lado a lado permite aproveitar ao máximo o Microsoft Sentinel e a capacidade de implantar fontes de dados no ritmo certo para sua organização. Essa abordagem evita a duplicação de custos para armazenamento e ingestão de dados enquanto você move suas fontes de dados.
Para obter mais informações, consulte:
- Migrar ofensas do QRadar para o Microsoft Sentinel
- Exportar dados do Splunk para o Microsoft Sentinel.
Se você quiser migrar totalmente para o Microsoft Sentinel, confira o guia de migração completo.
Enviar alertas e incidentes aprimorados do Microsoft Sentinel para um SIEM herdado
Analise alguns dados no Microsoft Sentinel, como dados de nuvem, e envie os alertas gerados para um SIEM herdado. Use o SIEM herdado como sua única interface para fazer a correlação cruzada com os alertas gerados pelo Microsoft Sentinel. Você ainda pode usar o Microsoft Sentinel para uma investigação mais profunda dos alertas gerados pelo Microsoft Sentinel.
Essa configuração é econômica, pois você pode mover sua análise de dados de nuvem para o Microsoft Sentinel sem duplicar os custos ou pagar por dados duas vezes. Você ainda tem a liberdade de migrar em seu próprio ritmo. À medida que você continua a mudar as fontes de dados e as detecções para o Microsoft Sentinel, fica mais fácil migrar para o Microsoft Sentinel como sua interface principal. No entanto, o simples encaminhamento de incidentes aprimorados a um SIEM herdado limita o valor obtido das funcionalidades de investigação, busca e automação do Microsoft Sentinel.
Para obter mais informações, consulte:
- Enviar alertas enriquecidos do Microsoft Sentinel para o SIEM herdado
- Enviar alertas enriquecidos do Microsoft Sentinel para o QRadar da IBM
- Ingerir alertas do Microsoft Sentinel no Splunk
Outros métodos
A tabela a seguir descreve as configurações lado a lado que não são recomendadas, com detalhes sobre o porquê:
| Método | Descrição |
|---|---|
| Enviar logs do Microsoft Sentinel para o SIEM herdado | Com esse método, você continuará a experimentar os desafios de custo e escala de seu SIEM local. Você pagará pela ingestão de dados no Microsoft Sentinel, juntamente com os custos de armazenamento em seu SIEM herdado, e não poderá tirar proveito das detecções do SIEM e do SOAR do Microsoft Sentinel, análises, UEBA (análise de comportamento de entidade do usuário), IA ou ferramentas de investigação e automação. |
| Enviar logs de um SIEM herdado para o Microsoft Sentinel | Embora esse método forneça a funcionalidade completa do Microsoft Sentinel, sua organização ainda paga por duas fontes de ingestão de dados diferentes. Além de adicionar complexidades arquitetônicas, esse modelo pode resultar em custos mais altos. |
| Usar o Microsoft Sentinel e seu SIEM herdado como duas soluções totalmente separadas | Você pode usar o Microsoft Sentinel para analisar algumas fontes de dados, como seus dados de nuvem, e continuar usando o SIEM local para outras fontes. Essa configuração permite limites claros para quando usar cada solução e evita a duplicação de custos. No entanto, a correlação cruzada se torna difícil, e você não pode diagnosticar completamente os ataques que cruzam os dois conjuntos de fontes de dados. No cenário de hoje, em que as ameaças geralmente se movem em uma organização, tais lacunas de visibilidade podem apresentar riscos de segurança significativos. |
Usar a automação para simplificar processos
Use fluxos de trabalho automatizados para agrupar e priorizar alertas em um incidente comum e modificar sua prioridade.
Para obter mais informações, consulte:
- SOAR (Orquestração de Segurança, Automação e Resposta) no Microsoft Sentinel.
- Automatizar a resposta a ameaças com guias estratégicos no Microsoft Sentinel
- Automatizar o tratamento de incidentes no Microsoft Sentinel com regras de automação
Próximas etapas
Explore os recursos do Microsoft Sentinel da Microsoft para expandir suas habilidades e tirar o máximo do Microsoft Sentinel.
Considere também aumentar sua proteção contra ameaças usando o Microsoft Sentinel junto com o Microsoft Defender XDR e o Microsoft Defender for Cloud para proteção integrada contra ameaças. Beneficie-se da amplitude de visibilidade que o Microsoft Sentinel oferece, ao mesmo tempo em que se aprofunda na análise detalhada de ameaças.
Para obter mais informações, consulte:
- Melhores práticas de migração de regras
- Webinar: melhores práticas para converter regras de detecção
- SOAR (Orquestração de Segurança, Automação e Resposta) no Microsoft Sentinel
- Gerenciar melhor seu SOC com métricas de incidentes
- Roteiro de aprendizagem do Microsoft Sentinel
- Certificação de Analista de operações de segurança da Microsoft SC-200
- Treinamento ninja do Microsoft Sentinel
- Investigar um ataque em um ambiente híbrido com Microsoft Sentinel