Compartilhar via

Planejar sua migração para o Microsoft Sentinel

  • Artigo

Equipes do SOC (centro de operações de segurança) usam soluções centralizadas de SIEM (gerenciamento de eventos e informações de segurança) e de SOAR (orquestração de segurança, automação e resposta) para proteger o acervo digital cada vez mais descentralizado delas. Embora os SIEMs herdados possam manter uma boa cobertura de ativos locais, as arquiteturas locais podem ter cobertura insuficiente para ativos de nuvem, como no Azure, Microsoft 365, AWS ou no GCP (Google Cloud Platform). Por outro lado, o Microsoft Sentinel pode ingerir dados de ativos locais e na nuvem, garantindo a cobertura em todo o acervo.

Este artigo discute os motivos para migrar de um SIEM herdado e descreve como planejar as diferentes fases da migração.

Etapas da migração

Neste guia, você aprenderá a migrar seu SIEM herdado para o Microsoft Sentinel. Siga o processo de migração por meio desta série de artigos, nos quais você aprenderá a navegar pelas diferentes etapas do processo.

Observação

Para um processo de migração guiada, ingresse no Programa de Migração e Modernização do Microsoft Sentinel. O programa permite simplificar e acelerar a migração, incluindo diretrizes de melhores práticas, recursos e ajuda de especialistas em cada estágio. Para saber mais, entre em contato com a equipe de conta.

Etapa Artigo
Planeje sua migração Você está aqui
Acompanhar a migração com uma pasta de trabalho Acompanhar a migração do seu Microsoft Sentinel com uma pasta de trabalho
Usar a experiência de Migração do SIEM Migração do SIEM (versão prévia)
Fazer a migração do ArcSight Migrar regras de detecção
Migrar automação SOAR
Exportar dados históricos
Fazer a migração do Splunk Migrar regras de detecção
Migrar automação SOAR
Exportar dados históricos

Se você quiser migrar sua implantação de Observabilidade do Splunk, saiba mais sobre como migrar do Splunk para os Logs do Azure Monitor.
Fazer a migração do QRadar Migrar regras de detecção
Migrar automação SOAR
Exportar dados históricos
Ingerir dados históricos Selecionar uma plataforma do Azure de destino para hospedar os dados históricos exportados
Selecionar uma ferramenta de ingestão de dados
Ingerir dados históricos em sua plataforma de destino
Converter painéis em pastas de trabalho Converter painéis em Pastas de Trabalho do Azure
Atualizar processos do SOC Atualizar processos do SOC

O que é o Microsoft Sentinel?

O Microsoft Sentinel é uma solução escalonável e nativa da nuvem que oferece SIEM (gerenciamento de eventos de informações de segurança) e SOAR (orquestração de segurança, automação e resposta). O Microsoft Sentinel oferece análise de segurança inteligente e inteligência contra ameaças em toda a empresa. O Microsoft Sentinel fornece uma solução única para detecção de ataques, visibilidade de ameaças, busca proativa e resposta a ameaças. Saiba mais sobre o Microsoft Sentinel.

Por que migrar de um SIEM herdado?

As equipes do SOC enfrentam um conjunto de desafios ao gerenciar um SIEM herdado:

  • Resposta lenta a ameaças. Os SIEMs herdados usam regras de correlação, que são difíceis de manter e ineficazes para identificar as ameaças que surgem. Além disso, os analistas do SOC enfrentam grandes quantidades de falsos positivos, muitos alertas de inúmeros componentes de segurança diferentes e volumes cada vez maiores de logs. Analisar esses dados reduz a velocidade das equipes do SOC nos esforços para responder a ameaças críticas no ambiente.
  • Desafios de colocação em escala. À medida que as taxas de ingestão de dados aumentam, as equipes do SOC são desafiadas com o dimensionamento do SIEM delas. Em vez de se concentrarem na proteção da organização, as equipes do SOC devem investir na configuração e na manutenção da infraestrutura, e são contidas por limites de armazenamento ou de consulta.
  • Análise e resposta manuais. As equipes do SOC precisam de analistas altamente qualificados para processar manualmente grandes quantidades de alertas. As equipes do SOC estão sobrecarregadas e é difícil encontrar novos analistas.
  • Gerenciamento complexo e ineficiente. As equipes do SOC normalmente supervisionam a orquestração e a infraestrutura, gerenciam conexões entre o SIEM e várias fontes de dados e executam atualizações e aplicações de patches. Essas tarefas geralmente são realizadas em detrimento da triagem crítica e da análise.

Um SIEM nativo de nuvem aborda esses desafios. O Microsoft Sentinel coleta dados automaticamente e em escala, detecta ameaças desconhecidas, investiga ameaças com inteligência artificial e responde a incidentes rapidamente com automação interna.

Planeje sua migração

Durante a fase de planejamento, você identifica seus componentes SIEM existentes, seus processos de SOC existentes e projeta e planeja novos casos de uso. Um planejamento completo permite manter a proteção tanto para seus ativos baseados em nuvem – Microsoft Azure, AWS ou GCP – quanto para suas soluções de SaaS – como o Microsoft Office 365.

Este diagrama descreve as fases de alto nível que uma migração típica inclui. Cada fase inclui metas claras, atividades essenciais e resultados e entregas definidos.

As fases deste diagrama são uma diretriz de como realizar um procedimento de migração típico. Uma migração real pode não incluir algumas fases ou pode incluir mais fases. Em vez de examinar o conjunto completo de fases, os artigos deste guia examinam tarefas e etapas específicas que são especialmente importantes para uma migração do Microsoft Sentinel.

Diagram of the Microsoft Sentinel migration phases.

Considerações

Examine essas considerações principais para cada fase.

Fase Consideração
Descobrir Identifique casos de uso e prioridades de migração como parte dessa fase.
Design Defina um design e uma arquitetura detalhados para sua implementação do Microsoft Sentinel. Você usará essas informações para obter aprovação dos stakeholders relevantes antes de iniciar a fase de implementação.
Implementar Ao implementar componentes do Microsoft Sentinel de acordo com a fase de design e antes de converter toda a infraestrutura, considere se é possível usar o conteúdo pronto para uso do Microsoft Sentinel em vez de migrar todos os componentes. É possível começar a usar o Microsoft Sentinel gradualmente, começando com um MVP (produto mínimo viável) para vários casos de uso. À medida que você adiciona mais casos de uso, você pode usar essa instância do Microsoft Sentinel como um ambiente de UAT (teste de aceitação do usuário) para validar os casos de uso.
Operacionalizar Você migra seu conteúdo e seus processos de SOC para garantir que a experiência de analista existente não seja interrompida.

Identificar suas prioridades de migração

Use estas perguntas para identificar suas prioridades de migração:

  • Quais são os componentes, sistemas, aplicativos e dados de infraestrutura mais críticos do seu negócio?
  • Quem são seus stakeholders na migração? É provável que a migração de SIEM afete muitas áreas do seu negócio.
  • O que impulsiona suas prioridades? Por exemplo, maior risco de negócios, requisitos de conformidade, prioridades de negócios e assim por diante.
  • Qual é a escala de migração e a linha do tempo? Quais fatores afetam as datas e os prazos. Você está migrando um sistema herdado inteiro?
  • Você tem as habilidades necessárias? Sua equipe de segurança está treinada e pronta para a migração?
  • Há algum obstáculo específico na sua organização? Há algum problema que afeta o planejamento e o agendamento da migração? Por exemplo, problemas como requisitos de pessoal e treinamento, datas de licença, interrupções, necessidades de negócio específicas e assim por diante.

Antes de iniciar a migração, identifique os principais casos de uso, as regras de detecção, os dados e a automação do seu SIEM atual. Aborde sua migração como um processo gradual. Seja objetivo e cauteloso com relação ao que você migra primeiro, o que pode esperar e o que, de fato, nem precisa ser migrado. Sua equipe pode ter um número esmagador de detecções e casos de uso em execução no SIEM atual. Antes de iniciar a migração, decida quais são realmente úteis para o seu negócio.

Identificar casos de uso

Ao planejar a fase de descoberta, use as diretrizes a seguir para identificar seus casos de uso.

  • Identifique e analise seus casos de uso atuais por ameaça, sistema operacional, produto e assim por diante.
  • Qual é o escopo? Deseja migrar todos os casos de uso ou usar alguns critérios de priorização?
  • Identifique quais ativos de segurança são mais críticos para a migração.
  • Quais casos de uso são eficazes? Um bom começo é examinar quais detecções produziram resultados no último ano (taxa de falsos positivos vs. positivos).
  • Quais são as prioridades de negócios que afetam a migração de casos de uso? Quais são os maiores riscos para o seu negócio? Que tipo de problemas colocam seu negócio mais em risco?
  • Priorize por características de caso de uso.
    • Considere definir prioridades mais baixas e mais altas. Recomendamos que você se concentre em detecções que imponham 90% de casos positivos nos feeds de alertas. Os casos de uso que geram uma alta taxa de falsos positivos podem ser de prioridade mais baixa para seu negócio.
    • Selecione os casos de uso que justificam a migração de regras em termos de prioridade de negócios e eficácia:
      • Examine as regras que não dispararam alertas nos últimos 6 a 12 meses.
      • Elimine ameaças de baixo nível ou alertas que você costuma ignorar.
  • Prepare um processo de validação. Defina cenários de teste e crie um script de teste.
  • Você pode aplicar uma metodologia para priorizar casos de uso? Você pode seguir uma metodologia, como o MoSCoW, para priorizar um conjunto mais enxuto de casos de uso na migração.

Próximas etapas

Neste artigo, você aprendeu a planejar e se preparar para a migração.

Acompanhar sua migração com uma pasta de trabalho