Migração de SIEM do Google Cloud

Informações do produto

Especificações:

• Nome do produto: Guia de migração SIEM
• Autor: Desconhecido
• Publicado Ano: Não especificado

Instruções de uso do produto

• Selecionando um novo SIEM
  Comece perguntando a si mesmo e à sua equipe algumas perguntas importantes para ajudar a descobrir os pontos fortes e fracos de cada oferta. Identifique rapidamente os superpoderes de cada SIEM e planeje como sua organização pode aproveitartage deles.
• SIEM nativo da nuvem
  Considere se o SIEM é oferecido por um provedor de serviços de nuvem primário (CSP) que pode fornecer infraestrutura em escala mundial a preços de atacado. Os modelos de implantação SIEM nativos da nuvem permitem escalabilidade e gerenciamento dinâmico de cargas de trabalho na nuvem.
• SIEM com Inteligência
  Verifique se o fornecedor de SIEM oferece inteligência contínua sobre ameaças na linha de frente para impulsionar a detecção imediata de ameaças novas e emergentes.

SIEM está morto, viva SIEM

Se você for como nós, poderá se surpreender ao saber que, em 2024, os sistemas de gerenciamento de informações e eventos de segurança (SIEM) ainda são a espinha dorsal da maioria dos centros de operações de segurança (SOC). Os SIEMs sempre foram usados ​​para coletar e analisar dados de segurança de toda a sua organização para ajudá-lo a identificar, investigar e responder a ameaças de forma rápida e eficaz. Mas a realidade é que os SIEMs modernos de hoje têm pouca semelhança com aqueles construídos há mais de 15 anos, antes do surgimento da arquitetura nativa da nuvem, análise de entidade e comportamento do usuário (UEBA), orquestração de segurança, automação e resposta (SOAR), gerenciamento de superfície de ataque e, claro, IA, para citar alguns.
SIEMs legados costumam ser lentos, complicados e difíceis de usar. Sua arquitetura legada muitas vezes impede que eles sejam dimensionados para ingerir fontes de log de alto volume, e eles podem não conseguir acompanhar as ameaças mais recentes ou oferecer suporte aos recursos e capacidades mais recentes. Eles podem não oferecer a flexibilidade necessária para dar suporte aos requisitos específicos da sua organização ou não ser adequados à estratégia multinuvem que é a realidade da maioria das organizações atualmente. Finalmente, eles podem estar mal posicionados para aproveitartage dos mais recentes desenvolvimentos tecnológicos, como a inteligência artificial (IA).
Portanto, embora um SIEM com qualquer outro nome possa parecer igualmente agradável, as equipes de operações de segurança continuarão a contar com
“plataformas de operações de segurança” (ou qualquer que seja o nome que tenham) num futuro próximo para detecção, investigação e resposta a ameaças.

A grande migração do SIEM começou

A migração do SIEM não é nova. As organizações perderam o interesse pelo SIEM existente e procuraram opções mais novas e melhores durante anos. Talvez com mais frequência, as organizações tenham suportado o seu SIEM de baixo desempenho e/ou demasiado caro durante mais tempo do que gostariam, em parte devido a preocupações sobre a complexidade de ter de lidar com a migração do SIEM.
Mas os últimos meses introduziram mudanças tectónicas no espaço SIEM que não podem ser subestimadas. Há poucas dúvidas de que o cenário do SIEM será completamente transformado daqui a alguns anos – dando origem a novos líderes de mercado e vendo o declínio e talvez até o desaparecimento dos “dinossauros” que governaram o território do SIEM por décadas (ou “ eras” em termos de segurança cibernética). Estes desenvolvimentos irão, sem dúvida, acelerar a migração de plataformas SIEM legadas para plataformas modernas, com muitas organizações a enfrentarem agora a realidade de quando devem migrar, em vez de se devem migrar.

Aqui está um resumo dos principais movimentos apenas nos últimos 9 meses:

Identificar deficiências no seu SIEM atual é muito mais fácil do que selecionar o melhor substituto e executar uma migração bem-sucedida. Também é importante observar que as falhas na implantação do SIEM também podem resultar de processos (e ocasionalmente de pessoas), e não apenas de tecnologia. É aí que entra este artigo. Os autores viram centenas de migrações de SIEM como profissionais, analistas e fornecedores ao longo de várias décadas. Então, vamos fazer um balanço das principais dicas de migração de SIEM para 2024. Dividiremos esta lista em categorias e espalharemos as lições que aprendemos nas trincheiras.

Selecionando um novo SIEM

Comece perguntando a si mesmo e à sua equipe algumas perguntas importantes para ajudar a descobrir os pontos fortes e fracos de cada oferta. Recomendamos identificar rapidamente os “superpoderes” de cada SIEM e planejar como sua organização pode aproveitartage deles. Para exampem:

• SIEM nativo da nuvem
  
  • O SIEM é oferecido por um provedor de serviços de nuvem primário (CSP) que pode fornecer infraestrutura em escala mundial a preços de atacado?
    Nossa experiência mostra que os provedores de SIEM que operam em nuvens que não são de sua propriedade têm dificuldade em superar o inevitável “acumulação de margens” que acompanha esses modelos. Esta questão está inextricavelmente ligada ao custo.
    Um modelo de implantação SIEM nativo da nuvem também permite que o SIEM aumente ou diminua a escala em resposta a novas ameaças e também gerencie a natureza dinâmica das cargas de trabalho na nuvem de uma organização. A infraestrutura e os aplicativos em nuvem podem crescer dramaticamente em minutos. Uma arquitetura SIEM nativa da nuvem permite que as ferramentas críticas das equipes de segurança sejam dimensionadas na mesma proporção, juntamente com as necessidades da organização maior.
    Os SIEMs nativos da nuvem também estão bem posicionados para proteger cargas de trabalho na nuvem. Eles fornecem ingestão de dados de baixa latência de serviços em nuvem e são fornecidos com conteúdo de detecção para ajudar a identificar ataques comuns na nuvem.
• SIEM com Inteligência
  • O fornecedor de SIEM tem um fluxo contínuo de inteligência de ameaças de linha de frente para conduzir a detecção imediata de ameaças novas e emergentes?
    Essas fontes de ouro normalmente surgem de práticas de resposta a incidentes de alto nível, da operação de ofertas massivas de nuvem IaaS ou SaaS para consumidores ou de bases de instalação globais de produtos de software de segurança ou sistemas operacionais.
    A inteligência sobre ameaças é fundamental para que as organizações detectem, façam triagem, investiguem e respondam com eficácia a incidentes de segurança. A inteligência de ameaças da linha de frente, em particular, é valiosa porque fornece informações em tempo real sobre as ameaças e vulnerabilidades mais recentes. Essas informações podem ser usadas para identificar e priorizar rapidamente incidentes de segurança e para desenvolver e implementar estratégias de resposta eficazes.
    Para melhorar os recursos de detecção e resposta a ameaças em tempo real, as organizações de segurança estão buscando uma integração perfeita de inteligência contra ameaças e feeds de dados associados em seus fluxos de trabalho e ferramentas de operações de segurança. Cadeira giratória, copiar e colar e integrações frágeis entre SIEM e fontes de informações sobre ameaças são drenos de produtividade e têm um impacto negativo na eficácia da equipe e na experiência do analista.
• SIEM com conteúdo selecionado
  • O SIEM oferece uma extensa biblioteca de analisadores suportados, regras de detecção e ações de resposta?
    Dica: Alguns fornecedores de SIEM dependem quase exclusivamente de sua comunidade de usuários ou de parceiros de aliança técnica para criar analisadores para feeds de dados populares. Embora uma comunidade de usuários próspera seja essencial, confiar demais nela para fornecer recursos fundamentais, como análise, é um problema. Os analisadores para fontes de dados comuns devem ser criados, mantidos e suportados diretamente pelo fornecedor de SIEM. Adote a mesma abordagem ao observar o conteúdo das regras de detecção. As regras da comunidade são essenciais, mas você deve esperar que seu fornecedor crie e mantenha uma biblioteca sólida de detecções principais que sejam testadas, suportadas e melhoradas regularmente. A detecção de ameaças selecionada e de alta qualidade é fundamental para que as organizações gerenciem com eficácia sua postura de segurança. O Google SecOps fornece detecção imediata de ameaças novas e emergentes, o que pode ajudar as organizações a identificar e responder rapidamente a incidentes de segurança.
• SIEM com IA
  • O SIEM incorpora IA e está posicionado para continuar inovando?
    O papel da inteligência artificial no SIEM ainda não é totalmente compreendido (muito menos implementado) por nenhum fornecedor. No entanto, os principais SIEMs já possuem recursos tangíveis orientados por IA disponíveis hoje. Esses recursos incluem processamento de linguagem natural para expressar pesquisas e regras, resumo automatizado de casos e ações de resposta recomendadas. A maioria dos clientes e observadores do setor considera recursos como detecção de ameaças e análise preditiva de adversários como alguns dos “santo graal” dos recursos de SIEM orientados por IA. Nenhum SIEM oferece esses recursos de forma confiável hoje. Ao escolher um novo SIEM em 2024, considere se o fornecedor está investindo os recursos necessários para fazer um progresso significativo nessas capacidades transformacionais.

O Google Security Operations (anteriormente Chronicle) é uma solução SIEM baseada em nuvem oferecida pelo Google Cloud. Ele foi projetado para ajudar as organizações a coletar centralmente logs e outras telemetrias de segurança e, em seguida, detectar, investigar e responder a ameaças à segurança em tempo real. 

• Detecte e priorize ameaças à segurança: as regras de detecção prontas para uso do Google SecOps identificam e priorizam ameaças à segurança em tempo real. Isso ajuda as organizações a responder de forma rápida e eficaz às ameaças mais críticas.
• Investigue incidentes de segurança: O Google SecOps fornece uma plataforma centralizada para investigação de incidentes de segurança. Isso ajuda as organizações a coletar evidências de forma rápida e eficiente e a determinar o escopo do incidente.
• Responder a incidentes de segurança: O Google SecOps oferece diversas ferramentas para ajudar as organizações a responder a incidentes de segurança, como correção automatizada. Os caçadores de ameaças consideram a velocidade da plataforma, os recursos de pesquisa e a inteligência de ameaças aplicada inestimáveis ​​para rastrear invasores que possam ter escapado. Isso ajuda as organizações a conter e mitigar de forma rápida e eficaz o impacto dos incidentes de segurança.
  O Google SecOps tem diversas vantagenstages em relação às soluções SIEM tradicionais, incluindo:
• Inteligência artificial: O Google SecOps usa a tecnologia Gemini AI do Google para permitir que os defensores pesquisem grandes quantidades de dados em segundos usando linguagem natural e tomem decisões mais rápidas respondendo a perguntas, resumindo eventos, caçando ameaças, criando regras e entregando ações recomendadas com base no contexto das investigações. As equipes de segurança também podem usar o Gemini em operações de segurança para criar facilmente manuais de resposta, personalizar configurações e incorporar práticas recomendadas, ajudando a simplificar tarefas demoradas que exigem profundo conhecimento.
• Inteligência de Ameaças Aplicada: O Google SecOps integra-se nativamente ao Google Threat Intelligence (GTI), que abrange inteligência combinada do VirusTotal, Mandiant Threat Intelligence e fontes internas de inteligência de ameaças do Google, para ajudar os clientes a detectar mais ameaças com menos esforço.
• Escalabilidade: O Google SecOps é uma solução baseada em nuvem, portanto, pode aproveitar a infraestrutura de nuvem em hiperescala fornecida pela nuvem do Google para atender às necessidades de capacidade e desempenho de qualquer organização, independentemente do tamanho.
• Integração com Google Cloud: O Google SecOps está totalmente integrado a outros produtos e serviços do Google Cloud, como o Google Cloud Security Command Center Enterprise (SCCE). Essa integração facilita que as organizações gerenciem suas operações de segurança em uma plataforma única e unificada. O Google SecOps é o melhor SIEM para telemetria de serviço GCP e também inclui conteúdo de detecção pronto para uso para outros grandes provedores de nuvem, como AWS e Azure.

Inteligência de ameaças aplicada no Google SecOps
O Google SecOps permite que as equipes de segurança gerenciem e analisem dados de segurança que são automaticamente correlacionados e enriquecidos com dados de ameaças. Ao integrar a inteligência contra ameaças diretamente no seu SIEM, as organizações podem:

• Melhore a detecção e a triagem: Os dados de ameaças podem ser usados ​​diretamente para criar regras que podem ajudar a identificar atividades maliciosas em tempo real. Esses dados também são usados ​​para adicionar contexto a outros alertas e ajustar automaticamente a confiança no alerta. Isso ajuda as organizações a detectar e fazer a triagem rapidamente de incidentes de segurança e a concentrar seus recursos nas ameaças mais críticas.
• Melhorar a investigação e a resposta: A inteligência contra ameaças pode ser usada para fornecer contexto e insights durante investigações de segurança. Isto pode ajudar os analistas a identificar rapidamente a causa raiz de um incidente e a desenvolver e implementar estratégias de resposta eficazes.
• Fique à frente do cenário de ameaças: A inteligência contra ameaças pode ajudar as organizações a se manterem à frente do cenário de ameaças, fornecendo informações sobre as ameaças e vulnerabilidades mais recentes. Estas informações podem ser usadas para desenvolver e implementar medidas de segurança proativas, como caça a ameaças e treinamento de conscientização em segurança.

Detecção de ameaças no Google SecOps
A detecção de ameaças do Google SecOps é baseada em um fluxo contínuo de inteligência de ameaças de linha de frente das equipes de segurança do Google. Essa inteligência é usada para criar regras e alertas que podem identificar atividades maliciosas em tempo real. O Google SecOps também usa análise de comportamento e pontuação de risco para identificar padrões suspeitos em dados de segurança. Isso permite que o Google SecOps detecte ameaças que não podem ser detectadas pelas regras de detecção tradicionais.

O valor da detecção de ameaças selecionada e de alta qualidade é claro. As organizações que usam o Google SecOps podem se beneficiar de:

• Detecção e triagem aprimoradas: o Google SecOps pode ajudar as organizações a identificar e fazer a triagem rapidamente de incidentes de segurança. Isto permite que as organizações concentrem os seus recursos nas ameaças mais críticas.
• Investigação e resposta aprimoradas: o Google SecOps pode fornecer contexto e insights durante investigações de segurança. Isto pode ajudar os analistas a identificar rapidamente a causa raiz de um incidente e a desenvolver e implementar estratégias de resposta eficazes.
• Fique à frente do cenário de ameaças: o Google SecOps pode ajudar as organizações a ficar à frente do cenário de ameaças, fornecendo informações sobre as ameaças e vulnerabilidades mais recentes. Estas informações podem ser usadas para desenvolver e implementar medidas de segurança proativas, como caça a ameaças e treinamento de conscientização em segurança.

Migração SIEM

Então você decidiu fazer a mudança. Sua abordagem à migração é fundamental para garantir que você mantenha os recursos necessários e comece a extrair valor da nova plataforma o mais rápido possível. Tudo se resume à priorização. Uma compensação típica é reconhecer que, embora uma migração SIEM represente uma oportunidade para modernizar toda a sua abordagem à investigação, detecção e resposta, muitas migrações SIEM falham porque as organizações tentam “ferver o oceano”.

Então, aqui estão nossas melhores dicas para planejar e executar sua migração SIEM bem-sucedida:

• Defina seus objetivos de migração. Isso parece óbvio, mas a migração do SIEM é um processo demorado, portanto, definir os resultados desejados (por exemplo, detecção mais rápida de ameaças, relatórios de conformidade mais fáceis, maior visibilidade, redução do trabalho dos analistas e, ao mesmo tempo, redução de custos) está fortemente correlacionado com o sucesso.
• Use a migração como uma oportunidade para limpar a casa. Este é um bom momento para limpar suas regras de detecção e fontes de log e migre apenas aqueles que você realmente usa. Também é um bom momento para review seus processos de triagem e ajuste de alertas e certifique-se de que estejam atualizados.
• Não migre todas as fontes de log. Mudar para um novo SIEM é uma ótima oportunidade para decidir quais registros você precisa, seja por motivos de conformidade ou de segurança. Muitas organizações acumulam uma grande quantidade de dados de log ao longo do tempo e nem todos são necessariamente valiosos ou relevantes. Ao reservar um tempo para avaliar suas fontes de log antes de migrá-las, você pode simplificar seu SIEM e se concentrar nos dados que são mais importantes para suas necessidades de segurança e conformidade.
• Não migre todo o conteúdo. Nem sempre é necessário migrar todo o conteúdo de detecção, regras, alertas, painéis, visualizações e manuais existentes para um novo SIEM. Reserve um tempo para avaliar sua cobertura de detecção atual e priorize a migração das regras necessárias. Você encontrará oportunidades para consolidar regras, para eliminar regras que nunca poderiam ser acionadas devido à falta de telemetria ou lógica defeituosa, ou regras que são melhor tratadas por conteúdo pronto para uso. Questione qualquer fornecedor ou parceiro de implantação que defenda a migração de regras um para um.
• Priorize a migração antecipada de conteúdo. Inicie a migração do conteúdo de detecção imediatamente após a disponibilidade das fontes de log e dos enriquecimentos necessários para cada caso de uso específico. Esta abordagem orientada por dados, alinhando fontes com casos de uso, permite esforços de migração paralelos para eficiência e resultados ideais.
• A migração de conteúdo de detecção é um processo liderado por humanos. Prepare-se para reconstruir o conteúdo de detecção (regras, alertas, painéis, modelos, etc.) (principalmente) do zero, usando seu conteúdo antigo como inspiração. Hoje, não existe um método infalível para converter automaticamente regras de uma plataforma SIEM para outra. Embora alguns fornecedores ofereçam tradutores de sintaxe, eles geralmente resultam em um bom ponto de partida, em vez de uma regra, pesquisa ou painel perfeitamente traduzido. Você deve aproveitar o máximo de vantagemtage destas ferramentas, mas reconhecemos que não são uma panaceia.
• O conteúdo de detecção vem de muitas fontes. Analise suas necessidades de cobertura de detecção e, em seguida, adote ou crie seus casos de uso de detecção conforme necessário. Seu fornecedor de SIEM fornecerá algum conteúdo pronto para uso que você deve sempre aproveitar, se puder. Considere também repositórios de regras da comunidade e provedores de conteúdo de detecção de terceiros. Quando necessário, escreva suas próprias regras e lembre-se de que a maioria das regras, independentemente de sua origem, precisa ser ajustada ao ambiente específico da sua organização.
• Desenvolva um cronograma de migração realista. Isso inclui contabilizar transferência de dados, testes, ajustes, treinamento e possíveis sobreposições onde você pode precisar executar os dois sistemas em paralelo. Um plano de migração bem definido ajudará você a identificar e mitigar riscos e a garantir que a migração seja concluída com êxito. O plano deve incluir um cronograma detalhado, uma lista de tarefas, recursos e um orçamento. Reconheça que grandes projetos como a migração do SIEM devem ser divididos em fases.
• Testando. Recomendamos a prática de testar seu SIEM e conteúdo de detecção injetando regularmente dados que acionarão suas detecções, verificando a análise e validando o fluxo de dados desde a detecção até o caso e o manual de resposta. Uma migração SIEM é o momento perfeito para adotar uma abordagem rigorosa programa de engenharia de detecção isso inclui testes como este.
• Prepare-se para um período de transição durante o qual você executará ferramentas novas e antigas. Evite uma abordagem disruptiva de “excluir e substituir”. Uma migração em fases, em que você migra fontes de log e casos de uso gradualmente, ajuda a controlar o processo e reduz os riscos. Além disso, pense duas vezes antes de reingerir dados do seu SIEM antigo para o novo. Em alguns casos, você poderá deixar o SIEM anterior em execução por longos períodos para permitir o acesso aos dados históricos.
• Habilite suas equipes. A migração do SIEM falhará se os analistas não puderem usar o novo sistema. Um bom plano de migração incluirá capacitação profunda para suas equipes. Pense em treinar engenheiros em integração e análise de dados, treinar analistas em gerenciamento/investigação/triagem de casos, caçadores de ameaças em detecção/pesquisa de anomalias e engenheiros de detecção em redação de regras. O tempo é fundamental para a capacitação. É melhor formar o pessoal à medida que embarcam em fases específicas da migração, em vez de formar antes que essas competências sejam exigidas.
• Obter ajuda! Se você tiver sorte (ou talvez azar?) como profissional ou líder, talvez tenha passado por uma ou duas migrações de SIEM em sua carreira. Por que não procurar ajuda de especialistas que já fizeram isso dezenas ou centenas de vezes? Equipes de serviços profissionais do fornecedor e/ou equipes de consultoria de parceiros de serviços qualificados são uma ótima escolha. As migrações SIEM são em grande parte esforços centrados no ser humano.

Processo principal: escolha um parceiro de implantação
Nenhuma decisão terá maior impacto no sucesso final de uma migração SIEM do que a escolha de um parceiro de implantação. As plataformas SIEM são sistemas empresariais complexos e de grande escala. Não tente fazer isso sozinho; opte por um parceiro de implantação que tenha passado por muitas migrações.

O parceiro de implantação pode ser simplesmente o braço de serviços profissionais do novo fornecedor de SIEM. No entanto, é mais comum escolher um parceiro terceirizado para executar a migração. Lembre-se de que a migração do SIEM é um empreendimento liderado por humanos. É melhor escolher um parceiro com certificações no novo SIEM e muitos parceiros referenciáveis. Também ajuda se eles tiverem experiência no SIEM do qual você está migrando. Além das referências, uma maneira inteligente de determinar o nível de experiência de um parceiro com seu novo SIEM é verificar os fóruns da comunidade para ver se a equipe tem contribuído ativamente. Na opinião dos autores, uma equipe de parceiros altamente engajada está correlacionada com migrações de SIEM bem-sucedidas. Além dos detalhes técnicos da migração de SIEM, você também pode escolher parceiros que tenham experiência específica em seu setor vertical, ou em seu ambiente de conformidade, ou em sua região, ou todas as três! Você pode procurar habilidades e recursos linguísticos em advantagfusos horários diferentes. Você também pode procurar parceiros que operem seu SIEM para você ou que forneçam resultados semelhantes aos de um provedor de serviços de segurança gerenciados que possa terceirizar parcial ou totalmente o SIEM de sua organização.

Processo-chave: Documentar configuração atual e casos de uso
As implantações de SIEM são geralmente expansivas, crescendo constantemente em escopo e complexidade ao longo dos anos de uso. Prepare-se para pouca ou nenhuma documentação. Espere que o pessoal que executou a configuração inicial e a personalização do SIEM já tenha desaparecido há muito tempo. Documentar minuciosamente a configuração e os recursos no início do processo de migração pode significar a diferença entre o sucesso e o fracasso.

• Documente o gerenciamento de identidade e acesso usado pelo SIEM. Você certamente precisará preservar algum acesso baseado em função a dados e recursos. Por outro lado, a migração é uma oportunidade para analisar e abordar a expansão do acesso que ocorre naturalmente na maioria das organizações. Você também pode encarar o processo de migração como uma oportunidade para modernizar os métodos de autenticação/autorização, incluindo a federação de identidade com padrões corporativos e a implementação da autenticação multifator.
• Capture os nomes dos tipos de dados que estão sendo coletados. Observe que alguns SIEMs chamam esses nomes de “sourcetype” ou “logtype”. Capture quantos dados de cada tipo de dados estão fluindo usando gigabytes/dia como métrica. Documente o pipeline de dados para cada fonte de dados (baseado em agente, consulta de API, web gancho, ingestão de bucket de nuvem, API de ingestão, ouvinte HTTP, etc.) e capture a configuração do analisador do SIEM junto com quaisquer personalizações.
• Reúna pesquisas salvas, definições de painel e regras de detecção. Muitos SIEMs também possuem mecanismos persistentes de armazenamento de dados, como tabelas de consulta. Certifique-se de compreender e documentar como eles são preenchidos e usados.
• Faça um inventário de integrações com sistemas externos. Muitos SIEMs integram-se a sistemas de gerenciamento de casos, bancos de dados relacionais, serviços de notificação (e-mail, SMS, etc.) e plataformas de inteligência de ameaças.
• Capture conteúdo de resposta, como manuais, modelos de gerenciamento de casos e quaisquer integrações ativas que ainda não tenham sido documentadas.

Além de reunir esses detalhes técnicos importantes, é fundamental reservar um tempo para intercalarview usuários do SIEM existente para entender seus fluxos de trabalho. Pergunte como eles usam o SIEM, quais procedimentos operacionais padrão dependem do SIEM. Também é importante fazer perguntas amplas, como quais equipes fora da segurança podem usar o SIEM. Para exampOu seja, não é incomum que as equipes de conformidade ou de operações de TI confiem no SIEM. A falha na captura desses casos de uso pode causar expectativas perdidas posteriormente no processo de migração.

Processo-chave: migração de origem de log
A migração da origem de log envolve mover as fontes de dados do antigo SIEM para o novo SIEM. Este processo depende da documentação da configuração atual reunida no Processo: Documentar configuração e uso atuais seção.

As etapas a seguir normalmente estão envolvidas no processo de migração da origem de log:

1. Descoberta e inventário: A primeira etapa é descobrir e inventariar todas as fontes de log que estão sendo ingeridas atualmente pelo antigo SIEM. Isso pode ser feito usando vários métodos, como re-viewna configuração do SIEM files ou usando APIs e ferramentas relacionadas.
2. Priorização: depois que as fontes de log forem descobertas e inventariadas, elas precisarão ser priorizadas para migração. Isto pode ser feito com base em vários fatores, como a análise conduzida pela origem do log, o volume de dados, a criticidade dos dados, os requisitos de conformidade e a complexidade do processo de migração.
3. Planejamento de migração: Depois que as fontes de log forem priorizadas, um plano de migração deverá ser desenvolvido.
4. Execução da migração: O processo de migração pode então ser executado de acordo com o plano. Isso pode envolver diversas tarefas, como configuração de feeds no novo SIEM, instalação de agentes, configuração de APIs, etc.
5. Testes e validação: Assim que a migração estiver concluída, é importante testar e validar se os dados de registo estão a ser ingeridos corretamente. Use isso como uma oportunidade para configurar alertas para fontes de dados que ficaram silenciosas.
6. Documentação: Finalmente, é importante documentar a nova configuração da origem de log.

Processo-chave: migração de conteúdo de detecção e resposta
O conteúdo de detecção e resposta do SIEM consiste em regras, pesquisas, manuais, painéis e outras configurações que definem sobre quais alertas do SIEM e como ele ajuda os analistas a lidar com esses alertas. Sem conteúdo devidamente configurado, o SIEM é apenas uma forma sofisticada de pesquisar. É “grep caro” – um termo que um colega dos autores cunhou há alguns anos. O conteúdo SIEM desempenha um papel fundamental na definição da cobertura de descoberta da sua organização.

• As regras de detecção são usadas para identificar incidentes de segurança. Engenheiros de detecção que possuem profundo conhecimento dos atores das ameaças à segurança e das táticas, técnicas e procedimentos (TTPs) comuns a eles os escrevem. As regras de detecção procuram padrões que representem esses TTPs nos dados de log. As regras de detecção geralmente correlacionam diferentes fontes de log e fazem uso de dados de inteligência de ameaças.
• Os playbooks de resposta são usados ​​para automatizar a resposta a alertas de segurança. Eles podem incluir tarefas como envio de notificações, isolamento de hosts comprometidos, enriquecimento de alertas com inteligência contextual de dados/ameaças e execução de scripts de remediação.
• Os painéis são usados ​​para visualizar dados de segurança e rastrear o status dos incidentes de segurança. Eles podem ser usados ​​para monitorar a postura geral de segurança da organização e para identificar tendências e padrões.
• O desenvolvimento de novos conteúdos de detecção e resposta é um processo iterativo. É importante monitorar continuamente o SIEM e fazer ajustes no conteúdo conforme necessário. A migração SIEM é um excelente momento para melhorar seus processos usando abordagens como detecção como código (DaC).

Processo-chave: treinamento e capacitação
Um processo frequentemente esquecido durante a migração do SIEM é o treinamento do usuário. O SIEM é talvez a ferramenta mais importante que uma equipe de operações de segurança usa. A sua capacidade de usá-lo de forma eficaz e produtiva desempenhará um papel importante no sucesso da migração e na sua capacidade de proteger a sua organização. Conte com seu provedor de SIEM e parceiro de implantação para fornecer conteúdo e entrega de treinamento. Aqui está uma breve lista de tópicos nos quais suas equipes devem estar capacitadas.

• Ingestão e análise de feed de log
• Pesquisa / Investigação
• Gestão de Casos
• Autoria de regras
• Desenvolvimento de Dashboards
• Manual / Automação

Conclusão

• Eventualmente, a migração de um SIEM legado para uma solução moderna é inevitável. Embora os desafios possam parecer assustadores, uma migração bem planejada e executada pode levar a melhorias significativas na detecção de ameaças, nas capacidades de resposta e na postura geral de segurança.
• Ao considerar cuidadosamente a seleção de um novo SIEM, aproveitando os pontos fortes da arquitetura nativa da nuvem, incorporando inteligência avançada contra ameaças e utilizando recursos orientados por IA, as organizações podem capacitar suas equipes de segurança para se defenderem proativamente contra ameaças em constante evolução. O processo de migração bem-sucedido envolve planejamento meticuloso, documentação abrangente, origem estratégica de log e migração de conteúdo, testes completos e treinamento abrangente de usuários.
• A parceria com especialistas de implantação experientes pode ser inestimável para lidar com as complexidades e garantir uma transição tranquila. Com o compromisso com a melhoria contínua e o foco na engenharia de detecção, as organizações podem aproveitar todos os recursos
• potencial do seu novo SIEM e reforçar as suas defesas de segurança nos próximos anos.

Leitura adicional

• Artigo “Como o Google SecOps pode ajudar a aumentar sua pilha SIEM”
• “Futuro do SOC: evolução ou otimização – escolha seu caminho” papel
• Blog da comunidade de segurança do Google Cloud
• Boletim Semanal de Engenharia de Detecção
• detectar.fyi – Dicas centradas no profissional sobre engenharia de detecção
• Primeiros passos com detecção como código e operações de segurança do Google – David French (Parte um, parte dois)
• Implementando um fluxo de trabalho moderno de engenharia de detecção – Dan Lussier (Parte um, parte dois, parte três)

Para mais informações visite nuvem.google.com

Perguntas frequentes

P: Qual é o objetivo do guia Great SIEM Migration?
R: O guia tem como objetivo ajudar as organizações na transição de soluções SIEM desatualizadas para opções mais novas e mais eficientes para detecção e resposta a ameaças.

P: Como posso me beneficiar de um SIEM nativo da nuvem?
R: SIEMs nativos da nuvem fornecem escalabilidade, economia e segurança eficaz para cargas de trabalho na nuvem devido à sua arquitetura e recursos.

Documentos / Recursos

Migração de SIEM do Google Cloud [pdf] Instruções Migração SIEM, Migração

Referências

• Manual do usuário