Migrazione SIEM di Google Cloud

Informazioni sul prodotto

Specifiche:

• Nome del prodotto: Guida alla migrazione SIEM
• Autore: Sconosciuto
• Pubblicato Anno: Non specificato

Istruzioni per l'uso del prodotto

• Selezione di un nuovo SIEM
  Inizia ponendo a te stesso e al tuo team alcune domande chiave per scoprire i punti di forza e di debolezza di ciascuna offerta. Identifica rapidamente i superpoteri di ciascun SIEM e pianifica il modo in cui la tua organizzazione può progrediretage di loro.
• SIEM nativo nel cloud
  Considera se il SIEM è offerto da un primario fornitore di servizi cloud (CSP) in grado di fornire infrastrutture su scala mondiale a prezzi all'ingrosso. I modelli di distribuzione SIEM nativi del cloud consentono la scalabilità e la gestione dinamica dei carichi di lavoro cloud.
• SIEM con Intelligenza
  Controlla se il fornitore SIEM offre continua intelligence sulle minacce in prima linea per favorire il rilevamento immediato di minacce nuove ed emergenti.

SIEM è morto, lunga vita a SIEM

Se sei come noi, potresti rimanere sorpreso dal fatto che, nel 2024, i sistemi SIEM (Security Information and Event Management) siano ancora la spina dorsale della maggior parte dei Security Operations Center (SOC). I SIEM sono sempre stati utilizzati per raccogliere e analizzare i dati sulla sicurezza dell'intera organizzazione per aiutarti a identificare, indagare e rispondere alle minacce in modo rapido ed efficace. Ma la realtà è che i SIEM moderni di oggi somigliano poco a quelli costruiti più di 15 anni fa, prima dell'avvento dell'architettura nativa del cloud, dell'analisi delle entità e del comportamento degli utenti (UEBA), dell'orchestrazione della sicurezza, dell'automazione e della risposta (SOAR), della gestione delle superfici di attacco e ovviamente l'intelligenza artificiale, per citarne alcuni.
I SIEM legacy sono spesso lenti, macchinosi e difficili da utilizzare. La loro architettura legacy spesso impedisce loro di scalare per acquisire origini di log ad alto volume e potrebbero non essere in grado di tenere il passo con le minacce più recenti o supportare le funzionalità e le funzionalità più recenti. Potrebbero non offrire la flessibilità necessaria per supportare i requisiti specifici della tua organizzazione o essere adatti alla strategia multi-cloud che rappresenta oggi la realtà per la maggior parte delle organizzazioni. Infine, potrebbero essere in una posizione inadeguata per ottenere un vantaggiotage degli ultimi sviluppi tecnologici, come l’intelligenza artificiale (AI).
Quindi, anche se un SIEM con qualsiasi altro nome può sembrare altrettanto interessante, i team delle operazioni di sicurezza continueranno a fare affidamento
"piattaforme operative di sicurezza" (o qualunque sia il nome con cui vengono chiamate) nel prossimo futuro per il rilevamento, l'indagine e la risposta alle minacce.

La grande migrazione SIEM è iniziata

La migrazione SIEM non è una novità. Le organizzazioni si sono disamorate del SIEM esistente e hanno cercato per anni opzioni nuove e migliori. Forse più spesso, le organizzazioni hanno sopportato un SIEM poco performante e/o eccessivamente costoso più a lungo di quanto avrebbero voluto, in parte a causa delle preoccupazioni sulla complessità di dover gestire la migrazione del SIEM.
Ma gli ultimi mesi hanno introdotto cambiamenti tettonici nello spazio SIEM che non possono essere sottovalutati. Non c’è dubbio che il panorama SIEM sarà completamente trasformato nel giro di pochi anni da oggi, dando vita a nuovi leader di mercato e assistendo al declino e forse anche alla scomparsa dei “dinosauri” che hanno governato la terra SIEM per decenni (o “ eoni” in termini di sicurezza informatica). Questi sviluppi accelereranno senza dubbio la migrazione dalle piattaforme SIEM legacy a quelle moderne, con molte organizzazioni che ora si trovano ad affrontare la realtà di quando dovrebbero migrare invece che se farlo.

Ecco un riepilogo delle principali mosse solo negli ultimi 9 mesi:

Identificare le carenze del tuo SIEM attuale è molto più semplice che selezionare il miglior sostituto ed eseguire una migrazione di successo. È anche importante notare che gli errori di distribuzione SIEM possono anche derivare da processi (e occasionalmente da persone) e non solo dalla tecnologia. È qui che entra in gioco questo articolo. Gli autori hanno assistito a centinaia di migrazioni SIEM come professionisti, analisti e fornitori nel corso di diversi decenni. Quindi, facciamo il punto sui principali suggerimenti sulla migrazione SIEM per il 2024. Divideremo questo elenco in categorie e inseriremo le lezioni che abbiamo imparato in trincea.

Selezione di un nuovo SIEM

Inizia ponendo a te stesso e al tuo team alcune domande chiave per scoprire i punti di forza e di debolezza di ciascuna offerta. Ti consigliamo di identificare rapidamente i “superpoteri” di ciascun SIEM e di pianificare il modo in cui la tua organizzazione può trarne vantaggiotage di loro. Per esampon:

• SIEM nativo nel cloud
  
  • Il SIEM è offerto da un primario fornitore di servizi cloud (CSP) in grado di fornire infrastrutture su scala mondiale a prezzi all'ingrosso?
    La nostra esperienza dimostra che i fornitori SIEM che operano in cloud di cui non sono proprietari hanno difficoltà a superare l'inevitabile “accatastamento dei margini” associato a tali modelli. Questa domanda è indissolubilmente legata ai costi.
    Un modello di distribuzione SIEM nativo del cloud consente inoltre al SIEM di aumentare e diminuire la scalabilità in risposta a nuove minacce e anche di gestire la natura dinamica dei carichi di lavoro cloud di un'organizzazione. L'infrastruttura e le applicazioni cloud possono crescere notevolmente in pochi minuti. Un'architettura SIEM nativa del cloud consente agli strumenti critici dei team di sicurezza di adattarsi alla stessa velocità con le esigenze dell'organizzazione più ampia.
    I SIEM cloud-native sono inoltre ben posizionati per proteggere i carichi di lavoro cloud. Forniscono l'inserimento di dati a bassa latenza dai servizi cloud e vengono forniti con contenuti di rilevamento per aiutare a identificare gli attacchi comuni nel cloud.
• SIEM con Intelligenza
  • Il fornitore SIEM dispone di un flusso continuo di informazioni sulle minacce in prima linea per favorire il rilevamento immediato di minacce nuove ed emergenti?
    Queste fonti d’oro derivano in genere da pratiche di risposta agli incidenti di alto livello, dal funzionamento di massicce offerte cloud IaaS o SaaS per i consumatori o da basi di installazione globali di prodotti software di sicurezza o sistemi operativi.
    L'intelligence sulle minacce è fondamentale affinché le organizzazioni possano rilevare, classificare, indagare e rispondere in modo efficace agli incidenti di sicurezza. L’intelligence sulle minacce in prima linea, in particolare, è preziosa perché fornisce informazioni in tempo reale sulle minacce e sulle vulnerabilità più recenti. Queste informazioni possono essere utilizzate per identificare rapidamente e dare priorità agli incidenti di sicurezza e per sviluppare e implementare strategie di risposta efficaci.
    Per migliorare le capacità di rilevamento e risposta alle minacce in tempo reale, le organizzazioni di sicurezza cercano una perfetta integrazione dell’intelligence sulle minacce e dei feed di dati associati nei flussi di lavoro e negli strumenti delle operazioni di sicurezza. Sedia girevole, copia-incolla e integrazioni fragili tra SIEM e fonti di informazioni sulle minacce riducono la produttività e hanno un impatto negativo sull'efficacia del team e sull'esperienza degli analisti.
• SIEM con contenuti curati
  • Il SIEM offre un'ampia libreria di parser supportati, regole di rilevamento e azioni di risposta?
    Mancia: Alcuni fornitori SIEM si affidano quasi esclusivamente alla propria comunità di utenti o ai partner dell'alleanza tecnica per creare parser per i feed di dati più diffusi. Sebbene una fiorente comunità di utenti sia essenziale, fare eccessivo affidamento su di essa per fornire funzionalità fondamentali come l’analisi è un problema. I parser per origini dati comuni dovrebbero essere creati, mantenuti e supportati direttamente dal fornitore SIEM. Adotta lo stesso approccio quando esamini il contenuto delle regole di rilevamento. Le regole della community sono essenziali, ma dovresti aspettarti che il tuo fornitore crei e mantenga una solida libreria di rilevamenti principali che vengono testati, supportati e migliorati regolarmente. Il rilevamento accurato e di alta qualità delle minacce è fondamentale per consentire alle organizzazioni di gestire in modo efficace il proprio livello di sicurezza. Google SecOps fornisce il rilevamento immediato di minacce nuove ed emergenti, che può aiutare le organizzazioni a identificare e rispondere rapidamente agli incidenti di sicurezza.
• SIEM con intelligenza artificiale
  • Il SIEM incorpora l’intelligenza artificiale ed è posizionato per continuare a innovare?
    Il ruolo dell'intelligenza artificiale nel SIEM non è ancora pienamente compreso (e ancor meno implementato) da nessun fornitore. Tuttavia, i principali SIEM dispongono già oggi di funzionalità tangibili basate sull’intelligenza artificiale. Queste funzionalità includono l'elaborazione del linguaggio naturale per esprimere ricerche e regole, riepilogo automatizzato dei casi e azioni di risposta consigliate. La maggior parte dei clienti e degli osservatori del settore considera funzionalità come il rilevamento delle minacce e l’analisi predittiva degli avversari come alcuni del “Santo Graal” delle funzionalità SIEM basate sull’intelligenza artificiale. Nessun SIEM offre oggi in modo affidabile queste funzionalità. Quando scegli un nuovo SIEM nel 2024, valuta se il fornitore sta investendo le risorse necessarie per compiere progressi significativi su queste capacità di trasformazione.

Google Security Operations (in precedenza Chronicle) è una soluzione SIEM basata su cloud offerta da Google Cloud. È progettato per aiutare le organizzazioni a raccogliere centralmente log e altri dati di telemetria sulla sicurezza, quindi a rilevare, indagare e rispondere alle minacce alla sicurezza in tempo reale. 

• Rileva e assegna priorità alle minacce alla sicurezza: le regole di rilevamento predefinite di Google SecOps identificano e danno priorità alle minacce alla sicurezza in tempo reale. Ciò aiuta le organizzazioni a rispondere in modo rapido ed efficace alle minacce più critiche.
• Indagare sugli incidenti di sicurezza: Google SecOps fornisce una piattaforma centralizzata per indagare sugli incidenti di sicurezza. Ciò aiuta le organizzazioni a raccogliere prove in modo rapido ed efficiente e a determinare la portata dell'incidente.
• Rispondere agli incidenti di sicurezza: Google SecOps offre una varietà di strumenti per aiutare le organizzazioni a rispondere agli incidenti di sicurezza, come la riparazione automatizzata. I cacciatori di minacce ritengono che la velocità, le capacità di ricerca e l'intelligence applicata sulle minacce della piattaforma abbiano un valore inestimabile nel rintracciare gli aggressori che potrebbero essere riusciti a sfuggire. Ciò aiuta le organizzazioni a contenere e mitigare in modo rapido ed efficace l'impatto degli incidenti di sicurezza.
  Google SecOps ha una serie di vantaggitagsupera le tradizionali soluzioni SIEM, tra cui:
• Intelligenza artificiale: Google SecOps utilizza la tecnologia Gemini AI di Google per consentire ai difensori di cercare grandi quantità di dati in pochi secondi utilizzando il linguaggio naturale e prendere decisioni più rapide rispondendo a domande, riepilogando eventi, cercando minacce, creando regole e fornendo azioni consigliate in base al contesto delle indagini. I team di sicurezza possono anche utilizzare Gemini nelle operazioni di sicurezza per creare facilmente playbook di risposta, personalizzare le configurazioni e incorporare le migliori pratiche, contribuendo a semplificare le attività dispendiose in termini di tempo che richiedono competenze approfondite.
• Intelligence applicata alle minacce: Google SecOps si integra nativamente con Google Threat Intelligence (GTI) che comprende l'intelligence combinata di VirusTotal, Mandiant Threat Intelligence e fonti interne di Google Threat Intelligence, per aiutare i clienti a rilevare più minacce con meno sforzo.
• Scalabilità: Google SecOps è una soluzione basata sul cloud, quindi può sfruttare l'infrastruttura cloud iperscalabile fornita da Google Cloud per soddisfare le esigenze di capacità e prestazioni di qualsiasi organizzazione, indipendentemente dalle dimensioni.
• Integrazione con Google Cloud: Google SecOps è strettamente integrato con altri prodotti e servizi Google Cloud, come Google Cloud Security Command Center Enterprise (SCCE). Questa integrazione consente alle organizzazioni di gestire facilmente le proprie operazioni di sicurezza in un'unica piattaforma unificata. Google SecOps è il miglior SIEM per la telemetria dei servizi GCP e include anche contenuti di rilevamento pronti all'uso per altri importanti provider cloud come AWS e Azure.

Intelligence sulle minacce applicata in Google SecOps
Google SecOps consente ai team di sicurezza di gestire e analizzare i dati sulla sicurezza che vengono automaticamente correlati e arricchiti con i dati sulle minacce. Integrando l'intelligence sulle minacce direttamente nel tuo SIEM, le organizzazioni possono:

• Migliorare il rilevamento e il triage: I dati sulle minacce possono essere utilizzati direttamente per creare regole che possano aiutare a identificare attività dannose in tempo reale. Questi dati vengono utilizzati anche per aggiungere contesto ad altri avvisi e regolare automaticamente l'attendibilità dell'avviso. Ciò aiuta le organizzazioni a rilevare e valutare rapidamente gli incidenti di sicurezza e a concentrare le proprie risorse sulle minacce più critiche.
• Migliorare l'indagine e la risposta: L'intelligence sulle minacce può essere utilizzata per fornire contesto e approfondimenti durante le indagini sulla sicurezza. Ciò può aiutare gli analisti a identificare rapidamente la causa principale di un incidente e a sviluppare e implementare strategie di risposta efficaci.
• Stai al passo con il panorama delle minacce: L’intelligence sulle minacce può aiutare le organizzazioni a stare al passo con il panorama delle minacce fornendo informazioni sulle minacce e vulnerabilità più recenti. Queste informazioni possono essere utilizzate per sviluppare e implementare misure di sicurezza proattive, come la caccia alle minacce e la formazione sulla sensibilizzazione alla sicurezza.

Rilevamento delle minacce in Google SecOps
Il rilevamento delle minacce di Google SecOps si basa su un flusso continuo di informazioni sulle minacce in prima linea da parte dei team di sicurezza di Google. Questa intelligence viene utilizzata per creare regole e avvisi in grado di identificare attività dannose in tempo reale. Google SecOps utilizza anche l'analisi del comportamento e il punteggio del rischio per identificare modelli sospetti nei dati sulla sicurezza. Ciò consente a Google SecOps di rilevare minacce che non possono essere rilevate dalle regole di rilevamento tradizionali.

Il valore di un rilevamento delle minacce curato e di alta qualità è chiaro. Le organizzazioni che utilizzano Google SecOps possono trarre vantaggio da:

• Rilevamento e classificazione migliorati: Google SecOps può aiutare le organizzazioni a identificare e classificare rapidamente gli incidenti di sicurezza. Ciò consente alle organizzazioni di concentrare le proprie risorse sulle minacce più critiche.
• Indagine e risposta migliorate: Google SecOps può fornire contesto e approfondimenti durante le indagini sulla sicurezza. Ciò può aiutare gli analisti a identificare rapidamente la causa principale di un incidente e a sviluppare e implementare strategie di risposta efficaci.
• Stai al passo con il panorama delle minacce: Google SecOps può aiutare le organizzazioni a stare al passo con il panorama delle minacce fornendo informazioni sulle minacce e vulnerabilità più recenti. Queste informazioni possono essere utilizzate per sviluppare e implementare misure di sicurezza proattive, come la caccia alle minacce e la formazione sulla sensibilizzazione alla sicurezza.

Migrazione SIEM

Quindi hai deciso di fare la mossa. Il tuo approccio alla migrazione è fondamentale per assicurarti di mantenere le funzionalità richieste e iniziare a estrarre valore dalla nuova piattaforma il prima possibile. Si tratta di stabilire le priorità. Un tipico compromesso è riconoscere che, sebbene una migrazione SIEM rappresenti un’opportunità per modernizzare l’intero approccio all’indagine, al rilevamento e alla risposta, molte migrazioni SIEM falliscono perché le organizzazioni cercano di “far bollire l’oceano”.

Ecco quindi i nostri migliori consigli per pianificare ed eseguire con successo la migrazione SIEM:

• Definisci i tuoi obiettivi di migrazione. Sembra ovvio, ma la migrazione SIEM è un processo lungo, quindi la definizione dei risultati desiderati (ad esempio, rilevamento più rapido delle minacce, reporting di conformità più semplice, migliore visibilità, riduzione del lavoro degli analisti, riducendo anche i costi) è fortemente correlato al successo.
• Usa la migrazione come un'opportunità per fare pulizia. Questo è un buon momento per fare pulizia le regole di rilevamento e le origini log e migra solo quelli che effettivamente usi. È anche un buon momento per riview i processi di classificazione e ottimizzazione degli avvisi e assicurarsi che siano aggiornati.
• Non eseguire la migrazione di ogni origine log. Il passaggio a un nuovo SIEM è un'ottima opportunità per decidere quali log sono necessari, sia per motivi di conformità che di sicurezza. Molte organizzazioni accumulano nel tempo una grande quantità di dati di registro e non tutti sono necessariamente preziosi o rilevanti. Prendendoti il ​​tempo necessario per valutare le origini dei log prima di eseguirne la migrazione, puoi semplificare il tuo SIEM e concentrarti sui dati più importanti per le tue esigenze di sicurezza e conformità.
• Non eseguire la migrazione di tutti i contenuti. La migrazione di tutti i contenuti di rilevamento, regole, avvisi, dashboard, visualizzazioni e playbook esistenti a un nuovo SIEM non è sempre necessaria. Prenditi il ​​tempo necessario per valutare la tua attuale copertura di rilevamento e dare priorità alla migrazione delle regole di cui hai bisogno. Troverai opportunità per consolidare le regole, per eliminare regole che non potrebbero mai attivarsi a causa della mancanza di telemetria o di logica errata o regole che vengono gestite meglio da contenuti predefiniti. Interroga qualsiasi fornitore o partner di distribuzione che sostiene la migrazione delle regole uno a uno.
• Dai priorità alla migrazione anticipata dei contenuti. Avvia la migrazione dei contenuti di rilevamento immediatamente non appena sono disponibili le origini log e gli arricchimenti richiesti per ciascun caso d'uso specifico. Questo approccio basato sui dati, allineando le fonti con i casi d'uso, consente sforzi di migrazione parallela per efficienza e risultati ottimali.
• La migrazione del contenuto di rilevamento è un processo guidato dall'uomo. Preparati a ricostruire i contenuti di rilevamento (regole, avvisi, dashboard, modelli, ecc.) (per lo più) da zero, utilizzando i vecchi contenuti come ispirazione. Oggi non esiste un metodo infallibile per convertire automaticamente le regole da una piattaforma SIEM a un'altra. Sebbene alcuni fornitori offrano traduttori di sintassi, generalmente si traducono in un buon punto di partenza piuttosto che in una regola, una ricerca o un dashboard perfettamente tradotto. Dovresti prendere il massimo anticipotagTutti questi strumenti, ma riconoscono che non sono una panacea.
• Il contenuto del rilevamento proviene da molte fonti. Analizza le tue esigenze di copertura del rilevamento, quindi adotta o crea i casi d'uso del rilevamento secondo necessità. Il tuo fornitore SIEM fornirà alcuni contenuti pronti all'uso che dovresti sempre sfruttare, se puoi. Considera anche i repository di regole della community e i fornitori di contenuti di rilevamento di terze parti. Se necessario, scrivi le tue regole e ricorda che la maggior parte delle regole, indipendentemente dalla loro provenienza, devono essere adattate all'ambiente specifico della tua organizzazione.
• Sviluppare una sequenza temporale realistica della migrazione. Ciò include la contabilizzazione del trasferimento dei dati, dei test, della messa a punto, della formazione e delle potenziali sovrapposizioni in cui potrebbe essere necessario eseguire entrambi i sistemi in parallelo. Un piano di migrazione ben definito ti aiuterà a identificare e mitigare i rischi e a garantire che la migrazione venga completata con successo. Il piano dovrebbe includere una tempistica dettagliata, un elenco di attività, risorse e un budget. Riconoscere che i progetti più importanti come la migrazione SIEM devono essere suddivisi in fasi.
• Test. Ti consigliamo di testare il tuo SIEM e il contenuto di rilevamento inserendo regolarmente dati che attiveranno i rilevamenti, controllando l'analisi e convalidando il flusso di dati dal rilevamento al caso alla risposta. Una migrazione SIEM è il momento perfetto per adottare un metodo rigoroso programma di ingegneria di rilevamento questo include test come questo.
• Preparati per un periodo di transizione durante il quale utilizzerai sia i vecchi che i nuovi strumenti. Evita un approccio dirompente “rip and replace”. Una migrazione a fasi, in cui si migrano le origini dei log e i casi d'uso in modo graduale, aiuta a controllare il processo e riduce i rischi. Inoltre, pensaci due volte prima di reinserire i dati dal tuo vecchio SIEM nel nuovo. In alcuni casi, potresti avere la possibilità di lasciare in esecuzione il SIEM precedente per periodi prolungati per consentire l'accesso ai dati storici.
• Abilita i tuoi team. La migrazione SIEM fallirà se i tuoi analisti non potranno utilizzare il nuovo sistema. Un buon piano di migrazione includerà una profonda abilitazione per i tuoi team. Pensa alla formazione di ingegneri sull'onboarding e l'analisi dei dati, alla formazione di analisti sulla gestione/indagine/triage dei casi, ai cacciatori di minacce sul rilevamento/ricerca di anomalie e agli ingegneri di rilevamento sulla scrittura delle regole. La tempistica è fondamentale per l'abilitazione. È meglio formare il personale quando intraprende fasi specifiche della migrazione, piuttosto che formarlo prima che tali competenze siano richieste.
• Ottenere aiuto! Se sei fortunato (o forse sfortunato?) come professionista o leader, forse avrai attraversato una o due migrazioni SIEM nella tua carriera. Perché non chiedere aiuto a specialisti che lo hanno fatto decine o centinaia di volte? I team di servizi professionali del fornitore e/o i team di consulenza di partner di servizi qualificati sono un'ottima scelta. Le migrazioni SIEM sono sforzi in gran parte incentrati sull’uomo.

Processo chiave: scegli un partner per l'implementazione
Nessuna decisione avrà un impatto maggiore sul successo finale di una migrazione SIEM rispetto alla scelta di un partner di distribuzione. Le piattaforme SIEM sono sistemi aziendali complessi e su larga scala. Non provare a farlo da solo; rimani con un partner di distribuzione che ha attraversato molte migrazioni.

Il partner di distribuzione potrebbe semplicemente essere il ramo dei servizi professionali del nuovo fornitore SIEM. Tuttavia, è più comune scegliere un partner di terze parti per eseguire la migrazione. Ricorda che la migrazione SIEM è un'impresa guidata dall'uomo. Scegliere un partner con certificazioni nel nuovo SIEM e molti partner referenziabili è la cosa migliore. È utile anche che abbiano esperienza nel SIEM da cui stai migrando. Al di là dei riferimenti, un modo intelligente per determinare il livello di esperienza di un partner con il tuo nuovo SIEM è controllare i forum della community per vedere se il team ha contribuito attivamente. Secondo l'opinione degli autori, il personale altamente impegnato dei partner è correlato al successo delle migrazioni SIEM. Oltre ai bit e ai byte tecnici della migrazione SIEM, puoi anche scegliere partner che hanno esperienza specifica nel tuo settore verticale, o nel tuo ambiente di conformità, o in la tua regione, o tutte e tre! Puoi cercare competenze e risorse linguistiche in advantagfusi orari diversi. Puoi anche cercare partner che gestiscano il tuo SIEM per te o che forniscano risultati simili come fornitore di servizi di sicurezza gestiti che può esternalizzare parzialmente o completamente il SIEM della tua organizzazione.

Processo chiave: documentare la configurazione corrente e i casi d'uso
Le implementazioni SIEM sono generalmente estese e crescono costantemente in portata e complessità nel corso degli anni di utilizzo. Preparati per poca o nessuna documentazione. Ci si aspetta che il personale che ha eseguito la configurazione iniziale e la personalizzazione del SIEM sia spesso assente da tempo. Documentare accuratamente la configurazione e le funzionalità nelle prime fasi del processo di migrazione può fare la differenza tra successo e fallimento.

• Documentare la gestione dell'identità e degli accessi utilizzata dal SIEM. Sarà sicuramente necessario preservare l'accesso basato sui ruoli a dati e funzionalità. D'altro canto, la migrazione rappresenta un'opportunità per analizzare e affrontare la proliferazione degli accessi che si verifica naturalmente nella maggior parte delle organizzazioni. Potresti anche considerare il processo di migrazione come un'opportunità per modernizzare i metodi di autenticazione/autorizzazione, inclusa la federazione dell'identità con gli standard aziendali e l'implementazione dell'autenticazione a più fattori.
• Cattura i nomi dei tipi di dati raccolti. Tieni presente che alcuni SIEM chiamano questi nomi “sourcetype” o “logtype”. Acquisisci la quantità di dati di ciascun tipo che circola utilizzando gigabyte al giorno come metrica. Documentare la pipeline di dati per ciascuna origine dati (basata su agente, query API, web hook, inserimento di bucket cloud, API di inserimento, listener HTTP, ecc.) e acquisire la configurazione del parser SIEM insieme a eventuali personalizzazioni.
• Raccogli ricerche salvate, definizioni di dashboard e regole di rilevamento. Molti SIEM dispongono anche di meccanismi di archiviazione dei dati persistenti come le tabelle di ricerca. Assicurati di comprendere e documentare il modo in cui questi vengono popolati e utilizzati.
• Fare un inventario delle integrazioni con sistemi esterni. Molti SIEM si integrano con sistemi di gestione dei casi, database relazionali, servizi di notifica (e-mail, SMS, ecc.) e piattaforme di intelligence sulle minacce.
• Acquisisci contenuti di risposta come playbook, modelli di gestione dei casi ed eventuali integrazioni attive che non siano già state documentate.

Oltre a raccogliere questi importanti dettagli tecnici, è fondamentale prendersi del tempo per l'interview utenti del SIEM esistente per comprendere i loro flussi di lavoro. Chiedere come utilizzano il SIEM, quali procedure operative standard si basano sul SIEM. È anche importante porre domande generali, ad esempio quali team esterni alla sicurezza potrebbero utilizzare il SIEM. Per esample, non è raro che i team di conformità o il personale delle operazioni IT facciano affidamento sul SIEM. La mancata acquisizione di questi casi d'uso può causare il mancato rispetto delle aspettative nelle fasi successive del processo di migrazione.

Processo chiave: migrazione dell'origine log
La migrazione dell'origine log comporta lo spostamento delle origini dati dal vecchio SIEM al nuovo SIEM. Questo processo dipende dalla documentazione della configurazione corrente raccolta nel file Processo: documentare la configurazione e l'utilizzo correnti sezione.

I seguenti passaggi sono generalmente coinvolti nel processo di migrazione dell'origine log:

1. Scoperta e inventario: Il primo passaggio consiste nell'individuare e nell'inventario di tutte le origini log attualmente acquisite dal vecchio SIEM. Questo può essere fatto utilizzando una varietà di metodi, come reviewmodificando la configurazione del SIEM files o utilizzando API e strumenti correlati.
2. Priorità: una volta individuate e inventariate le origini dei log, è necessario assegnarle la priorità per la migrazione. Ciò può essere fatto in base a una serie di fattori, come l'analisi guidata dall'origine del registro, il volume dei dati, la criticità dei dati, i requisiti di conformità e la complessità del processo di migrazione.
3. Pianificazione della migrazione: Una volta stabilita la priorità delle origini dei log, è necessario sviluppare un piano di migrazione.
4. Esecuzione della migrazione: Il processo di migrazione può quindi essere eseguito secondo il piano. Ciò può comportare una serie di attività, come la configurazione dei feed nel nuovo SIEM, l'installazione di agenti, la configurazione delle API, ecc.
5. Test e convalida: Una volta completata la migrazione, è importante testare e verificare che i dati di registro vengano inseriti correttamente. Usalo come un'opportunità per configurare avvisi per le origini dati che sono diventate silenziose.
6. Documentazione: Infine, è importante documentare la nuova configurazione dell'origine log.

Processo chiave: migrazione dei contenuti di rilevamento e risposta
Il contenuto di rilevamento e risposta SIEM è costituito da regole, ricerche, playbook, dashboard e altre configurazioni che definiscono gli avvisi SIEM e il modo in cui aiuta gli analisti a gestire tali avvisi. Senza contenuti adeguatamente configurati, il SIEM è solo un modo elegante per effettuare ricerche. Si tratta di “grep costoso” – un termine coniato da un collega degli autori diversi anni fa. I contenuti SIEM svolgono un ruolo chiave nel definire la copertura del discovery della tua organizzazione.

• Le regole di rilevamento vengono utilizzate per identificare gli incidenti di sicurezza. A scriverli sono gli ingegneri del rilevamento che hanno una profonda conoscenza degli attori delle minacce alla sicurezza e delle tattiche, tecniche e procedure (TTP) a loro comuni. Le regole di rilevamento cercano modelli che rappresentano questi TTP nei dati di registro. Le regole di rilevamento spesso mettono in correlazione diverse origini di log e utilizzano dati di intelligence sulle minacce.
• I playbook di risposta vengono utilizzati per automatizzare la risposta agli avvisi di sicurezza. Possono includere attività come l'invio di notifiche, l'isolamento di host compromessi, l'arricchimento degli avvisi con dati contestuali/intelligence sulle minacce e l'esecuzione di script di riparazione.
• Le dashboard vengono utilizzate per visualizzare i dati sulla sicurezza e tenere traccia dello stato degli incidenti di sicurezza. Possono essere utilizzati per monitorare la situazione di sicurezza complessiva dell'organizzazione e per identificare tendenze e modelli.
• Lo sviluppo di nuovi contenuti di rilevamento e risposta è un processo iterativo. È importante monitorare continuamente il SIEM e apportare modifiche al contenuto secondo necessità. La migrazione SIEM è un momento eccellente per migliorare i processi utilizzando approcci come il rilevamento come codice (DaC).

Processo chiave: formazione e abilitazione
Un processo spesso trascurato durante la migrazione SIEM è la formazione degli utenti. Il SIEM è forse lo strumento più importante utilizzato da un team delle operazioni di sicurezza. La loro capacità di utilizzarlo in modo efficace e produttivo svolgerà un ruolo importante nel successo della migrazione e nella loro capacità di proteggere la tua organizzazione. Affidati al tuo provider SIEM e al partner di distribuzione per fornire contenuti e erogazione della formazione. Ecco un breve elenco di argomenti su cui i tuoi team dovrebbero essere abilitati.

• Registra l'inserimento e l'analisi dei feed
• Ricerca/investigazione
• Gestione dei casi
• Creazione di regole
• Sviluppo del cruscotto
• Playbook/Automazione

Conclusione

• Alla fine, la migrazione da un SIEM legacy a una soluzione moderna è inevitabile. Sebbene le sfide possano sembrare scoraggianti, una migrazione ben pianificata ed eseguita può portare a miglioramenti significativi nel rilevamento delle minacce, nelle capacità di risposta e nel livello di sicurezza generale.
• Considerando attentamente la selezione di un nuovo SIEM, sfruttando i punti di forza dell'architettura cloud-native, incorporando informazioni avanzate sulle minacce e utilizzando funzionalità basate sull'intelligenza artificiale, le organizzazioni possono consentire ai propri team di sicurezza di difendersi in modo proattivo dalle minacce in continua evoluzione. Il successo del processo di migrazione prevede una pianificazione meticolosa, una documentazione completa, la migrazione strategica di fonti di registro e contenuti, test approfonditi e una formazione completa degli utenti.
• La collaborazione con specialisti esperti di distribuzione può rivelarsi preziosa per affrontare le complessità e garantire una transizione fluida. Con l'impegno per il miglioramento continuo e l'attenzione all'ingegneria del rilevamento, le organizzazioni possono sfruttare al meglio
• potenziale del loro nuovo SIEM e rafforzare le loro difese di sicurezza per gli anni a venire.

Letture aggiuntive

• Documento "Come Google SecOps può aiutare ad aumentare il tuo stack SIEM".
• "Il futuro del SOC: evoluzione o ottimizzazione: scegli il tuo percorso" carta
• Blog della community sulla sicurezza di Google Cloud
• Newsletter settimanale sull'ingegneria del rilevamento
• rilevare.fyi – Suggerimenti incentrati sui professionisti sull'ingegneria del rilevamento
• Introduzione al rilevamento come codice e alle operazioni di sicurezza di Google – David French (Prima parte, seconda parte)
• Implementazione di un moderno flusso di lavoro di ingegneria del rilevamento – Dan Lussier (Prima parte, seconda parte, terza parte)

Per maggiori informazioni visita cloud.google.com

Domande frequenti

D: Qual è lo scopo della guida Great SIEM Migration?
R: La guida mira ad aiutare le organizzazioni a passare da soluzioni SIEM obsolete a opzioni più nuove ed efficienti per il rilevamento e la risposta alle minacce.

D: Come posso trarre vantaggio da un SIEM cloud-native?
R: I SIEM nativi del cloud forniscono scalabilità, efficienza in termini di costi e sicurezza efficace per i carichi di lavoro cloud grazie alla loro architettura e funzionalità.

Documenti / Risorse

Migrazione SIEM di Google Cloud [pdf] Istruzioni Migrazione SIEM, Migrazione

Riferimenti

• Manuale d'uso