Google Cloud SIEM Taşıma

Ürün Bilgileri

Özellikler:

• Ürün Adı: SIEM Geçiş Kılavuzu
• Yazar: Bilinmiyor
• Yayımlandı Yıl: Belirtilmemiş

Ürün Kullanım Talimatları

• Yeni bir SIEM Seçme
  Her bir teklifin güçlü ve zayıf yönlerini ortaya çıkarmanıza yardımcı olacak bazı önemli soruları kendinize ve ekibinize sorarak başlayın. Her SIEM'in süper güçlerini hızlı bir şekilde tanımlayın ve kuruluşunuzun nasıl ilerleme kaydedebileceğini planlayıntage onlardan.
• Bulut tabanlı SIEM
  SIEM'in, toptan fiyatlarla dünya çapında altyapı sağlayabilecek bir birincil bulut hizmet sağlayıcısı (CSP) tarafından sunulup sunulmadığını düşünün. Bulutta yerel SIEM dağıtım modelleri, bulut iş yüklerinin ölçeklenebilirliğine ve dinamik yönetimine olanak tanır.
• Zeka ile SIEM
  SIEM satıcısının, yeni ve ortaya çıkan tehditlerin anında algılanmasını sağlamak için sürekli ön hat tehdit istihbaratı sunup sunmadığını kontrol edin.

SIEM öldü, yaşasın SIEM

Siz de bizim gibiyseniz, 2024 yılında güvenlik bilgileri ve olay yönetimi (SIEM) sistemlerinin hâlâ çoğu güvenlik operasyon merkezinin (SOC) omurgası olduğunu görmek sizi şaşırtabilir. SIEM'ler, tehditleri hızlı ve etkili bir şekilde tanımlamanıza, araştırmanıza ve bunlara yanıt vermenize yardımcı olmak amacıyla kuruluşunuz genelindeki güvenlik verilerini toplamak ve analiz etmek için her zaman kullanılmıştır. Ancak gerçek şu ki günümüzün modern SIEM'leri, bulut tabanlı mimarinin, kullanıcı varlığı ve davranış analizinin (UEBA), güvenlik düzenlemesinin, otomasyon ve yanıtın (SOAR), saldırı yüzeyi yönetiminin yükselişinden 15+ yıl önce inşa edilenlerle çok az benzerlik gösteriyor. ve tabii ki yapay zeka bunlardan birkaçı.
Eski SIEM'ler genellikle yavaştır, hantaldır ve kullanımı zordur. Eski mimarileri genellikle yüksek hacimli günlük kaynaklarını alacak şekilde ölçeklenmelerini engeller ve en yeni tehditlere ayak uyduramayabilir veya en yeni özellikleri ve yetenekleri destekleyemeyebilirler. Kuruluşunuzun özel gereksinimlerini destekleyecek esnekliği sunmayabilirler veya günümüzün çoğu kuruluşun gerçeği olan çoklu bulut stratejisine uygun olmayabilirler. Son olarak, avantaj elde etmek için kötü konumlandırılmış olabilirler.tagYapay zeka (AI) gibi en son teknolojik gelişmeler.
Başka bir isimle anılan SIEM kulağa çok hoş gelse de, güvenlik operasyonları ekipleri SIEM'e güvenmeye devam edecek.
Tehdit tespiti, soruşturması ve müdahalesi için öngörülebilir gelecekte “güvenlik operasyon platformları” (ya da hangi isimle anılırsa adlandırılsın).

Büyük SIEM Geçişi Başladı

SIEM geçişi yeni değil. Kuruluşlar mevcut SIEM'lerine olan sevgilerini yitirdiler ve yıllardır daha yeni ve daha iyi seçenekler aradılar. Belki daha sık olarak kuruluşlar, kısmen SIEM geçişiyle uğraşmanın karmaşıklığına ilişkin endişeler nedeniyle, düşük performans gösteren ve/veya aşırı pahalı SIEM'lerine istediklerinden daha uzun süre katlandılar.
Ancak son aylarda SIEM alanında hafife alınamayacak tektonik değişimler yaşandı. SIEM manzarasının bundan birkaç yıl sonra tamamen değişeceğine dair çok az şüphe var - yeni pazar liderleri doğuracak ve onlarca yıldır SIEM topraklarını yöneten "dinozorların" düşüşünü ve hatta belki de yok oluşunu görecek (veya "" Siber güvenlik açısından "eonlarca"). Bu gelişmeler şüphesiz eski SIEM platformlarından modern platformlara geçişi hızlandıracak; birçok kuruluş artık geçiş yapmaları gerekip gerekmediği yerine ne zaman geçiş yapmaları gerektiği gerçeğiyle karşı karşıya kalacak.

İşte yalnızca son 9 aydaki önemli hareketlerin özeti:

Mevcut SIEM'inizdeki eksiklikleri belirlemek, en iyi değişimi seçip başarılı bir geçiş gerçekleştirmekten çok daha kolaydır. SIEM dağıtım hatalarının yalnızca teknolojiden değil, süreçlerden (ve bazen de insanlardan) kaynaklanabileceğini unutmamak da önemlidir. Bu makalenin devreye girdiği yer burasıdır. Yazarlar onlarca yıldır uygulayıcılar, analistler ve satıcılar olarak yüzlerce SIEM geçişine tanık olmuşlardır. Öyleyse, 2024 için en iyi SIEM geçiş ipuçlarını değerlendirelim. Bu listeyi kategorilere ayıracağız ve denemelerden çıkardığımız dersleri serpiştireceğiz.

Yeni bir SIEM Seçme

Her bir teklifin güçlü ve zayıf yönlerini ortaya çıkarmanıza yardımcı olacak bazı önemli soruları kendinize ve ekibinize sorarak başlayın. Her bir SIEM'in "süper güçlerini" hızlı bir şekilde belirlemenizi ve kuruluşunuzun bundan nasıl yararlanabileceğini planlamanızı öneririz.tagbunlardan biri. Eski içinamptarih:

• Bulut tabanlı SIEM
  
  • SIEM, toptan fiyatlarla dünya çapında altyapı sağlayabilecek bir birincil bulut hizmet sağlayıcısı (CSP) tarafından mı sunuluyor?
    Deneyimlerimiz, sahip olmadıkları bulutlarda çalışan SIEM sağlayıcılarının, bu tür modellerle birlikte gelen kaçınılmaz "marj yığılmasının" üstesinden gelmekte zorluk çektiğini gösteriyor. Bu soru ayrılmaz bir şekilde maliyetle bağlantılıdır.
    Bulutta yerel bir SIEM dağıtım modeli aynı zamanda SIEM'in yeni tehditlere yanıt olarak ölçeğini artırmasına ve azaltmasına ve ayrıca bir kuruluşun bulut iş yüklerinin dinamik doğasını yönetmesine olanak tanır. Bulut altyapısı ve uygulamaları dakikalar içinde önemli ölçüde büyüyebilir. Bulutta yerel bir SIEM mimarisi, güvenlik ekiplerinin kritik araçlarının daha büyük organizasyonun ihtiyaçlarıyla aynı oranda ölçeklenmesine olanak tanır.
    Bulutta yerel SIEM'ler aynı zamanda bulut iş yüklerini güvence altına almak için iyi bir konuma sahiptir. Bulut hizmetlerinden düşük gecikme süreli veri alımı sağlarlar ve bulutta yaygın olan saldırıların belirlenmesine yardımcı olmak için algılama içeriğiyle birlikte gönderilirler.
• Zeka ile SIEM
  • SIEM satıcısı, yeni ve ortaya çıkan tehditlerin anında algılanmasını sağlamak için sürekli bir ön hat tehdit istihbaratı akışına sahip mi?
    Bu altın kaynaklar genellikle üst düzey olay müdahale uygulamalarından, büyük tüketici IaaS veya SaaS bulut tekliflerinin işletilmesinden veya güvenlik yazılımı ürünlerinin veya işletim sistemlerinin küresel kurulum tabanlarından kaynaklanır.
    Tehdit istihbaratı, kuruluşların güvenlik olaylarını etkili bir şekilde tespit etmesi, önceliklendirmesi, araştırması ve bunlara yanıt vermesi açısından kritik öneme sahiptir. Özellikle ön saflardaki tehdit istihbaratı değerlidir çünkü en son tehditler ve güvenlik açıkları hakkında gerçek zamanlı bilgi sağlar. Bu bilgiler, güvenlik olaylarını hızlı bir şekilde tanımlamak ve önceliklendirmek ve etkili müdahale stratejileri geliştirmek ve uygulamak için kullanılabilir.
    Gerçek zamanlı tehdit algılama ve yanıt yeteneklerini geliştirmek için güvenlik kuruluşları, tehdit istihbaratının ve ilgili veri beslemelerinin güvenlik operasyonları iş akışlarına ve araçlarına kusursuz bir şekilde entegre edilmesini istiyor. SIEM ile tehdit istihbaratı kaynakları arasındaki döner sandalye, kopyala-yapıştır ve kırılgan entegrasyonlar üretkenliği azaltır ve ekibin etkinliği ve analist deneyimi üzerinde olumsuz etkiye sahiptir.
• Özel İçerikli SIEM
  • SIEM, desteklenen ayrıştırıcılar, algılama kuralları ve yanıt eylemlerinden oluşan kapsamlı bir kitaplık sunuyor mu?
    Uç: Bazı SIEM satıcıları, popüler veri akışlarına yönelik ayrıştırıcılar oluşturmak için neredeyse yalnızca kullanıcı topluluklarına veya teknik ittifak ortaklarına güveniyor. Başarılı bir kullanıcı topluluğu gerekli olsa da, ayrıştırma gibi temel yeteneklerin sağlanmasında ona aşırı güvenmek bir sorundur. Ortak veri kaynaklarına yönelik ayrıştırıcılar doğrudan SIEM satıcısı tarafından oluşturulmalı, sürdürülmeli ve desteklenmelidir. Algılama kuralı içeriğine bakarken aynı yaklaşımı kullanın. Topluluk kuralları önemlidir, ancak satıcınızın düzenli olarak test edilen, desteklenen ve iyileştirilen temel tespitlerden oluşan sağlam bir kitaplık oluşturmasını ve sürdürmesini beklemelisiniz. Yüksek kaliteli, seçilmiş tehdit tespiti, kuruluşların güvenlik duruşlarını etkili bir şekilde yönetmeleri için kritik öneme sahiptir. Google SecOps, yeni ve ortaya çıkan tehditlerin alışılmışın dışında algılanmasını sağlayarak kuruluşların güvenlik olaylarını hızlı bir şekilde tanımlamasına ve bunlara yanıt vermesine yardımcı olabilir.
• AI ile SIEM
  • SIEM yapay zekayı içeriyor mu ve yeniliklere devam edecek konumda mı?
    Yapay zekanın SIEM'deki rolü henüz hiçbir satıcı tarafından tam olarak anlaşılmış değil (çok daha az uygulanıyor). Bununla birlikte, önde gelen SIEM'ler halihazırda bugün kullanıma sunulan somut yapay zeka odaklı özelliklere sahiptir. Bu özellikler, aramaları ve kuralları ifade etmek için doğal dil işlemeyi, otomatik vaka özetlemeyi ve önerilen yanıt eylemlerini içerir. Çoğu müşteri ve sektör gözlemcisi, tehdit algılama ve tahmine dayalı düşman analizi gibi özelliklerin, yapay zeka odaklı SIEM yeteneklerinin "kutsal kaselerinden" bazıları olduğunu düşünüyor. Bugün hiçbir SIEM bu özellikleri güvenilir bir şekilde sunmuyor. 2024'te yeni bir SIEM seçerken satıcının bu dönüşüm yeteneklerinde anlamlı ilerleme sağlamak için gerekli kaynaklara yatırım yapıp yapmadığını düşünün.

Google Güvenlik Operasyonları (eski adıyla Chronicle), Google Cloud tarafından sunulan bulut tabanlı bir SIEM çözümüdür. Kuruluşların günlükleri ve diğer güvenlik telemetrilerini merkezi olarak toplamasına, ardından güvenlik tehditlerini gerçek zamanlı olarak tespit etmesine, araştırmasına ve bunlara yanıt vermesine yardımcı olmak için tasarlanmıştır. 

• Güvenlik tehditlerini tespit edin ve önceliklendirin: Google SecOps'un kullanıma hazır algılama kuralları, güvenlik tehditlerini gerçek zamanlı olarak belirler ve önceliklendirir. Bu, kuruluşların en kritik tehditlere hızlı ve etkili bir şekilde yanıt vermesine yardımcı olur.
• Güvenlik olaylarını araştırın: Google SecOps, güvenlik olaylarını araştırmak için merkezi bir platform sağlar. Bu, kuruluşların hızlı ve verimli bir şekilde kanıt toplamasına ve olayın kapsamını belirlemesine yardımcı olur.
• Güvenlik olaylarına yanıt verin: Google SecOps, kuruluşların güvenlik olaylarına yanıt vermesine yardımcı olacak otomatik iyileştirme gibi çeşitli araçlar sağlar. Tehdit avcıları, platformun hızını, arama yeteneklerini ve uygulamalı tehdit istihbaratını, çatlaklardan kaçmış olabilecek saldırganları takip etmede çok değerli buluyor. Bu, kuruluşların güvenlik olaylarının etkisini hızlı ve etkili bir şekilde kontrol altına almasına ve hafifletmesine yardımcı olur.
  Google SecOps'un birçok avantajı vartagAşağıdakiler de dahil olmak üzere geleneksel SIEM çözümlerine göre daha üstündür:
• Yapay Zeka: Google SecOps, savunucuların büyük miktarlarda veriyi doğal dili kullanarak saniyeler içinde aramasına ve soruları yanıtlayarak, olayları özetleyerek, tehditleri arayarak, kurallar oluşturarak ve araştırma bağlamına göre önerilen eylemleri sunarak daha hızlı kararlar almasına olanak sağlamak için Google'ın Gemini AI teknolojisini kullanır. Güvenlik ekipleri ayrıca, yanıt taktik kitaplarını kolayca oluşturmak, yapılandırmaları özelleştirmek ve en iyi uygulamaları dahil etmek için Gemini'yi Güvenlik Operasyonlarında da kullanabilir; bu da derin uzmanlık gerektiren, zaman alan görevlerin basitleştirilmesine yardımcı olur.
• Uygulanan Tehdit İstihbaratı: Google SecOps, müşterilerin daha az çabayla daha fazla tehdidi tespit etmesine yardımcı olmak için VirusTotal, Mandiant Threat Intelligence ve dahili Google Tehdit istihbaratı kaynaklarından elde edilen birleşik istihbaratı kapsayan Google Tehdit İstihbaratı (GTI) ile yerel olarak entegre olur.
• Ölçeklenebilirlik: Google SecOps, bulut tabanlı bir çözüm olduğundan, boyutu ne olursa olsun herhangi bir kuruluşun kapasite ve performans ihtiyaçlarını karşılamak için Google bulut tarafından sağlanan hiper ölçekli bulut altyapısından yararlanabilir.
• Google Cloud ile entegrasyon: Google SecOps, Google Cloud Security Command Center Enterprise (SCCE) gibi diğer Google Cloud ürünleri ve hizmetleriyle sıkı bir şekilde entegre edilmiştir. Bu entegrasyon, kuruluşların güvenlik operasyonlarını tek bir birleşik platformda yönetmelerini kolaylaştırır. Google SecOps, GCP hizmet telemetrisi için en iyi SIEM'dir ve ayrıca AWS ve Azure gibi diğer büyük bulut sağlayıcıları için kullanıma hazır algılama içeriği içerir.

Google SecOps'ta Uygulamalı Tehdit İstihbaratı
Google SecOps, güvenlik ekiplerinin, tehdit verileriyle otomatik olarak ilişkilendirilen ve zenginleştirilen güvenlik verilerini yönetmesine ve analiz etmesine olanak tanır. Tehdit istihbaratını doğrudan SIEM'inize entegre ederek kuruluşlar şunları yapabilir:

• Tespit ve triyajı iyileştirin: Tehdit verileri, kötü amaçlı etkinliklerin gerçek zamanlı olarak belirlenmesine yardımcı olabilecek kurallar oluşturmak için doğrudan kullanılabilir. Bu veriler aynı zamanda diğer uyarılara bağlam eklemek ve uyarıya olan güveni otomatik olarak ayarlamak için de kullanılır. Bu, kuruluşların güvenlik olaylarını hızla tespit edip önceliklendirmesine ve kaynaklarını en kritik tehditlere odaklamasına yardımcı olur.
• Araştırmayı ve müdahaleyi geliştirin: Tehdit istihbaratı, güvenlik soruşturmaları sırasında bağlam ve öngörü sağlamak için kullanılabilir. Bu, analistlerin bir olayın temel nedenini hızlı bir şekilde belirlemesine ve etkili müdahale stratejileri geliştirip uygulamasına yardımcı olabilir.
• Tehdit ortamında bir adım önde olun: Tehdit istihbaratı, en son tehditler ve güvenlik açıkları hakkında bilgi sağlayarak kuruluşların tehdit manzarasının önünde kalmasına yardımcı olabilir. Bu bilgiler, tehdit avcılığı ve güvenlik farkındalığı eğitimi gibi proaktif güvenlik önlemlerini geliştirmek ve uygulamak için kullanılabilir.

Google SecOps'ta Tehdit Algılama
Google SecOps tehdit tespiti, Google'ın güvenlik ekiplerinden gelen sürekli ön saf tehdit istihbaratı akışına dayanmaktadır. Bu istihbarat, kötü amaçlı etkinlikleri gerçek zamanlı olarak tanımlayabilecek kurallar ve uyarılar oluşturmak için kullanılır. Google SecOps ayrıca güvenlik verilerindeki şüpheli kalıpları belirlemek için davranış analizini ve risk puanlamasını da kullanır. Bu, Google SecOps'un geleneksel algılama kurallarıyla tespit edilemeyen tehditleri tespit etmesine olanak tanır.

Yüksek kaliteli, özel olarak hazırlanmış tehdit tespitinin değeri açıktır. Google SecOps'u kullanan kuruluşlar şunlardan yararlanabilir:

• İyileştirilmiş algılama ve önceliklendirme: Google SecOps, kuruluşların güvenlik olaylarını hızlı bir şekilde tanımlamasına ve önceliklendirmesine yardımcı olabilir. Bu, kuruluşların kaynaklarını en kritik tehditlere odaklamasına olanak tanır.
• Gelişmiş araştırma ve müdahale: Google SecOps, güvenlik soruşturmaları sırasında bağlam ve analiz sağlayabilir. Bu, analistlerin bir olayın temel nedenini hızlı bir şekilde belirlemesine ve etkili müdahale stratejileri geliştirip uygulamasına yardımcı olabilir.
• Tehdit ortamında bir adım önde olun: Google SecOps, en son tehditler ve güvenlik açıkları hakkında bilgi sağlayarak kuruluşların tehdit ortamında bir adım önde kalmasına yardımcı olabilir. Bu bilgiler, tehdit avcılığı ve güvenlik farkındalığı eğitimi gibi proaktif güvenlik önlemlerini geliştirmek ve uygulamak için kullanılabilir.

SIEM Geçişi

Demek harekete geçmeye karar verdin. Geçişe yaklaşımınız, gerekli yetenekleri korumanızı ve yeni platformdan mümkün olan en kısa sürede değer elde etmeye başlamanızı sağlamak açısından kritik öneme sahiptir. Bu önceliklendirmeye bağlıdır. Tipik bir değiş-tokuş, SIEM geçişinin araştırma, tespit ve müdahaleye yönelik tüm yaklaşımınızı modernleştirme fırsatını temsil ederken, birçok SIEM geçişinin kuruluşların "okyanusu kaynatmaya" çalışması nedeniyle başarısız olduğunun kabul edilmesidir.

Başarılı SIEM geçişinizi planlamak ve yürütmek için en iyi ipuçlarımızı burada bulabilirsiniz:

• Geçiş hedeflerinizi tanımlayın. Bu çok açık görünüyor, ancak SIEM geçişiniz uzun bir süreç olduğundan, istediğiniz sonuçları tanımlamak (örneğin, daha hızlı tehdit tespiti, daha kolay uyumluluk raporlaması, daha iyi görünürlük, daha az analist zahmeti ve aynı zamanda maliyetin düşürülmesi) başarı ile güçlü bir şekilde ilişkilidir.
• Göçü evi temizlemek için bir fırsat olarak kullanın. Bu temizlik için iyi bir zaman algılama kurallarınız ve günlük kaynaklarınız ve yalnızca gerçekten kullandıklarınızı taşıyın. Aynı zamanda yeniden başlamak için de iyi bir zamanview Uyarı önceliklendirme ve ayarlama süreçlerinizin güncel olduğundan emin olun.
• Her günlük kaynağını taşımayın. Yeni bir SIEM'e geçmek, uyumluluk veya güvenlik nedenleriyle hangi günlüklere ihtiyacınız olduğuna karar vermek için harika bir fırsattır. Pek çok kuruluş zaman içinde büyük miktarda günlük verisi biriktirir ve bunların hepsinin mutlaka değerli veya alakalı olması gerekmez. Günlük kaynaklarınızı taşımadan önce değerlendirmeye zaman ayırarak SIEM'inizi düzene koyabilir ve güvenlik ve uyumluluk ihtiyaçlarınız için en önemli verilere odaklanabilirsiniz.
• Tüm içeriği taşımayın. Mevcut tüm algılama içeriğinizi, kurallarınızı, uyarılarınızı, kontrol panellerinizi, görselleştirmelerinizi ve çalışma kitaplarınızı yeni bir SIEM'e taşımak her zaman gerekli değildir. Mevcut algılama kapsamınızı değerlendirmek ve ihtiyaç duyduğunuz kuralların taşınmasına öncelik vermek için zaman ayırın. Kuralları birleştirme, telemetri eksikliği veya hatalı mantık nedeniyle hiçbir zaman tetiklenemeyen kuralları veya kullanıma hazır içerikle daha iyi ele alınan kuralları ortadan kaldırma fırsatlarını bulacaksınız. Bire bir kural geçişini savunan herhangi bir satıcıyı veya dağıtım ortağını sorgulayın.
• Erken içerik geçişine öncelik verin. Her özel kullanım durumu için gereken günlük kaynaklarının ve zenginleştirmelerin mevcut olması üzerine tespit içeriği geçişini hemen başlatın. Kaynakları kullanım senaryolarıyla uyumlu hale getiren bu veri odaklı yaklaşım, optimum verimlilik ve sonuçlar için paralel geçiş çabalarına olanak tanır.
• Algılama içeriği geçişi, insan liderliğindeki bir süreçtir. Eski içeriğinizi ilham kaynağı olarak kullanarak, algılama içeriğini (kurallar, uyarılar, kontrol panelleri, modeller vb.) (çoğunlukla) sıfırdan yeniden oluşturmaya hazırlanın. Günümüzde kuralları bir SIEM platformundan diğerine otomatik olarak dönüştürmenin kusursuz bir yöntemi yoktur. Bazı satıcılar sözdizimi çevirmenleri sunsa da, genellikle mükemmel bir şekilde çevrilmiş bir kural, arama veya gösterge tablosu yerine iyi bir başlangıç ​​noktası sağlarlar. Maksimum avans almalısınıztagBu araçlardan bazılarını kullanabilirsiniz, ancak bunların her derde deva olmadığını kabul edin.
• Algılama içeriği birçok kaynaktan gelir. Algılama kapsamı ihtiyaçlarınızı analiz edin, ardından algılama kullanım senaryolarınızı gerektiği şekilde benimseyin veya oluşturun. SIEM satıcınız, mümkünse her zaman yararlanmanız gereken, kullanıma hazır içeriğin bir kısmını sağlayacaktır. Ayrıca topluluk kuralı depolarını ve üçüncü taraf algılama içerik sağlayıcılarını da göz önünde bulundurun. Gerektiğinde kendi kurallarınızı yazın ve çoğu kuralın, kaynağı ne olursa olsun, kuruluşunuzun özel ortamına göre ayarlanması gerektiğini unutmayın.
• Gerçekçi bir geçiş zaman çizelgesi geliştirin. Bu, her iki sistemi paralel olarak çalıştırmanız gerekebilecek veri aktarımı, test etme, ayarlama, eğitim ve olası çakışmaların muhasebesini içerir. İyi tanımlanmış bir geçiş planı, riskleri belirleyip azaltmanıza ve geçişin başarıyla tamamlanmasını sağlamanıza yardımcı olacaktır. Plan ayrıntılı bir zaman çizelgesi, görevlerin bir listesi, kaynaklar ve bir bütçe içermelidir. SIEM geçişi gibi büyük projelerin aşamalara ayrılması gerektiğinin farkında olun.
• Test. Tespitlerinizi tetikleyecek verileri düzenli olarak enjekte ederek, ayrıştırmayı kontrol ederek ve tespitten vakaya yanıt taktik kitabına kadar veri akışını doğrulayarak SIEM'inizi ve tespit içeriğinizi test etmenizi öneririz. SIEM geçişi, sıkı bir geçiş süreci benimsemek için mükemmel bir zamandır. algılama mühendisliği programı buna bunun gibi testler de dahildir.
• Hem eski hem de yeni araçları çalıştıracağınız bir geçiş dönemine hazırlanın. Yıkıcı bir "sök ve değiştir" yaklaşımından kaçının. Günlük kaynaklarını taşıdığınız ve senaryoları kullandığınız aşamalı bir geçiş, sürecin kontrol edilmesine yardımcı olur ve riski azaltır. Ayrıca, verileri eski SIEM'inizden yenisine yeniden aktarırken iki kez düşünün. Bazı durumlarda, geçmiş verilere erişime izin vermek için önceki SIEM'i uzun süre çalışır durumda bırakma olanağına sahip olabilirsiniz.
• Ekiplerinizi etkinleştirin. Analistleriniz yeni sistemi kullanamazsa SIEM geçişiniz başarısız olur. İyi bir geçiş planı, ekipleriniz için derinlemesine etkinleştirmeyi içerecektir. Mühendislere veri ekleme ve ayrıştırma konusunda eğitim vermeyi, analistlere vaka yönetimi/soruşturma/öncelik belirleme konusunda eğitim vermeyi, tehdit avcılarına anormallik tespiti/arama konusunda eğitim vermeyi ve tespit mühendislerine kural yazma konusunda eğitim vermeyi düşünün. Etkinleştirme için zamanlama kritik öneme sahiptir. Personeli, bu beceriler gerekmeden önce eğitmek yerine, geçişin belirli aşamalarına başlarken eğitmek en iyisidir.
• Yardım alın! Bir uygulayıcı veya lider olarak şanslıysanız (veya belki de şanssızsanız), kariyerinizde belki bir veya iki SIEM geçişinden geçmişsinizdir. Neden bunu onlarca, yüzlerce kez yapmış uzmanlardan yardım almıyorsunuz? Satıcının profesyonel hizmet ekipleri ve/veya nitelikli hizmet ortaklarının danışmanlık ekipleri mükemmel bir seçimdir. SIEM geçişleri büyük ölçüde insan merkezli çabalardır.

Temel Süreç: Bir Dağıtım Ortağı Seçin
Hiçbir karar, SIEM geçişinin nihai başarısı üzerinde dağıtım ortağı seçiminden daha büyük bir etkiye sahip olmayacaktır. SIEM platformları büyük ölçekli, karmaşık, kurumsal sistemlerdir. Yalnız gitmeye çalışmayın; Birçok geçişten geçmiş bir dağıtım ortağına bağlı kalın.

Dağıtım ortağı, yeni SIEM satıcısının profesyonel hizmetler kolu olabilir. Ancak taşıma işlemini yürütmek için üçüncü taraf bir iş ortağının seçilmesi daha yaygındır. SIEM geçişinin insan liderliğindeki bir çaba olduğunu unutmayın. Yeni SIEM sertifikalarına sahip ve çok sayıda referans alınabilecek iş ortağını seçmek en iyisidir. Ayrıca, geçiş yaptığınız SIEM konusunda uzmanlığa sahip olmaları da yardımcı olur. Referansların ötesinde, bir iş ortağının yeni SIEM'inizle ilgili deneyim düzeyini belirlemenin akıllıca bir yolu, ekibin aktif bir katkıda bulunup bulunmadığını görmek için topluluk forumlarına göz atmaktır. Yazarların görüşüne göre, yüksek düzeyde katılım gösteren iş ortağı personeli, başarılı SIEM geçişleriyle ilişkilidir.SIEM geçişinin teknik parçalarının ve baytlarının ötesinde, sektörünüzde veya uyumluluk ortamınızda veya uyumluluk ortamınızda belirli deneyime sahip iş ortaklarını da seçebilirsiniz. bölgeniz veya üçü birden! Advan'da dil becerileri ve kaynakları arayabilirsiniztagfarklı zaman dilimleri. Ayrıca sizin için SIEM'inizi işleten veya kuruluşunuzun SIEM'ini kısmen veya tamamen dış kaynak olarak kullanabilen yönetilen bir güvenlik hizmeti sağlayıcısıyla benzer sonuçlar sunan iş ortaklarını da arayabilirsiniz.

Temel Süreç: Mevcut Yapılandırmayı ve Kullanım Durumlarını Belgeleyin
SIEM dağıtımları genellikle kapsamlıdır ve yıllar geçtikçe kapsam ve karmaşıklık açısından istikrarlı bir şekilde büyür. Çok az belgeye veya hiç belgeye hazırlıklı olun. SIEM'in ilk yapılandırmasını ve özelleştirmesini gerçekleştiren personelin genellikle çoktan gitmiş olmasını bekleyin. Geçiş sürecinin başlarında yapılandırma ve yeteneklerin kapsamlı bir şekilde belgelenmesi, başarı ile başarısızlık arasındaki fark anlamına gelebilir.

• SIEM tarafından kullanılan kimlik ve erişim yönetimini belgeleyin. Verilere ve özelliklere bazı rol tabanlı erişimi kesinlikle korumanız gerekecektir. Öte yandan geçiş, çoğu kuruluşta doğal olarak meydana gelen erişim yayılımını analiz etmek ve ele almak için bir fırsattır. Geçiş sürecine, kimliği kurumsal standartlarla birleştirmek ve çok faktörlü kimlik doğrulamayı uygulamak da dahil olmak üzere kimlik doğrulama/yetkilendirme yöntemlerini modernleştirme fırsatı olarak da bakabilirsiniz.
• Toplanmakta olan veri türlerinin adlarını yakalayın. Bazı SIEM'lerin bu adlara "kaynak türü" veya "günlük türü" adını verdiğini unutmayın. Metrik olarak gigabayt/gün kullanarak her veri türünden ne kadar verinin aktığını yakalayın. Her veri kaynağı için veri hattını belgeleyin (aracı tabanlı, API sorgusu, web kanca, bulut paketi alımı, alım API'si, HTTP dinleyicisi vb.) ve SIEM'in ayrıştırıcı yapılandırmasını tüm özelleştirmelerle birlikte yakalayın.
• Kaydedilen aramaları, kontrol paneli tanımlarını ve algılama kurallarını toplayın. Birçok SIEM'de ayrıca arama tabloları gibi kalıcı veri depolama mekanizmaları bulunur. Bunların nasıl doldurulduğunu ve kullanıldığını anladığınızdan ve belgelediğinizden emin olun.
• Harici sistemlerle entegrasyonların envanterini çıkarın. Birçok SIEM, vaka yönetimi sistemleri, ilişkisel veritabanları, bildirim hizmetleri (e-posta, SMS vb.) ve tehdit istihbaratı platformlarıyla entegre olur.
• Başucu kitapları, vaka yönetimi şablonları ve henüz belgelenmemiş tüm etkin entegrasyonlar gibi yanıt içeriğini yakalayın.

Bu önemli teknik detayları toplamanın ötesinde, zaman ayırmak da kritik önem taşıyor.view mevcut SIEM kullanıcılarının iş akışlarını anlamalarını sağlar. SIEM'i nasıl kullandıklarını, hangi standart işletim prosedürlerinin SIEM'e dayandığını sorun. Güvenlik dışındaki hangi ekiplerin SIEM'i kullanabileceği gibi genel soruların sorulması da önemlidir. Eski içinampUyumluluk ekiplerinin veya BT operasyon personelinin SIEM'e güvenmesi alışılmadık bir durum değil. Bu kullanım durumlarının yakalanamaması, geçiş sürecinin ilerleyen aşamalarında beklentilerin kaçırılmasına neden olabilir.

Temel Süreç: Günlük Kaynağı Taşıma
Günlük kaynağı geçişi, veri kaynaklarının eski SIEM'den yeni SIEM'e taşınmasını içerir. Bu süreç, mevcut yapılandırmanın toplanan belgelerine bağlıdır. Süreç: Geçerli Yapılandırmayı ve Kullanımı Belgeleyin bölüm.

Günlük kaynağı geçiş sürecinde genellikle aşağıdaki adımlar yer alır:

1. Keşif ve envanter: İlk adım, eski SIEM tarafından halihazırda kullanılmakta olan tüm günlük kaynaklarının keşfedilmesi ve envanterinin çıkarılmasıdır. Bu, yeniden gibi çeşitli yöntemler kullanılarak yapılabilir.viewSIEM'in yapılandırmasını kullanma fileveya API'leri ve ilgili araçları kullanma.
2. Önceliklendirme: Günlük kaynakları keşfedilip envantere alındıktan sonra, bunların geçiş için önceliklendirilmesi gerekir. Bu, günlük kaynağı tarafından yönlendirilen analizler, veri hacmi, verilerin kritikliği, uyumluluk gereksinimleri ve geçiş sürecinin karmaşıklığı gibi bir dizi faktöre dayalı olarak yapılabilir.
3. Geçiş planlaması: Günlük kaynaklarına öncelik verildikten sonra bir geçiş planı geliştirilmelidir.
4. Taşıma işlemi: Daha sonra geçiş süreci plana göre yürütülebilir. Bu, yeni SIEM'deki akışları yapılandırmak, aracıları yüklemek, API'leri yapılandırmak vb. gibi çeşitli görevleri içerebilir.
5. Test ve doğrulama: Geçiş tamamlandıktan sonra, günlük verilerinin düzgün bir şekilde alınıp alınmadığını test etmek ve doğrulamak önemlidir. Bunu, sessizleşen veri kaynaklarına yönelik uyarıları yapılandırma fırsatı olarak kullanın.
6. Belgeler: Son olarak, yeni günlük kaynağı yapılandırmasını belgelemek önemlidir.

Temel Süreç: Tespit ve Yanıt İçeriğini Taşıma
SIEM algılama ve yanıt içeriği, SIEM uyarılarınızın neyle ilgili olduğunu ve analistlerin bu uyarıları ele almasına nasıl yardımcı olduğunu tanımlayan kurallardan, aramalardan, taktik kitaplarından, kontrol panellerinden ve diğer yapılandırmalardan oluşur. Düzgün yapılandırılmış içerik olmadan SIEM, arama yapmanın sadece şık bir yoludur. Bu, yazarların bir meslektaşının birkaç yıl önce ortaya attığı bir terim olan “pahalı grep”tir. SIEM içeriği, kuruluşunuzun keşif kapsamının tanımlanmasında önemli bir rol oynar.

• Tespit kuralları güvenlik olaylarını tanımlamak için kullanılır. Güvenlik tehdidi aktörleri ve onların ortak taktikleri, teknikleri ve prosedürleri (TTP'ler) hakkında derin bilgiye sahip olan tespit mühendisleri bunları yazar. Algılama kuralları, günlük verilerinde bu TTP'leri temsil eden kalıpları arar. Tespit kuralları genellikle farklı günlük kaynaklarını birbiriyle ilişkilendirir ve tehdit istihbaratı verilerinden yararlanır.
• Yanıt taktik kitapları, güvenlik uyarılarına yanıtı otomatikleştirmek için kullanılır. Bildirim gönderme, güvenliği ihlal edilmiş ana bilgisayarları izole etme, uyarıları bağlamsal veriler/tehdit istihbaratıyla zenginleştirme ve iyileştirme komut dosyalarını çalıştırma gibi görevleri içerebilir.
• Kontrol panelleri, güvenlik verilerini görselleştirmek ve güvenlik olaylarının durumunu izlemek için kullanılır. Kuruluşun genel güvenlik duruşunu izlemek ve eğilimleri ve kalıpları belirlemek için kullanılabilirler.
• Yeni tespit ve yanıt içeriğinin geliştirilmesi yinelenen bir süreçtir. SIEM'in sürekli olarak izlenmesi ve içerikte gerektiği gibi ayarlamalar yapılması önemlidir. SIEM geçişi, kod olarak algılama (DaC) gibi yaklaşımları kullanarak süreçlerinizi iyileştirmek için mükemmel bir zamandır.

Temel Süreç: Eğitim ve Etkinleştirme
SIEM geçişi sırasında sıklıkla gözden kaçırılan süreç, kullanıcı eğitimidir. SIEM belki de bir güvenlik operasyonları ekibinin kullandığı en önemli tek araçtır. Etkin ve verimli bir şekilde kullanma becerileri, geçişin başarısında ve kuruluşunuzu koruma becerilerinde büyük rol oynayacaktır. Eğitim içeriği ve teslimatı konusunda SIEM sağlayıcınıza ve dağıtım ortağınıza güvenin. Ekiplerinizin etkinleştirilmesi gereken konuların kısa bir listesini burada bulabilirsiniz.

• Günlük feed'i alımı ve ayrıştırma
• Arama / Soruşturma
• Vaka Yönetimi
• Kural Yazma
• Gösterge Paneli Geliştirme
• Başucu Kitabı / Otomasyon

Çözüm

• Sonuçta eski bir SIEM'den modern bir çözüme geçiş kaçınılmazdır. Zorluklar göz korkutucu görünse de, iyi planlanmış ve yürütülen bir geçiş, tehdit tespitinde, yanıt yeteneklerinde ve genel güvenlik duruşunda önemli iyileştirmelere yol açabilir.
• Kuruluşlar, yeni bir SIEM seçimini dikkatli bir şekilde değerlendirerek, bulutta yerel mimarinin güçlü yönlerinden yararlanarak, gelişmiş tehdit istihbaratını birleştirerek ve yapay zeka odaklı özellikleri kullanarak, güvenlik ekiplerini sürekli gelişen tehditlere karşı proaktif bir şekilde savunma yapma konusunda güçlendirebilir. Başarılı geçiş süreci, titiz planlamayı, kapsamlı dokümantasyonu, stratejik günlük kaynağı ve içerik geçişini, kapsamlı testleri ve kapsamlı kullanıcı eğitimini içerir.
• Deneyimli dağıtım uzmanlarıyla ortaklık kurmak, karmaşıklıkların üstesinden gelmek ve sorunsuz bir geçiş sağlamak açısından çok değerli olabilir. Sürekli iyileştirme taahhüdü ve tespit mühendisliğine odaklanan kuruluşlar,
• yeni SIEM'lerinin potansiyelini artıracak ve gelecek yıllar için güvenlik savunmalarını güçlendirecek.

Ek Okuma

• "Google SecOps, SIEM Yığınınızın Artırılmasına Nasıl Yardımcı Olabilir" makalesi
• "SOC'nin Geleceği: Evrim veya Optimizasyon - Yolunuzu Seçin" kağıt
• Google Bulut Güvenliği Topluluk Blogu
• Tespit Mühendisliği Haftalık Bülteni
• tespit.fyi – Tespit mühendisliğine ilişkin uygulayıcı merkezli ipuçları
• Kod Olarak Algılama ve Google Güvenlik Operasyonlarına Başlarken – David French (Birinci bölüm, ikinci kısım)
• Modern bir Tespit Mühendisliği İş Akışını Uygulamak – Dan Lussier (Birinci bölüm, ikinci kısım, üçüncü bölüm)

Daha fazla bilgi için ziyaret edin bulut.google.com

SSS

S: Büyük SIEM Geçişi kılavuzunun amacı nedir?
C: Kılavuz, kuruluşların güncelliğini kaybetmiş SIEM çözümlerinden, tehdit tespiti ve müdahalesine yönelik daha yeni, daha verimli seçeneklere geçiş yapmasına yardımcı olmayı amaçlamaktadır.

S: Bulutta yerel bir SIEM'den nasıl yararlanabilirim?
C: Bulutta yerel SIEM'ler, mimarileri ve yetenekleri nedeniyle bulut iş yükleri için ölçeklenebilirlik, maliyet verimliliği ve etkili güvenlik sağlar.

Belgeler / Kaynaklar

Google Cloud SIEM Taşıma [pdf] Talimatlar SIEM Geçişi, Geçiş

Referanslar

• Kullanıcı Kılavuzu