Google Cloud SIEM көшіру нұсқаулары

Google Cloud SIEM көшіру

Өнім туралы ақпарат

Техникалық сипаттамалар:

• Өнім атауы: SIEM тасымалдау нұсқаулығы
• Автор: Белгісіз
• Жарияланды Жыл: Белгіленген жоқ

Өнімді пайдалану нұсқаулары

• Жаңа SIEM таңдау
  Әр ұсыныстың күшті және әлсіз жақтарын ашуға көмектесу үшін өзіңізге және командаңызға бірнеше негізгі сұрақтар қоюдан бастаңыз. Әрбір SIEM-тің керемет күштерін жылдам анықтаңыз және ұйымыңыздың қалай алға жылжуы мүмкін екенін жоспарлаңызtagолардың е.
• Бұлттық SIEM
  SIEM-ті әлемдік ауқымдағы инфрақұрылымды көтерме бағамен қамтамасыз ете алатын негізгі бұлттық қызмет провайдері (CSP) ұсынатынын қарастырыңыз. Бұлтты SIEM қолдану үлгілері бұлттық жұмыс жүктемелерін масштабтауға және динамикалық басқаруға мүмкіндік береді.
• Интеллектпен SIEM
  SIEM жеткізушісі жаңа және пайда болатын қауіптерді қораптан тыс анықтау үшін үздіксіз алдыңғы қатардағы қауіп барлауын ұсынатынын тексеріңіз.

SIEM өлді, SIEM өмір сүрсін

Егер сіз біз сияқты болсаңыз, 2024 жылы қауіпсіздік ақпараты және оқиғаларды басқару (SIEM) жүйелері әлі де көптеген қауіпсіздік операциялары орталықтарының (SOC) негізі болып табылатынына таң қалуыңыз мүмкін. Қауіптерді тез және тиімді анықтауға, зерттеуге және оларға жауап беруге көмектесу үшін SIEMs әрқашан ұйымыңыздан қауіпсіздік деректерін жинау және талдау үшін пайдаланылады. Бірақ шындық мынада: қазіргі заманғы SIEM-тер 15+ жыл бұрын, бұлттың жергілікті архитектурасы, пайдаланушы тұлғасы мен мінез-құлық талдауы (UEBA), қауіпсіздікті ұйымдастыру, автоматтандыру және жауап беру (SOAR), шабуыл бетін басқару пайда болғанға дейін жасалғандарға шамалы ұқсайды. және, әрине, AI, бірнеше атауға болады.
Бұрынғы SIEM жиі баяу, ауыр және пайдалану қиын. Олардың бұрынғы архитектурасы жиі олардың үлкен көлемді журнал көздерін қабылдауға масштабтауға кедергі жасайды және олар соңғы қауіптерге ілесе алмауы немесе соңғы мүмкіндіктер мен мүмкіндіктерді қолдамауы мүмкін. Олар ұйымыңыздың арнайы талаптарын қолдауға икемділікті ұсынбауы немесе бүгінгі күні көптеген ұйымдар үшін шындық болып табылатын көп бұлтты стратегияға сәйкес келмеуі мүмкін. Ақырында, олар аванс алу үшін нашар орналасуы мүмкінtagжасанды интеллект (AI) сияқты соңғы технологиялық әзірлемелер.
Сонымен, кез келген басқа атаумен SIEM бірдей тәтті көрінуі мүмкін, бірақ қауіпсіздік операциялары топтары сенім артатын болады
Қауіпті анықтау, тергеу және әрекет ету үшін жақын болашақта «қауіпсіздік операцияларының платформалары» (немесе олар қандай атаумен жүрсе де).

Ұлы SIEM көші-қоны басталды

SIEM көші-қоны жаңа емес. Ұйымдар өздерінің бар SIEM-ге деген сүйіспеншілігін жоғалтты және жылдар бойы жаңа және жақсырақ нұсқаларды іздеді. Көбінесе ұйымдар SIEM көші-қонымен күресудің күрделілігіне байланысты алаңдаушылыққа байланысты өздерінің төмен жұмыс істейтін және/немесе тым қымбат SIEM-ге олар қалағанынан ұзағырақ шыдауы мүмкін.
Бірақ соңғы айлар SIEM кеңістігінде тектоникалық ығысуларды енгізді, оларды атап өтуге болмайды. SIEM ландшафтының бірнеше қысқа жылдар ішінде толығымен өзгеретініне күмән жоқ - жаңа нарық көшбасшыларын тудырады және SIEM жерін ондаған жылдар бойы басқарған «динозаврлардың» құлдырауын және тіпті жойылуын көру (немесе « eons» киберқауіпсіздік тұрғысынан). Бұл әзірлемелер, сөзсіз, бұрынғы SIEM платформаларынан заманауи платформаларға көшуді тездетеді, көптеген ұйымдар енді көшу керек пе, орнына қашан көшу керектігі туралы шындыққа тап болады.

Міне, тек соңғы 9 айдағы негізгі қадамдардың қысқаша мазмұны:

Ағымдағы SIEM жүйесіндегі кемшіліктерді анықтау ең жақсы ауыстыруды таңдаудан және сәтті көшіруді орындаудан әлдеқайда оңай. Сондай-ақ, SIEM қолданудағы сәтсіздіктер тек технологиядан емес, процестерден (және кейде адамдардан) туындауы мүмкін екенін ескеру маңызды. Міне, осы мақалада. Авторлар бірнеше онжылдықта тәжірибеші, талдаушы және сатушы ретінде жүздеген SIEM көші-қонын көрді. Сонымен, 2024 жылға арналған ең жақсы SIEM көшіру кеңестерін түгендеп көрейік. Біз бұл тізімді санаттарға бөліп, траншеялардан үйренген сабақтарымызды таратамыз.

Жаңа SIEM таңдау

Әр ұсыныстың күшті және әлсіз жақтарын ашуға көмектесу үшін өзіңізге және командаңызға бірнеше негізгі сұрақтар қоюдан бастаңыз. Біз әрбір SIEM-тің «өте күштілігін» тез анықтауды және ұйымыңыздың қалай алға жылжуы мүмкін екенін жоспарлауды ұсынамызtagолардың е. Мысалыampле:

• Бұлттық SIEM
  
  • SIEM әлемдік ауқымдағы инфрақұрылымды көтерме бағамен қамтамасыз ете алатын негізгі бұлттық қызмет провайдері (CSP) ұсынып отыр ма?
    Біздің тәжірибеміз көрсеткендей, өздеріне тиесілі емес бұлттарда жұмыс істейтін SIEM провайдерлері мұндай үлгілермен бірге келетін бұлтартпас «маржа жинақтауын» жеңу қиынға соғады. Бұл сұрақ құнмен тығыз байланысты.
    Бұлтқа негізделген SIEM орналастыру үлгісі сонымен қатар SIEM жүйесін жаңа қауіптерге жауап ретінде масштабтауға және азайтуға, сонымен қатар ұйымның бұлттық жұмыс жүктемелерінің динамикалық сипатын басқаруға мүмкіндік береді. Бұлтты инфрақұрылым мен қолданбалар бірнеше минут ішінде күрт өсуі мүмкін. Бұлтқа негізделген SIEM архитектурасы қауіпсіздік топтарының маңызды құралдарын үлкен ұйымның қажеттіліктерімен бірдей жылдамдықпен масштабтауға мүмкіндік береді.
    Бұлтты жергілікті SIEMs бұлттық жұмыс жүктемелерін қорғау үшін де жақсы орналастырылған. Олар бұлттық қызметтерден төмен кідіріспен деректерді қабылдауды қамтамасыз етеді және бұлтта жиі кездесетін шабуылдарды анықтауға көмектесу үшін анықтау мазмұнымен жеткізіледі.
• Интеллектпен SIEM
  • SIEM жеткізушісінде жаңа және пайда болатын қауіптерді қораптан тыс анықтау үшін алдыңғы қатардағы қауіп барлауының үздіксіз ағыны бар ма?
    Бұл алтын көздер әдетте жоғары деңгейдегі оқиғаларға жауап беру тәжірибесінен, жаппай тұтынушылық IaaS немесе SaaS бұлттық ұсыныстарының жұмысынан немесе қауіпсіздік бағдарламалық өнімдерінің немесе операциялық жүйелердің жаһандық орнату негіздерінен туындайды.
    Қауіптерді барлау ұйымдар үшін қауіпсіздік инциденттерін тиімді анықтау, анықтау, тергеу және әрекет ету үшін өте маңызды. Әсіресе, алдыңғы қатардағы қауіп-қатер барлауы құнды, себебі ол соңғы қауіптер мен осалдықтар туралы нақты уақытта ақпарат береді. Бұл ақпаратты қауіпсіздік инциденттерін жылдам анықтау және басымдық беру және тиімді әрекет ету стратегияларын әзірлеу және енгізу үшін пайдалануға болады.
    Қауіптерді нақты уақытта анықтау және оған жауап беру мүмкіндіктерін жақсарту үшін қауіпсіздік ұйымдары қауіп барлауы мен байланысты деректер арналарын өздерінің қауіпсіздік операцияларының жұмыс үрдістері мен құралдарына үздіксіз біріктіруді іздейді. Айналмалы орындық, көшіру-қою және SIEM және қауіпті Intel көздері арасындағы сынғыш интеграциялар өнімділікті төмендетеді және олар топтың тиімділігіне және талдаушы тәжірибесіне теріс әсер етеді.
• Таңдалған мазмұны бар SIEM
  • SIEM қолдау көрсетілетін талдаушылардың және анықтау ережелерінің және жауап әрекеттерінің кең кітапханасын ұсына ма?
    Кеңес: Кейбір SIEM жеткізушілері танымал деректер арналары үшін талдаушылар жасау үшін тек дерлік пайдаланушы қауымдастығына немесе техникалық альянс серіктестеріне сенеді. Дамып келе жатқан пайдаланушылар қауымдастығы маңызды болғанымен, талдау сияқты іргелі мүмкіндіктерді қамтамасыз ету үшін оған шамадан тыс сенім арту проблема болып табылады. Жалпы деректер көздеріне арналған талдаушыларды тікелей SIEM жеткізушісі жасауы, қолдауы және қолдауы қажет. Анықтау ережесінің мазмұнын қарау кезінде бірдей тәсілді қолданыңыз. Қауымдастық ережелері өте маңызды, бірақ сіз жеткізушіңізден тексерілетін, қолдау көрсетілетін және жүйелі түрде жетілдірілетін негізгі анықтаулардың берік кітапханасын жасауды және қолдауды күтуіңіз керек. Ұйымдар үшін қауіпсіздік жағдайын тиімді басқару үшін жоғары сапалы, таңдалған қауіпті анықтау өте маңызды. Google SecOps ұйымға қауіпсіздік инциденттерін жылдам анықтауға және оларға жауап беруге көмектесетін жаңа және пайда болатын қауіптерді алдын ала анықтауды қамтамасыз етеді.
• AI бар SIEM
  • SIEM құрамына AI кіреді ме және ол инновацияларды жалғастыра алады ма?
    SIEM жүйесіндегі жасанды интеллекттің рөлін әлі күнге дейін ешбір сатушы толық түсінбейді (азырақ жүзеге асырылады). Дегенмен, жетекші SIEM-тер қазірдің өзінде AI басқаратын нақты мүмкіндіктерге ие. Бұл мүмкіндіктер іздеулер мен ережелерді білдіру үшін табиғи тілді өңдеуді, жағдайды автоматтандырылған қорытындылауды және ұсынылған жауап әрекеттерін қамтиды. Көптеген тұтынушылар мен сала бақылаушылары қауіпті анықтау және болжамды қарсыласты талдау сияқты мүмкіндіктерді AI басқаратын SIEM мүмкіндіктерінің кейбір «қасиетті тұстары» деп санайды. Бүгінгі күні ешбір SIEM бұл мүмкіндіктерді сенімді түрде ұсынбайды. 2024 жылы жаңа SIEM таңдаған кезде, жеткізушінің осы түрлендіру мүмкіндіктерінде маңызды прогреске жету үшін қажетті ресурстарды инвестициялауын қарастырыңыз.

Google Security Operations (бұрынғы Chronicle) — Google Cloud ұсынатын бұлтқа негізделген SIEM шешімі. Ол ұйымдарға журналдарды және басқа да қауіпсіздік телеметриясын орталықтандырып жинауға, содан кейін нақты уақытта қауіпсіздік қатерлерін анықтауға, зерттеуге және оларға жауап беруге көмектесу үшін жасалған. 

• Қауіпсіздік қатерлерін анықтау және оларға басымдық беру: Google SecOps-тың қордан тыс анықтау ережелері нақты уақытта қауіпсіздік қатерлерін анықтайды және оларға басымдық береді. Бұл ұйымдарға ең маңызды қауіптерге тез және тиімді жауап беруге көмектеседі.
• Қауіпсіздік оқиғаларын зерттеу: Google SecOps қауіпсіздік оқиғаларын зерттеуге арналған орталықтандырылған платформаны ұсынады. Бұл ұйымдарға дәлелдерді тез және тиімді жинауға және оқиғаның ауқымын анықтауға көмектеседі.
• Қауіпсіздік оқиғаларына жауап беру: Google SecOps ұйымдарға автоматтандырылған түзету сияқты қауіпсіздік инциденттеріне жауап беруге көмектесетін әртүрлі құралдарды ұсынады. Қауіпті аңшылар платформаның жылдамдығын, іздеу мүмкіндіктерін және қолданбалы қауіп барлауын сызаттар арқылы өтіп кеткен шабуылдаушыларды іздеуде баға жетпес құнды деп санайды. Бұл ұйымдарға қауіпсіздік оқиғаларының әсерін тез және тиімді түрде ұстауға және азайтуға көмектеседі.
  Google SecOps-тың бірқатар артықшылықтары барtagES дәстүрлі SIEM шешімдеріне қарағанда, соның ішінде:
• Жасанды интеллект: Google SecOps қорғаушыларға табиғи тілді қолдану арқылы секундтарда үлкен көлемдегі деректерді іздеуге және сұрақтарға жауап беру, оқиғаларды қорытындылау, қауіптерді іздеу, ережелер жасау және тергеу контекстіне негізделген ұсынылған әрекеттерді орындау арқылы жылдамырақ шешім қабылдауға мүмкіндік беру үшін Google компаниясының Gemini AI технологиясын пайдаланады. Қауіпсіздік топтары жауап кітаптарын оңай құрастыру, конфигурацияларды теңшеу және ең жақсы тәжірибелерді қосу үшін қауіпсіздік операцияларында Gemini пайдалана алады, бұл терең тәжірибені қажет ететін уақытты қажет ететін тапсырмаларды жеңілдетуге көмектеседі.
• Қолданбалы қауіп барлау: Google SecOps тұтынушыларға аз күш жұмсап көбірек қауіптерді анықтауға көмектесу үшін VirusTotal, Mandiant Threat Intelligence және ішкі Google Threat барлау көздерінің біріккен барлауын қамтитын Google Threat Intelligence (GTI) жүйесімен біріктірілген.
• Масштабтау мүмкіндігі: Google SecOps бұлтқа негізделген шешім болып табылады, сондықтан өлшеміне қарамастан кез келген ұйымның сыйымдылығы мен өнімділігі қажеттіліктерін қанағаттандыру үшін Google бұлты ұсынған гипер масштабты бұлттық инфрақұрылымды пайдалана алады.
• Google Cloud-пен интеграция: Google SecOps басқа Google Cloud өнімдерімен және қызметтерімен тығыз біріктірілген, мысалы, Google Cloud Security Command Center Enterprise (SCCE). Бұл интеграция ұйымдарға өздерінің қауіпсіздік операцияларын бірыңғай, бірыңғай платформада басқаруды жеңілдетеді. Google SecOps – GCP қызметінің телеметриясына арналған ең жақсы SIEM және сонымен қатар AWS және Azure сияқты басқа ірі бұлттық провайдерлер үшін қораптан тыс анықтау мазмұнын қамтиды.

Google SecOps жүйесіндегі қолданбалы қауіп барлау
Google SecOps қауіпсіздік топтарына қауіп деректерімен автоматты түрде байланыстырылатын және байытылған қауіпсіздік деректерін басқаруға және талдауға мүмкіндік береді. Қауіптерді барлауды тікелей SIEM жүйесіне біріктіру арқылы ұйымдар:

• Анықтау мен триажды жақсарту: Қауіпті деректерді нақты уақытта зиянды әрекетті анықтауға көмектесетін ережелерді жасау үшін тікелей пайдалануға болады. Бұл деректер басқа ескертулерге мәтінмән қосу және ескертуге сенімділікті автоматты түрде реттеу үшін де пайдаланылады. Бұл ұйымдарға қауіпсіздік инциденттерін жылдам анықтауға және тексеруге және ресурстарын ең маңызды қауіптерге шоғырландыруға көмектеседі.
• Тергеу мен жауап беруді жақсарту: Қауіпті барлау қауіпсіздікті тексеру кезінде контекст пен түсініктерді қамтамасыз ету үшін пайдаланылуы мүмкін. Бұл талдаушыларға оқиғаның негізгі себебін жылдам анықтауға және тиімді әрекет ету стратегияларын әзірлеуге және енгізуге көмектеседі.
• Қауіпті ландшафттан алда болыңыз: Қауіптерді барлау ұйымдарға соңғы қауіптер мен осалдықтар туралы ақпарат беру арқылы қауіп ландшафтынан алда тұруға көмектеседі. Бұл ақпаратты қауіпті аң аулау және қауіпсіздікті хабардар етуді үйрету сияқты белсенді қауіпсіздік шараларын әзірлеу және енгізу үшін пайдалануға болады.

Google SecOps жүйесінде қауіпті анықтау
Google SecOps қауіп-қатерді анықтау Google қауіпсіздік командаларының алдыңғы қатардағы қауіп барлауының үздіксіз ағынына негізделген. Бұл интеллект нақты уақытта зиянды әрекетті анықтай алатын ережелер мен ескертулерді жасау үшін пайдаланылады. Сондай-ақ, Google SecOps қауіпсіздік деректеріндегі күдікті үлгілерді анықтау үшін мінез-құлық талдауы мен тәуекелді бағалауды пайдаланады. Бұл Google SecOps-қа дәстүрлі анықтау ережелерімен анықталмайтын қауіптерді анықтауға мүмкіндік береді.

Жоғары сапалы, таңдалған қауіпті анықтаудың мәні анық. Google SecOps пайдаланатын ұйымдар мыналарды пайдалана алады:

• Жақсартылған анықтау және триаж: Google SecOps ұйымдарға қауіпсіздік оқиғаларын жылдам анықтауға және анықтауға көмектеседі. Бұл ұйымдарға өз ресурстарын ең маңызды қауіптерге шоғырландыруға мүмкіндік береді.
• Жетілдірілген тергеу және жауап: Google SecOps қауіпсіздікті тексеру кезінде контекст пен түсініктерді бере алады. Бұл талдаушыларға оқиғаның негізгі себебін жылдам анықтауға және тиімді әрекет ету стратегияларын әзірлеуге және енгізуге көмектеседі.
• Қауіп ландшафтынан алда болыңыз: Google SecOps соңғы қауіптер мен осалдықтар туралы ақпарат беру арқылы ұйымдарға қауіп ландшафтынан алда тұруға көмектесе алады. Бұл ақпаратты қауіпті аң аулау және қауіпсіздікті хабардар етуді үйрету сияқты белсенді қауіпсіздік шараларын әзірлеу және енгізу үшін пайдалануға болады.

SIEM тасымалдауы

Сондықтан сіз көшуді шештіңіз. Сіздің көші-қонға деген көзқарасыңыз қажетті мүмкіндіктерді сақтауды және жаңа платформадан құндылықты тезірек алуды бастау үшін маңызды. Бұл басымдыққа байланысты. Әдеттегі сауда-саттық SIEM көші-қоны тергеуге, анықтауға және жауап беруге барлық көзқарасыңызды жаңарту мүмкіндігін білдірсе де, ұйымдар «мұхитты қайнатуға» тырысатындықтан, көптеген SIEM көші-қоны сәтсіздікке ұшырайтынын мойындайды.

Міне, сәтті SIEM тасымалдауды жоспарлау және орындау бойынша ең жақсы кеңестер:

• Тасымалдау мақсаттарыңызды анықтаңыз. Бұл анық естіледі, бірақ сіздің SIEM көшіруіңіз ұзақ процесс, сондықтан қалаған нәтижелерді анықтау (мысалы, қауіпті анықтауды жылдамдату, сәйкестік туралы есеп беруді жеңілдету, жақсартылған көріну, талдаушылардың еңбегін азайту, сонымен бірге шығындарды азайту) табыспен тығыз байланысты.
• Көші-қонды үй тазалау мүмкіндігі ретінде пайдаланыңыз. Бұл тазалауға жақсы уақыт анықтау ережелері мен журнал көздері және тек нақты пайдаланатындарды көшіріңіз. Бұл қайталауға да жақсы уақытview ескертулерді триаж және баптау процестерін және олардың жаңартылғанына көз жеткізіңіз.
• Әрбір журнал көзін тасымалдамаңыз. Жаңа SIEM жүйесіне көшу - сәйкестік немесе қауіпсіздік себептері үшін болсын, сізге қандай журналдар қажет екенін шешудің тамаша мүмкіндігі. Көптеген ұйымдар уақыт өте келе журнал деректерінің үлкен көлемін жинақтайды және олардың барлығы міндетті түрде құнды немесе маңызды бола бермейді. Тасымалдау алдында журнал көздерін бағалауға уақыт бөлу арқылы SIEM жүйесін оңтайландыруға және қауіпсіздік пен сәйкестік қажеттіліктеріне ең маңызды деректерге назар аударуға болады.
• Барлық мазмұнды тасымалдамаңыз. Барлық бар анықтау мазмұнын, ережелерін, ескертулерін, бақылау тақталарын, визуализацияларды және ойнату кітаптарын жаңа SIEM жүйесіне көшіру әрқашан қажет емес. Ағымдағы анықтау қамтуын бағалауға және қажет ережелерді тасымалдауға басымдық беруге уақыт бөліңіз. Сіз ережелерді біріктіру, телеметрияның болмауы немесе қате логика салдарынан ешқашан қосылмайтын ережелерді немесе қораптан тыс мазмұн арқылы жақсырақ өңделетін ережелерді жою мүмкіндіктерін табасыз. Ережені бір-біріне көшіруді жақтайтын кез келген жеткізушіге немесе орналастыру серіктесіне сұрақ қойыңыз.
• Мазмұнды ерте көшіруге басымдық беріңіз. Әрбір нақты пайдалану жағдайына қажетті журнал көздері мен байытулар қолжетімді болған кезде анықтау мазмұнын тасымалдауды дереу бастаңыз. Дереккөздерді пайдалану жағдайларымен сәйкестендіретін бұл деректерге негізделген тәсіл оңтайлы тиімділік пен нәтижелер үшін параллель көшіру әрекеттеріне мүмкіндік береді.
• Анықтау мазмұнын тасымалдау – адам басқаратын процесс. Анықтау мазмұнын (ережелер, ескертулер, бақылау тақталары, үлгілер, т.б.) (негізінен) шабыт ретінде пайдаланып, нөлден бастап қайта құруға дайындалыңыз. Бүгінгі күні ережелерді бір SIEM платформасынан екіншісіне автоматты түрде түрлендірудің ешқандай ақымақтық әдісі жоқ. Кейбір жеткізушілер синтаксистік аудармашыларды ұсынса да, олар әдетте тамаша аударылған ереже, іздеу немесе бақылау тақтасынан гөрі жақсы секіру нүктесіне әкеледі. Сіз барынша аванс алуыңыз керекtagосы құралдардың бірі, бірақ олардың панацея емес екенін мойындаңыз.
• Анықтау мазмұны көптеген көздерден келеді. Анықтауды қамту қажеттіліктерін талдаңыз, содан кейін қажет болған жағдайда анықтауды пайдалану жағдайларын қабылдаңыз немесе жасаңыз. Сіздің SIEM жеткізушіңіз мүмкін болса, әрқашан пайдалануыңыз қажет қораптан тыс мазмұнды қамтамасыз етеді. Сондай-ақ қауымдастық ережелерінің репозиторийлері мен үшінші тараптың анықтау мазмұнын жеткізушілерін қарастырыңыз. Қажет болған жағдайда, өз ережелеріңізді жазыңыз және ережелердің көпшілігін есте сақтаңыз, олардың шығу тегіне қарамастан, ұйымыңыздың арнайы ортасына сәйкестендірілген болуы керек.
• Шынайы көші-қон хронологиясын жасаңыз. Бұған деректерді беру, тестілеу, баптау, оқыту және екі жүйені қатар іске қосу қажет болуы мүмкін ықтимал қабаттасуларды есепке алу кіреді. Дұрыс анықталған көші-қон жоспары тәуекелдерді анықтауға және азайтуға және тасымалдаудың сәтті аяқталуын қамтамасыз етуге көмектеседі. Жоспар егжей-тегжейлі уақыт кестесін, тапсырмалар тізімін, ресурстарды және бюджетті қамтуы керек. SIEM көші-қоны сияқты ірі жобалар кезеңдерге бөлінуі керек екенін мойындаңыз.
• Тестілеу. Анықтауларыңызды іске қосатын деректерді жүйелі түрде енгізу, талдауды тексеру және анықтаудан регистрге дейінгі деректер ағынын тексеру арқылы SIEM және анықтау мазмұнын сынау тәжірибесін ұсынамыз. SIEM көші-қоны - бұл қатаң талаптарды қабылдаудың тамаша уақыты анықтау инженерлік бағдарламасы оған осындай тестілеу кіреді.
• Ескі және жаңа құралдарды іске қосатын өтпелі кезеңге дайындалыңыз. Бұзатын «жырт және ауыстыру» тәсілінен аулақ болыңыз. Журнал көздерін тасымалдайтын және жағдайларды пайдаланатын кезеңді тасымалдау процесті бақылауға көмектеседі және тәуекелді азайтады. Сондай-ақ, ескі SIEM деректерін жаңасына қайта енгізу туралы екі рет ойланыңыз. Кейбір жағдайларда, тарихи деректерге қол жеткізуге рұқсат беру үшін алдыңғы SIEM жүйесін ұзақ уақыт бойы жұмыс істеп тұрған күйде қалдыру мүмкіндігіңіз болуы мүмкін.
• Командаларыңызды қосыңыз. Сарапшылар жаңа жүйені пайдалана алмаса, SIEM тасымалдауыңыз сәтсіз болады. Жақсы көшіру жоспары командаларыңыз үшін терең мүмкіндіктерді қамтиды. Инженерлерді деректерді қосу және талдау, істі басқару/тергеу/триаж бойынша талдаушыларды оқыту, аномалияларды анықтау/іздеу бойынша қауіп-қатер іздеушілерді және ережелерді жазу бойынша анықтау инженерлерін үйрету туралы ойланыңыз. Уақыт қосу үшін маңызды. Қызметкерлерді көші-қонның белгілі бір кезеңдеріне кіріскен кезде оқытқан дұрыс, бұл дағдылар талап етілмей тұрып оқыту.
• Көмек алыңыз! Тәжірибеші немесе көшбасшы ретінде сәттілікке ие болсаңыз (немесе сәтсіз болуы мүмкін бе?), сіз мансапта бір немесе екі SIEM көші-қонынан өткен боларсыз. Неге ондаған, жүздеген рет жасаған мамандардың көмегіне жүгінбеске? Жеткізушінің кәсіби қызметтері топтары және/немесе білікті қызмет көрсету серіктестерінің консалтингтік топтары тамаша таңдау болып табылады. SIEM көші-қоны негізінен адамға бағытталған әрекеттер.

Негізгі процесс: орналастыру серіктесін таңдаңыз
Ешбір шешім қолдану серіктесін таңдаудан гөрі SIEM көшіруінің соңғы табысына үлкен әсер етпейді. SIEM платформалары – ауқымды, күрделі, кәсіпорын жүйелері. Жалғыз баруға тырыспаңыз; көптеген көші-қонды басынан өткерген орналастыру серіктесімен байланысыңыз.

Орналастыру серіктесі жай ғана жаңа SIEM жеткізушісінің кәсіби қызметтері болуы мүмкін. Дегенмен, тасымалдауды орындау үшін үшінші тарап серіктесін таңдау жиі кездеседі. SIEM көші-қоны адам басқаратын әрекет екенін есте сақтаңыз. Жаңа SIEM жүйесінде сертификаттары бар серіктесті және көптеген анықтамалық серіктестерді таңдаған дұрыс. Сондай-ақ, олар көшіп жатқан SIEM жүйесінде тәжірибесі болса, көмектеседі. Сілтемелерден басқа, серіктестің жаңа SIEM-пен тәжірибесінің деңгейін анықтаудың ақылды жолы - топтың белсенді қатысушы болған-болмайтынын білу үшін қауымдастық форумдарын тексеру. Авторлардың пікірінше, жоғары белсенді серіктес персонал табысты SIEM көшірулерімен сәйкес келеді. SIEM көшіруінің техникалық биттері мен байттарынан басқа, сіз өзіңіздің салалық вертикалыңызда немесе сәйкестік ортаңызда немесе сіздің аймағыңыз немесе үшеуі де! Сіз тіл дағдылары мен ресурстарды advan-дан іздей аласызtagуақыт белдеулері. Сондай-ақ, сіз SIEM жүйесін сіз үшін басқаратын немесе ұйымыңыздың SIEM қызметін ішінара немесе толықтай аутсорсингке алатын басқарылатын қауіпсіздік қызметінің провайдері ретінде ұқсас нәтижелерді беретін серіктестерді іздей аласыз.

Негізгі процесс: Ағымдағы конфигурацияны және пайдалану жағдайларын құжаттау
SIEM орналастырулары әдетте кең ауқымды болып табылады, пайдалану жылдар бойына ауқымы мен күрделілігі тұрақты түрде өседі. Құжаттарды аз немесе жоққа дайындаңыз. SIEM бастапқы конфигурациясын және теңшеуін орындаған персонал көп жағдайда жоғалады деп күтіңіз. Тасымалдау процесінің басында конфигурация мен мүмкіндіктерді мұқият құжаттау сәттілік пен сәтсіздік арасындағы айырмашылықты білдіруі мүмкін.

• SIEM пайдаланатын сәйкестендіру және қол жеткізуді басқаруды құжаттаңыз. Сізге, әрине, деректер мен мүмкіндіктерге кейбір рөлге негізделген қатынасты сақтау қажет болады. Екінші жағынан, көші-қон - бұл көптеген ұйымдарда табиғи түрде болатын қолжетімділікті талдау және шешу мүмкіндігі. Тасымалдау процесін корпоративтік стандарттармен біріктіру және көп факторлы аутентификацияны енгізуді қоса алғанда, аутентификация/авторизация әдістерін жаңғырту мүмкіндігі ретінде қарастыруға болады.
• Жиналатын деректер түрлерінің атауларын түсіріңіз. Кейбір SIEM бұл атауларды «sourcetype» немесе «logtype» деп атайтынын ескеріңіз. Көрсеткіш ретінде гигабайт/күнді пайдалана отырып, әрбір деректер түрінің қанша деректер ағып жатқанын түсіріңіз. Әрбір деректер көзі үшін деректер құбырын құжаттаңыз (агент негізіндегі, API сұрауы, web ілмек, бұлтты шелек қабылдау, қабылдау API, HTTP тыңдаушысы, т.б.) және кез келген теңшелімдермен бірге SIEM талдаушы конфигурациясын түсіріңіз.
• Сақталған іздеулерді, бақылау тақтасының анықтамаларын және анықтау ережелерін жинаңыз. Көптеген SIEM-де іздеу кестелері сияқты тұрақты деректерді сақтау механизмдері бар. Олардың қалай толтырылғанын және пайдаланылатынын түсініп, құжаттандыруды ұмытпаңыз.
• Сыртқы жүйелермен интеграцияларды түгендеу. Көптеген SIEM-тер істерді басқару жүйелерімен, реляциялық дерекқорлармен, хабарландыру қызметтерімен (электрондық пошта, SMS және т.б.) және қауіп барлау платформаларымен біріктірілген.
• Ойын кітаптары, істерді басқару үлгілері және құжатталмаған кез келген белсенді интеграция сияқты жауап мазмұнын түсіріңіз.

Осы маңызды техникалық мәліметтерді жинаудан басқа, интервалға уақыт бөлу өте маңыздыview бар SIEM пайдаланушылары олардың жұмыс үрдістерін түсіну үшін. SIEM-ді қалай қолданатынын, SIEM-ге қандай стандартты операциялық процедуралар негізделгенін сұраңыз. Қауіпсіздіктен тыс қандай командалар SIEM пайдалана алады деген сияқты кең сұрақтарды қою да маңызды. Мысалыample, сәйкестік топтары немесе АТ операциялары қызметкерлерінің SIEM-ге сенуі сирек емес. Бұл пайдалану жағдайларын түсірмеу тасымалдау процесінде кейінірек қабылданбаған күтулерді тудыруы мүмкін.

Негізгі процесс: Журнал көзін тасымалдау
Журнал көзін тасымалдау деректер көздерін ескі SIEM жүйесінен жаңа SIEM жүйесіне жылжытуды қамтиды. Бұл процесс файлда жиналған ағымдағы конфигурацияның құжаттамасына байланысты Процесс: Ағымдағы конфигурацияны және пайдалануды құжаттау бөлім.

Келесі қадамдар әдетте журнал көзін тасымалдау процесіне қатысады:

1. Ашу және түгендеу: Бірінші қадам - ​​қазіргі уақытта ескі SIEM арқылы қабылданатын журнал көздерінің барлығын табу және түгендеу. Мұны әртүрлі әдістерді қолдану арқылы жасауға болады, мысалы, қайтаviewSIEM конфигурациясын анықтау files немесе API және қатысты құралдарды пайдалану.
2. Басымдылық: Журнал көздері табылып, түгенделіп болғаннан кейін, тасымалдау үшін оларға басымдық беру керек. Мұны журнал көзі басқаратын талдаулар, деректер көлемі, деректердің маңыздылығы, сәйкестік талаптары және тасымалдау процесінің күрделілігі сияқты бірқатар факторлар негізінде жасауға болады.
3. Көші-қонды жоспарлау: Журнал көздеріне басымдық берілгеннен кейін тасымалдау жоспарын жасау керек.
4. Тасымалдауды орындау: Содан кейін көші-қон процесі жоспарға сәйкес орындалуы мүмкін. Бұл жаңа SIEM жүйесінде арналарды конфигурациялау, агенттерді орнату, API интерфейстерін конфигурациялау және т.б. сияқты әртүрлі тапсырмаларды қамтуы мүмкін.
5. Тестілеу және тексеру: Тасымалдау аяқталғаннан кейін журнал деректерінің дұрыс қабылдануын тексеру және тексеру маңызды. Мұны үнсіз қалған деректер көздері үшін ескертуді конфигурациялау мүмкіндігі ретінде пайдаланыңыз.
6. Құжаттама: Соңында, жаңа журнал көзі конфигурациясын құжаттау маңызды.

Негізгі процесс: Анықтау және жауап мазмұнын тасымалдау
SIEM анықтау және жауап мазмұны ережелерден, іздеулерден, оқу кітаптарынан, бақылау тақталарынан және SIEM ескертулеріңізде не беретінін және талдаушыларға сол ескертулерді өңдеуге қалай көмектесетінін анықтайтын басқа конфигурациялардан тұрады. Дұрыс конфигурацияланбаған мазмұнсыз SIEM іздеудің тамаша тәсілі ғана. Бұл «қымбат grep» – бұл терминді авторлардың әріптесі бірнеше жыл бұрын ойлап тапқан. SIEM мазмұны ұйымыңыздың ашылу ауқымын анықтауда маңызды рөл атқарады.

• Анықтау ережелері қауіпсіздік инциденттерін анықтау үшін қолданылады. Қауіпсіздікке қауіп төндіретін субъектілер мен оларға тән тактикалар, әдістер және процедуралар (ТТП) туралы терең білімі бар анықтау инженерлері оларды жазады. Анықтау ережелері журнал деректерінде осы TTP ұсынатын үлгілерді іздейді. Анықтау ережелері жиі әртүрлі журнал көздерін өзара байланыстырады және қауіп барлау деректерін пайдаланады.
• Жауапты ойнату кітаптары қауіпсіздік ескертулеріне жауапты автоматтандыру үшін пайдаланылады. Олар хабарландыруларды жіберу, бұзылған хосттарды оқшаулау, ескертулерді мәтінмәндік деректермен/қауіптердің барлауымен байыту және түзету сценарийлерін іске қосу сияқты тапсырмаларды қамтуы мүмкін.
• Бақылау тақталары қауіпсіздік деректерін визуализациялау және қауіпсіздік оқиғаларының күйін бақылау үшін пайдаланылады. Оларды ұйымның жалпы қауіпсіздік жағдайын бақылау және үрдістер мен үлгілерді анықтау үшін пайдалануға болады.
• Жаңа анықтау және жауап беру мазмұнын әзірлеу итерациялық процесс болып табылады. SIEM-ді үздіксіз бақылап отыру және қажет болған жағдайда мазмұнға түзетулер енгізу маңызды. SIEM тасымалдауы - код ретінде анықтау (DaC) сияқты тәсілдер арқылы процестеріңізді жақсартудың тамаша уақыты.

Негізгі процесс: оқыту және іске қосу
SIEM көшіру кезінде жиі назардан тыс қалмайтын процесс пайдаланушыларды оқыту болып табылады. SIEM қауіпсіздік операциялары тобы қолданатын ең маңызды жалғыз құрал болуы мүмкін. Олардың оны тиімді және өнімді пайдалану қабілеті көшудің сәттілігінде және ұйымыңызды қорғау қабілетінде үлкен рөл атқарады. Жаттығу мазмұны мен жеткізуді қамтамасыз ету үшін SIEM провайдеріне және орналастыру серіктесіне сеніңіз. Мұнда командалар қосулы болатын тақырыптардың қысқаша тізімі берілген.

• Журнал арнасын қабылдау және талдау
• Іздеу / Тергеу
• Істі басқару
• Ережені авторлау
• Бақылау тақтасын әзірлеу
• Ойын кітабы / Автоматтандыру

Қорытынды

• Сайып келгенде, бұрынғы SIEM жүйесінен заманауи шешімге көшу сөзсіз. Қиындықтар қорқынышты болып көрінгенімен, жақсы жоспарланған және орындалған тасымалдау қауіпті анықтауда, жауап беру мүмкіндіктерінде және жалпы қауіпсіздік жағдайын айтарлықтай жақсартуға әкелуі мүмкін.
• Жаңа SIEM таңдауын мұқият қарастырып, бұлттың жергілікті архитектурасының күшті жақтарын пайдалана отырып, қауіп-қатерлердің жетілдірілген барлауын біріктіріп және AI басқаратын мүмкіндіктерді пайдалана отырып, ұйымдар өздерінің қауіпсіздік топтарын үнемі дамып келе жатқан қауіптерден белсенді түрде қорғауға мүмкіндік береді. Табысты тасымалдау процесі мұқият жоспарлауды, жан-жақты құжаттаманы, стратегиялық журнал көзі мен мазмұнды тасымалдауды, мұқият тестілеуді және пайдаланушыларды жан-жақты оқытуды қамтиды.
• Тәжірибелі орналастыру мамандарымен серіктестік қиыншылықтарды шарлау және біркелкі өтуді қамтамасыз ету үшін баға жетпес болуы мүмкін. Үздіксіз жетілдіруге және анықтау инженериясына назар аудара отырып, ұйымдар толық мүмкіндікті пайдалана алады
• олардың жаңа SIEM әлеуеті және алдағы жылдарға қауіпсіздік қорғанысын күшейту.

Қосымша оқу

• «Google SecOps сіздің SIEM стекіңізді көбейтуге қалай көмектесе алады» қағазы
• «SOC болашағы: эволюция немесе оңтайландыру — өз жолыңызды таңдаңыз» қағаз
• Google бұлтты қауіпсіздік қауымдастығы блогы
• Detection Engineering апталық ақпараттық бюллетень
• анықтау.fyi – Анықтау инженериясы бойынша тәжірибешіге бағытталған кеңестер
• Код ретінде анықтау және Google қауіпсіздік операцияларын бастау – Дэвид Френч (Бірінші бөлім, екінші бөлім)
• Заманауи анықтау инженерлік жұмыс үрдісін енгізу – Дэн Лусье (Бірінші бөлім, екінші бөлім, үшінші бөлім)

Қосымша ақпарат алу үшін кіріңіз cloud.google.com

Жиі қойылатын сұрақтар

С: Great SIEM Migration нұсқаулығының мақсаты қандай?
A: Нұсқаулық ұйымдарға ескірген SIEM шешімдерінен қауіпті анықтау мен әрекет етудің жаңа, тиімдірек нұсқаларына өтуге көмектесуге бағытталған.

С: Бұлтқа негізделген SIEM жүйесінен қалай пайда аламын?
A: Бұлтты SIEM жүйелері архитектурасы мен мүмкіндіктеріне байланысты бұлттық жұмыс жүктемелері үшін ауқымдылықты, үнемділікті және тиімді қауіпсіздікті қамтамасыз етеді.