Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
SOC-(Security Operations Center-)Teams verwenden zentrale SIEM- (Security Information and Event Management-) und SOAR-(Security Orchestration, Automation and Response-)Lösungen, um ihre zunehmend dezentralisierte digitale Infrastruktur zu schützen. Ältere SIEMs können zwar eine gute Abdeckung lokaler Ressourcen gewährleisten, lokale Architekturen verfügen jedoch möglicherweise über eine unzureichende Abdeckung für Cloudressourcen, z. B. in Azure, Microsoft 365, AWS oder Google Cloud Platform (GCP). Im Gegensatz dazu können Microsoft Sentinel Daten sowohl aus lokalen als auch aus Cloudressourcen aufnehmen und die Abdeckung über die gesamte Fläche sicherstellen.
In diesem Artikel werden die Gründe für die Migration von einer Legacy-SIEM-Lösung erörtert, und Sie erfahren, wie Sie die verschiedenen Phasen Ihrer Migration planen.
Schritte bei der Migration
In diesem Handbuch erfahren Sie, wie Sie Ihr älteres SIEM zu Microsoft Sentinel migrieren. Führen Sie Ihren Migrationsprozess anhand dieser Artikelreihe aus, in der Sie erfahren, wie Sie bei den verschiedenen Schritten im Prozess am besten navigieren.
Hinweis
Für einen geführten Migrationsprozess nehmen Sie am Microsoft Sentinel Migration and Modernization Program teil. Das Programm ermöglicht es Ihnen, die Migration zu vereinfachen und zu beschleunigen, und es bietet Best-Practice-Leitfäden, Ressourcen und Expertenhilfe in jeder Phase. Weitere Informationen erhalten Sie von Ihrem Kontoteam.
Was ist Microsoft Sentinel?
Microsoft Sentinel ist eine skalierbare, cloudnativ, Sicherheitsinformations- und Ereignisverwaltungslösung (SIEM) und Sicherheits-Orchestrierung, Automatisierung und Reaktion (SOAR). Microsoft Sentinel bietet intelligente Sicherheitsanalysen und Bedrohungsintelligenz im gesamten Unternehmen. Microsoft Sentinel bietet eine einzige Lösung für angriffserkennung, Bedrohungssichtbarkeit, proaktive Bedrohungssuche und Bedrohungsreaktion. Erfahren Sie mehr über Microsoft Sentinel.
Warum aus einer Legacy-SIEM-Lösung migrieren?
SOC-Teams sehen sich mit einer Reihe von Herausforderungen konfrontiert, wenn sie eine Legacy-SIEM-Lösung verwalten:
- Langsame Reaktion auf Bedrohungen. Legacy-SIEM-Lösungen verwenden Korrelationsregeln, die schwer zu verwalten und bei der Identifizierung neuer Bedrohungen ineffektiv sind. Darüber hinaus sind SOC-Analysten mit großen Mengen falsch positiver Ergebnisse, vielen Warnungen aus vielen verschiedenen Sicherheitskomponenten und zunehmend hohen Mengen von Protokollen konfrontiert. Durch die Analyse dieser Daten werden die Bemühungen der SOC-Teams, auf kritische Bedrohungen in der Umgebung zu reagieren, verlangsamt.
- Skalierungsprobleme. Mit zunehmenden Datenerfassungsraten sehen sich SOC-Teams mit Problemen bei der Skalierung ihrer SIEM-Lösung konfrontiert. Statt sich auf den Schutz der Organisation zu konzentrieren, müssen SOC-Teams in die Einrichtung und Wartung ihrer Infrastruktur investieren und sind an Speicher- oder Abfragegrenzwerte gebunden.
- Manuelle Analyse und Antwort. SOC-Teams benötigen sehr qualifizierte Analysten, um große Mengen von Warnungen manuell zu verarbeiten. SOC-Teams sind überlastet und neue Analysten sind schwer zu finden.
- Komplexe und ineffiziente Verwaltung. SOC-Teams überwachen in der Regel die Orchestrierung und die Infrastruktur, verwalten Verbindungen zwischen den SIEM und verschiedenen Datenquellen und führen Updates und Patches aus. Diese Aufgaben gehen häufig zu Lasten der kritischen Triagen und Analysen.
Eine cloudnative SIEM-Lösung behandelt diese Herausforderungen. Microsoft Sentinel erfasst Daten automatisch und skaliert, erkennt unbekannte Bedrohungen, untersucht Bedrohungen mit künstlicher Intelligenz und reagiert schnell mit integrierter Automatisierung auf Vorfälle.
Planen Ihrer Migration
Während der Planungsphase identifizieren Sie Ihre vorhandenen SIEM-Komponenten und Ihre vorhandenen SOC-Prozesse und entwerfen und planen neue Anwendungsfälle. Durch eine gründliche Planung können Sie den Schutz sowohl für Ihre cloudbasierten Ressourcen – Microsoft Azure, AWS oder GCP – als auch für Ihre SaaS-Lösungen wie Microsoft Office 365 verwalten.
In diesem Diagramm werden die allgemeinen Phasen beschrieben, die eine typische Migration beinhaltet. Jede Phase umfasst klare Ziele, wichtige Aktivitäten und angegebene Ergebnisse und Leistungen.
Die Phasen in diesem Diagramm sind ein Leitfaden für die Durchführung eines typischen Migrationsverfahrens. Eine tatsächliche Migration umfasst möglicherweise einige Phasen nicht, stattdessen aber weitere Phasen. Anstatt alle Phasen zu überprüfen, werden in den Artikeln dieses Leitfadens bestimmte Aufgaben und Schritte geprüft, die für eine Microsoft-Sentinel-Migration besonders wichtig sind.
Überlegungen
Überprüfen Sie die folgenden wichtigen Aspekte in jeder Phase.
| Phase | Berücksichtigung |
|---|---|
| Entdecken | Im Rahmen dieser Phase identifizieren Sie Anwendungsfälle und Migrationsprioritäten. |
| Entwurf | Definieren Sie ein detailliertes Design und eine architektur für Ihre Microsoft Sentinel Implementierung. Verwenden Sie diese Informationen, um Genehmigungen von den relevanten Stakeholdern zu erhalten, bevor Sie die Implementierungsphase starten. |
| Implementieren | Berücksichtigen Sie beim Implementieren von Microsoft Sentinel-Komponenten gemäß der Entwurfsphase und vor dem Konvertieren der gesamten Infrastruktur, ob Sie Microsoft Sentinel einsatzbereite Inhalte verwenden können, anstatt alle Komponenten zu migrieren. Sie können mit der schrittweisen Verwendung von Microsoft Sentinel beginnen, beginnend mit einem mindestfähigen Produkt (MVP) für mehrere Anwendungsfälle. Wenn Sie weitere Anwendungsfälle hinzufügen, können Sie diese Microsoft Sentinel Instanz als Benutzerakzeptanztestumgebung (User Acceptance Testing, UAT) verwenden, um die Anwendungsfälle zu überprüfen. |
| Operationalisieren | Sie migrieren Ihre Inhalte und SOC-Prozesse, um sicherzustellen, dass die bestehende Analyseerfahrung nicht gestört wird. |
Identifizieren Ihrer Migrationsprioritäten
Mit diesen Fragen können Sie Ihre Migrationsprioritäten festlegen:
- Was sind die wichtigsten Infrastrukturkomponenten, Systeme, Apps und Daten in Ihrem Unternehmen?
- Wer ist an der Migration beteiligt? DIE SIEM-Migration wirkt sich wahrscheinlich auf viele Bereiche Ihres Unternehmens aus.
- Worauf basieren Ihre Prioritäten? Beispielsweise das größte Geschäftsrisiko, die Complianceanforderungen, die geschäftlichen Priioritäten etc.
- Welche Staffelung und welcher zeitliche Rahmen sind für Ihre Migration vorgesehen? Welche Faktoren wirken sich auf Ihre Daten und Fristen aus? Migrieren Sie ein komplettes Legacysystem?
- Haben Sie die erforderlichen Fähigkeiten? Sind Ihre Sicherheitsmitarbeiter geschult und bereit für die Migration?
- Gibt es bestimmte Hindernisse in Ihrer Organisation? Gibt es Probleme, die sich auf die Planung und den Zeitplan der Migration auswirken? Beispielsweise Probleme wie Personal- und Schulungsanforderungen, Lizenztermine, Hard-Stops, bestimmte Geschäftsanforderungen etc.
Bevor Sie mit der Migration beginnen, identifizieren Sie die wichtigsten Anwendungsfälle, Erkennungsregeln, Daten und Automatisierungen in Ihrer aktuellen SIEM-Lösung. Gehen Sie an die Migration wie an einen schrittweisen Prozess heran. Seien Sie bewusst und aufmerksam darüber, was Sie zuerst migrieren, was Sie weniger priorisieren, und was tatsächlich nicht migriert werden muss. Ihr Team hat möglicherweise eine große Anzahl von Erkennungen und Anwendungsfällen, die in Ihrer aktuellen SIEM-Lösung ausgeführt werden. Bevor Sie mit der Migration beginnen, entscheiden Sie, welche aktiv für Ihr Unternehmen von Nutzen sind.
Identifizieren von Anwendungsfällen
Verwenden Sie beim Planen der Ermittlungsphase die folgende Anleitung, um Ihre Anwendungsfälle zu identifizieren.
- Identifizieren und analysieren Sie Ihre aktuellen Anwendungsfälle nach Bedrohung, Betriebssystem, Produkt etc.
- Wie groß ist der Umfang? Möchten Sie alle Anwendungsfälle migrieren oder Priorisierungskriterien anwenden?
- Ermitteln Sie, welche Sicherheitsressourcen für Ihre Migration am wichtigsten sind.
- Welche Anwendungsfälle sind effektiv? Ein guter Ausgangspunkt besteht darin, zu untersuchen, welche Erkennungen innerhalb des letzten Jahres Ergebnisse erzielt haben (Falsch-Positive gegenüber Positiven).
- Welche geschäftlichen Prioritäten wirken sich auf die Migration von Anwendungsfällen aus? Was sind die größten Risiken für Ihr Unternehmen? Welche Art von Problemen gefährdet Ihr Unternehmen am meisten?
- Priorisieren Sie nach den Eigenschaften der Anwendungsfälle.
- Erwägen Sie, niedrigere und höhere Prioritäten zu setzen. Es wird empfohlen, sich auf Erkennungen zu konzentrieren, bei denen es bei 90 % der Warnungsfeeds zu richtig-positiven Ergebnissen kommt. Anwendungsfälle, die zu einer hohen Rate an falsch-positiven Ergebnissen führen, sind für Ihr Unternehmen ggf. von geringerer Priorität.
- Wählen Sie Anwendungsfälle aus, die die Regelmigration in Bezug auf geschäftliche Priorität und Wirksamkeit rechtfertigen:
- Überprüfen Sie Regeln, die in den letzten 6 bis 12 Monaten keine Warnungen ausgelöst haben.
- Beseitigen Sie Bedrohungen oder Warnungen geringer Intensität, die Sie routinemäßig ignorieren.
- Bereiten Sie einen Überprüfungsprozess vor. Definieren Sie Testszenarien, und erstellen Sie ein Testskript.
- Können Sie eine Methodik zum Priorisieren von Anwendungsfällen anwenden? Sie können einer Methodik wie MoSCoW folgen, um optimaleren Anwendungsfällen für die Migration Priorität zu verleihen.
Nächster Schritt
In diesem Artikel haben Sie erfahren, wie Sie Ihre Migration planen und vorbereiten.