SOC(보안 운영 센터) 팀은 중앙 집중식 SIEM(보안 정보 및 이벤트 관리) 및 SOAR(보안 오케스트레이션, 자동화 및 대응) 솔루션을 사용하여 점점 더 분산되는 디지털 자산을 보호합니다. 레거시 SIEM은 온-프레미스 자산에 대한 적절한 범위를 유지할 수 있지만 온-프레미스 아키텍처는 Azure, Microsoft 365, AWS 또는 GCP(Google Cloud Platform)와 같은 클라우드 자산에 대한 적용 범위가 부족할 수 있습니다. 반면, Microsoft Sentinel 온-프레미스 자산과 클라우드 자산 모두에서 데이터를 수집하여 전체 자산에 대한 적용 범위를 보장할 수 있습니다.
이 문서에서는 레거시 SIEM에서 마이그레이션하는 이유를 설명하고 마이그레이션의 다양한 단계를 계획하는 방법을 설명합니다.
마이그레이션 단계
이 가이드에서는 레거시 SIEM을 Microsoft Sentinel 마이그레이션하는 방법을 알아봅니다. 이 일련의 문서를 통해 마이그레이션 프로세스를 수행합니다. 이 문서에서는 프로세스의 다양한 단계를 탐색하는 방법을 알아봅니다.
참고
단계별 마이그레이션 프로세스의 경우 Microsoft Sentinel 마이그레이션 및 현대화 프로그램에 참여합니다. 이 프로그램을 사용하면 모든 단계에서 모범 사례 지침, 리소스 및 전문가 도움말을 포함하여 마이그레이션을 단순화하고 가속화할 수 있습니다. 자세한 내용은 계정 팀에 문의하세요.
| 단계 | 문서 |
|---|---|
| 마이그레이션 계획 | 여기 있습니다. |
| 통합 문서를 사용하여 마이그레이션 추적 | 통합 문서를 사용하여 Microsoft Sentinel 마이그레이션 추적 |
| SIEM 마이그레이션 환경 사용 | SIEM 마이그레이션 |
| ArcSight에서 마이그레이션 | • 검색 규칙 마이그레이션 • SOAR 자동화 마이그레이션 • 기록 데이터 내보내기 |
| Splunk에서 마이그레이션 | • SIEM 마이그레이션 환경 시작 • 검색 규칙 마이그레이션 • SOAR 자동화 마이그레이션 • 기록 데이터 내보내기 Splunk 가시성 배포를 마이그레이션하려는 경우 Splunk에서 Azure 모니터 로그로 마이그레이션하는 방법에 대해 자세히 알아보세요. |
| QRadar에서 마이그레이션 | • SIEM 마이그레이션 환경 시작 • 검색 규칙 마이그레이션 • SOAR 자동화 마이그레이션 • 기록 데이터 내보내기 |
| 기록 데이터 수집 | • 내보낸 기록 데이터를 호스트할 대상 Azure 플랫폼 선택 • 데이터 수집 도구 선택 • 기록 데이터를 대상 플랫폼에 수집 |
| 대시보드를 통합 문서로 변환 | 대시보드를 Azure 통합 문서로 변환 |
| SOC 프로세스 업데이트 | SOC 프로세스 업데이트 |
Microsoft Sentinel이란?
Microsoft Sentinel 확장 가능한 클라우드 네이티브 SIEM(보안 정보 및 이벤트 관리) 및 SOAR(보안 오케스트레이션, 자동화 및 응답) 솔루션입니다. Microsoft Sentinel 엔터프라이즈 전체에 지능형 보안 분석 및 위협 인텔리전스를 제공합니다. Microsoft Sentinel 공격 탐지, 위협 가시성, 사전 예방적 헌팅 및 위협 대응을 위한 단일 솔루션을 제공합니다. Microsoft Sentinel 대해 자세히 알아보세요.
레거시 SIEM에서 마이그레이션하는 이유는 무엇인가요?
SOC 팀은 레거시 SIEM을 관리할 때 일련의 문제에 직면합니다.
- 위협에 대한 느린 대응. 레거시 SIEM은 유지 관리가 어렵고 새로운 위협을 식별하는 데 비효율적인 상관 관계 규칙을 사용합니다. 또한 SOC 분석가는 많은 양의 가양성, 다양한 보안 구성 요소의 많은 경고 및 점점 더 많은 양의 로그에 직면하고 있습니다. 이 데이터를 분석하면 SOC 팀이 환경의 중요한 위협에 대응하기 위해 속도를 늦출 수 있습니다.
- 크기 조정 과제. 데이터 수집 속도가 증가함에 따라 SOC 팀은 SIEM 크기를 조정해야 합니다. SOC 팀은 organization 보호하는 데 집중하는 대신 인프라 설정 및 유지 관리에 투자해야 하며 스토리지 또는 쿼리 제한에 바인딩됩니다.
- 수동 분석 및 응답. SOC 팀은 많은 양의 경고를 수동으로 처리하기 위해 고도로 숙련된 분석가가 필요합니다. SOC 팀은 과로하고 새로운 분석가를 찾기가 어렵습니다.
- 복잡하고 비효율적인 관리. SOC 팀은 일반적으로 오케스트레이션 및 인프라를 감독하고, SIEM과 다양한 데이터 원본 간의 연결을 관리하고, 업데이트 및 패치를 수행합니다. 이러한 작업은 종종 중요한 심사 및 분석을 희생합니다.
클라우드 네이티브 SIEM은 이러한 문제를 해결합니다. Microsoft Sentinel 데이터를 자동으로 대규모로 수집하고, 알 수 없는 위협을 감지하고, 인공 지능을 사용하여 위협을 조사하고, 기본 제공 자동화를 사용하여 인시던트에 신속하게 대응합니다.
마이그레이션 계획
계획 단계에서는 기존 SIEM 구성 요소, 기존 SOC 프로세스를 식별하고 새 사용 사례를 설계하고 계획합니다. 철저한 계획을 통해 클라우드 기반 자산(Microsoft Azure, AWS 또는 GCP) 및 SaaS 솔루션(예: Microsoft Office 365)에 대한 보호를 유지할 수 있습니다.
이 다이어그램에서는 일반적인 마이그레이션에 포함된 상위 수준 단계를 설명합니다. 각 단계에는 명확한 목표, 주요 활동 및 지정된 결과 및 결과물이 포함됩니다.
이 다이어그램의 단계는 일반적인 마이그레이션 절차를 완료하는 방법에 대한 지침입니다. 실제 마이그레이션에는 일부 단계가 포함되지 않거나 더 많은 단계가 포함될 수 있습니다. 이 가이드의 문서에서는 전체 단계 집합을 검토하는 대신 Microsoft Sentinel 마이그레이션에 특히 중요한 특정 작업 및 단계를 검토합니다.
고려 사항
각 단계에 대해 이러한 주요 고려 사항을 검토합니다.
| 단계 | 고려 사항 |
|---|---|
| 검색 | 이 단계의 일부로 사용 사례 및 마이그레이션 우선 순위를 식별합니다. |
| Design | Microsoft Sentinel 구현에 대한 자세한 디자인 및 아키텍처를 정의합니다. 구현 단계를 시작하기 전에 이 정보를 사용하여 관련 관련자로부터 승인을 받습니다. |
| 구현 | 디자인 단계에 따라 Microsoft Sentinel 구성 요소를 구현하고 전체 인프라를 변환하기 전에 모든 구성 요소를 마이그레이션하는 대신 Microsoft Sentinel 기본 제공 콘텐츠를 사용할 수 있는지 여부를 고려합니다. 여러 사용 사례에 대한 MVP(최소 실행 가능한 제품)부터 시작하여 Microsoft Sentinel 점진적으로 사용할 수 있습니다. 사용 사례를 더 추가하면 이 Microsoft Sentinel instance UAT(사용자 승인 테스트) 환경으로 사용하여 사용 사례의 유효성을 검사할 수 있습니다. |
| 운영화 | 콘텐츠 및 SOC 프로세스를 마이그레이션 하여 기존 분석가 환경이 중단되지 않도록 합니다. |
마이그레이션 우선 순위 식별
마이그레이션 우선 순위를 고정하려면 다음 질문을 사용합니다.
- 비즈니스에서 가장 중요한 인프라 구성 요소, 시스템, 앱 및 데이터는 무엇인가요?
- 마이그레이션의 관련자는 누구인가요? SIEM 마이그레이션은 비즈니스의 많은 영역에 적용할 가능성이 높습니다.
- 우선 순위를 이끄는 것은 무엇인가요? 예를 들어 가장 큰 비즈니스 위험, 규정 준수 요구 사항, 비즈니스 우선 순위 등이 있습니다.
- 마이그레이션 규모 및 타임라인 무엇인가요? 날짜 및 마감일에 영향을 미치는 요인은 무엇인가요? 전체 레거시 시스템을 마이그레이션하고 있나요?
- 필요한 기술이 있나요? 보안 직원이 교육을 받고 마이그레이션할 준비가 되었나요?
- organization 특정 차단기가 있나요? 마이그레이션 계획 및 일정에 문제가 있나요? 예를 들어 직원 및 교육 요구 사항, 라이선스 날짜, 하드 스톱, 특정 비즈니스 요구 사항 등의 문제가 있습니다.
마이그레이션을 시작하기 전에 현재 SIEM에서 주요 사용 사례, 검색 규칙, 데이터 및 자동화를 식별합니다. 점진적 프로세스로 마이그레이션에 접근합니다. 먼저 마이그레이션하는 항목, 우선 순위를 벗어난 항목 및 실제로 마이그레이션할 필요가 없는 항목에 대해 신중하고 신중해야 합니다. 팀에서 현재 SIEM에서 실행 중인 검색 및 사용 사례의 수가 너무 많을 수 있습니다. 마이그레이션을 시작하기 전에 비즈니스에 적극적으로 유용한 마이그레이션을 결정합니다.
사용 사례 식별
검색 단계를 계획할 때 다음 지침을 사용하여 사용 사례를 식별합니다.
- 위협, 운영 체제, 제품 등을 기준으로 현재 사용 사례를 식별하고 분석합니다.
- scope 무엇입니까? 모든 사용 사례를 마이그레이션하거나 일부 우선 순위 지정 조건을 사용하시겠습니까?
- 마이그레이션에 가장 중요한 보안 자산을 식별합니다.
- 효과적인 사용 사례는 무엇인가요? 좋은 시작 장소는 지난 1 년 이내에 결과를 생성 한 검색을 보는 것입니다 (가양성 대 긍정적 인 비율).
- 사용 사례 마이그레이션에 영향을 주는 비즈니스 우선 순위는 무엇인가요? 비즈니스에 가장 큰 위험은 무엇인가요? 비즈니스를 가장 위험에 빠뜨리는 문제 유형은 무엇인가요?
- 사용 사례 특성에 따라 우선 순위를 지정합니다.
- 우선 순위를 더 낮게 설정하고 더 높은 우선 순위를 설정하는 것이 좋습니다. 경고 피드에서 90%의 참 긍정을 적용하는 검색에 집중하는 것이 좋습니다. 가양성 비율이 높은 사용 사례는 비즈니스의 우선 순위가 낮을 수 있습니다.
- 비즈니스 우선 순위 및 효능 측면에서 규칙 마이그레이션을 정당화하는 사용 사례를 선택합니다.
- 지난 6~12개월 동안 경고를 트리거하지 않은 규칙을 검토합니다.
- 자주 무시하는 하위 수준 위협 또는 경고를 제거합니다.
- 유효성 검사 프로세스를 준비합니다. 테스트 시나리오를 정의하고 테스트 스크립트를 빌드합니다.
- 사용 사례의 우선 순위를 지정하는 방법론을 적용할 수 있나요? MoSCoW와 같은 방법론에 따라 마이그레이션에 대한 더 간결한 사용 사례 집합의 우선 순위를 지정할 수 있습니다.
다음 단계
이 문서에서는 마이그레이션을 계획하고 준비하는 방법을 알아보았습니다.