你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
安全运营中心 (SOC) 团队使用集中的安全信息和事件管理 (SIEM) 和安全业务流程、自动化和响应 (SOAR) 解决方案来保护其日益分散的数字资产。 虽然旧版 SIEM 可以保持本地资产的良好覆盖范围,但本地体系结构对云资产的覆盖范围可能不足,例如在 Azure、Microsoft 365、AWS 或 Google Cloud Platform (GCP) 。 相比之下,Microsoft Sentinel可以从本地和云资产引入数据,确保覆盖整个资产。
本文讨论从旧版 SIEM 迁移的原因,并介绍如何规划迁移的不同阶段。
迁移步骤
本指南介绍如何将旧版 SIEM 迁移到Microsoft Sentinel。 通过这一系列文章按照迁移过程进行操作,其中你将了解如何在迁移过程中的不同步骤中导航。
注意
对于引导式迁移过程,请加入Microsoft Sentinel迁移和现代化计划。 该计划允许简化和加速迁移,包括每个阶段的最佳做法指导、资源和专家帮助。 若要了解详细信息,请联系你的帐户团队。
| 步骤 | 文章 |
|---|---|
| 规划迁移 | 你在这里 |
| 使用工作簿跟踪迁移 | 使用工作簿跟踪Microsoft Sentinel迁移 |
| 使用 SIEM 迁移体验 | SIEM 迁移 |
| 从 ArcSight 迁移 | • 迁移检测规则 • 迁移 SOAR 自动化 • 导出历史数据 |
| 从 Splunk 迁移 | • 从 SIEM 迁移体验开始 • 迁移检测规则 • 迁移 SOAR 自动化 • 导出历史数据 如果要迁移 Splunk 可观测性部署,请详细了解如何从 Splunk 迁移到 Azure Monitor 日志。 |
| 从 QRadar 迁移 | • 从 SIEM 迁移体验开始 • 迁移检测规则 • 迁移 SOAR 自动化 • 导出历史数据 |
| 引入历史数据 | • 选择目标Azure平台来托管导出的历史数据 • 选择数据引入工具 • 将历史数据引入目标平台 |
| 将仪表板转换为工作簿 | 将仪表板转换为Azure工作簿 |
| 更新 SOC 进程 | 更新 SOC 进程 |
什么是 Microsoft Sentinel?
Microsoft Sentinel是一种可缩放的云原生安全信息和事件管理, (SIEM) 和安全业务流程、自动化和响应 (SOAR) 解决方案。 Microsoft Sentinel在整个企业中提供智能安全分析和威胁情报。 Microsoft Sentinel为攻击检测、威胁可见性、主动搜寻和威胁响应提供单一解决方案。 详细了解Microsoft Sentinel。
为什么要从旧版 SIEM 迁移?
SOC 团队在管理旧版 SIEM 时面临一系列挑战:
- 对威胁的响应速度缓慢。 旧版 SIEM 使用关联规则,这些规则难以维护,并且对识别新出现的威胁无效。 此外,SOC 分析师还面临着大量的误报、来自许多不同的安全组件的许多警报以及越来越多的日志量。 分析此数据会减慢 SOC 团队响应环境中的关键威胁的努力。
- 缩放挑战。 随着数据引入速率的增长,SOC 团队在缩放 SIEM 时面临挑战。 SOC 团队必须投资于基础结构设置和维护,并受存储或查询限制的约束,而不是专注于保护组织。
- 手动分析和响应。 SOC 团队需要高技能的分析师来手动处理大量警报。 SOC 团队劳累过度,新分析师也很难找到。
- 复杂且低效的管理。 SOC 团队通常监督业务流程和基础结构,管理 SIEM 与各种数据源之间的连接,以及执行更新和修补程序。 这些任务通常以关键会审和分析为代价。
云原生 SIEM 解决了这些挑战。 Microsoft Sentinel自动大规模收集数据,检测未知威胁,使用人工智能调查威胁,并使用内置自动化快速响应事件。
规划迁移
在规划阶段,确定现有 SIEM 组件和现有 SOC 流程,并设计和规划新的用例。 通过全面规划,可以维护对基于云的资产(Microsoft Azure、AWS 或 GCP)和 SaaS 解决方案(如Microsoft Office 365)的保护。
此图描述了典型迁移包括的高级阶段。 每个阶段包括明确的目标、关键活动以及指定的结果和可交付结果。
此图中的阶段是有关如何完成典型迁移过程的指南。 实际迁移可能不包括某些阶段,也可能包括更多阶段。 本指南中的文章回顾了对Microsoft Sentinel迁移特别重要的特定任务和步骤,而不是查看完整的阶段集。
注意事项
查看每个阶段的这些关键注意事项。
| 阶段 | 注意事项 |
|---|---|
| 发现 | 确定用例 和 迁移优先级 作为此阶段的一部分。 |
| Design | 为Microsoft Sentinel实现定义详细的设计和体系结构。 在开始实施阶段之前,你将使用此信息获得相关利益干系人的批准。 |
| 实施 | 在根据设计阶段实现Microsoft Sentinel组件时,以及在转换整个基础结构之前,请考虑是否可以使用Microsoft Sentinel现成的内容,而不是迁移所有组件。 你可以逐渐开始使用 Microsoft Sentinel,从几个用例的最低可行产品 (MVP) 开始。 添加更多用例时,可以使用此Microsoft Sentinel实例作为用户验收测试 (UAT) 环境来验证用例。 |
| 操作化 | 迁移内容和 SOC 流程,以确保现有分析师体验不会中断。 |
确定迁移优先级
使用这些问题固定迁移优先级:
- 企业中最关键的基础结构组件、系统、应用和数据是什么?
- 迁移中的利益干系人是谁? SIEM 迁移可能会涉及业务的许多领域。
- 是什么驱动了你的优先事项? 例如,最大的业务风险、合规性要求、业务优先级等。
- 迁移规模和时间线是多少? 哪些因素会影响你的日期和截止时间。 是否迁移整个旧系统?
- 你是否具备所需的技能? 安全人员是否经过培训并准备好进行迁移?
- 你的组织中是否有任何特定的阻碍因素? 是否有任何问题会影响迁移规划和计划? 例如,人员配备和培训要求、许可证日期、硬性停止、特定业务需求等问题。
在开始迁移之前,请确定当前 SIEM 中的关键用例、检测规则、数据和自动化。 将迁移作为一个渐进的过程进行。 对首先迁移的内容、取消优先处理的内容以及实际上不需要迁移的内容,要有周密的考虑。 你的团队可能有大量检测和用例在当前 SIEM 中运行。 在开始迁移之前,请确定哪些对业务有效。
确定用例
规划发现阶段时,请使用以下指南来确定用例。
- 按威胁、操作系统、产品等确定和分析当前用例。
- 范围是什么? 是要迁移所有用例,还是使用某些优先级条件?
- 确定哪些安全资产对迁移最重要。
- 哪些用例有效? 一个很好的起点是看看哪些检测在过去一年中产生了结果, (误报率与阳性率) 。
- 影响用例迁移的业务优先级有哪些? 业务面临的最大风险是什么? 哪些类型的问题使你的业务面临最大风险?
- 按用例特征确定优先级。
- 请考虑设置越来越高的优先级。 建议专注于对警报源强制实施 90% 真阳性的检测。 导致高误报率的用例对企业来说优先级可能较低。
- 选择在业务优先级和有效性方面证明规则迁移合理的用例:
- 查看在过去 6 到 12 个月内未触发任何警报的规则。
- 消除经常忽略的低级别威胁或警报。
- 准备验证过程。 定义测试方案并生成测试脚本。
- 是否可以应用方法来确定用例的优先级? 可以遵循 MoSCoW 等方法,确定迁移的一组更精简的用例的优先级。
后续步骤
本文介绍了如何规划和准备迁移。