Google Cloud SIEM-Migration

Produktinformationen

Spezifikationen:

• Produktname: SIEM-Migrationshandbuch
• Autor: Unbekannt
• Veröffentlicht Jahr: Nicht angegeben

Anweisungen zur Produktverwendung

• Auswählen eines neuen SIEM
  Stellen Sie sich und Ihrem Team zunächst einige wichtige Fragen, um die Stärken und Schwächen der einzelnen Angebote aufzudecken. Identifizieren Sie schnell die Superkräfte der einzelnen SIEMs und planen Sie, wie Ihr Unternehmen davon profitieren kann.tage von ihnen.
• Cloud-natives SIEM
  Überlegen Sie, ob das SIEM von einem primären Cloud-Service-Provider (CSP) angeboten wird, der eine Infrastruktur im Weltmaßstab zu Großhandelspreisen bereitstellen kann. Cloud-native SIEM-Bereitstellungsmodelle ermöglichen Skalierbarkeit und dynamisches Management von Cloud-Workloads.
• SIEM mit Intelligenz
  Prüfen Sie, ob der SIEM-Anbieter kontinuierliche Bedrohungsinformationen an vorderster Front bereitstellt, um eine sofortige Erkennung neuer und aufkommender Bedrohungen zu ermöglichen.

SIEM ist tot, lang lebe SIEM

Wenn es Ihnen wie uns geht, werden Sie vielleicht überrascht sein, dass Security Information and Event Management (SIEM)-Systeme im Jahr 2024 immer noch das Rückgrat der meisten Security Operations Center (SOC) bilden. SIEMs wurden schon immer zum Sammeln und Analysieren von Sicherheitsdaten aus Ihrem gesamten Unternehmen verwendet, um Ihnen zu helfen, Bedrohungen schnell und effektiv zu identifizieren, zu untersuchen und darauf zu reagieren. Die Realität ist jedoch, dass die modernen SIEMs von heute kaum noch Ähnlichkeit mit denen haben, die vor über 15 Jahren gebaut wurden, vor dem Aufkommen von Cloud-nativer Architektur, Benutzerentitäts- und Verhaltensanalyse (UEBA), Sicherheitsorchestrierung, Automatisierung und Reaktion (SOAR), Angriffsflächenmanagement und natürlich KI, um nur einige zu nennen.
Legacy-SIEMs sind oft langsam, umständlich und schwierig zu verwenden. Ihre veraltete Architektur verhindert oft die Skalierung, um große Mengen an Protokollquellen aufzunehmen, und sie können möglicherweise nicht mit den neuesten Bedrohungen Schritt halten oder die neuesten Funktionen und Fähigkeiten unterstützen. Sie bieten möglicherweise nicht die Flexibilität, die spezifischen Anforderungen Ihres Unternehmens zu unterstützen, oder sind nicht für die Multi-Cloud-Strategie geeignet, die für die meisten Unternehmen heute Realität ist. Schließlich sind sie möglicherweise schlecht positioniert, um Fortschritte zu erzielentage der neuesten technologischen Entwicklungen, wie zum Beispiel künstliche Intelligenz (KI).
Auch wenn ein SIEM unter einem anderen Namen genauso gut klingt, verlassen sich die Sicherheitsteams weiterhin auf
„Sicherheitsoperationsplattformen“ (oder wie auch immer sie genannt werden) in absehbarer Zukunft zur Bedrohungserkennung, -untersuchung und -reaktion.

Die große SIEM-Migration hat begonnen

SIEM-Migration ist nichts Neues. Unternehmen haben sich von ihrem bestehenden SIEM-System abgekoppelt und suchen seit Jahren nach neueren und besseren Optionen. Häufiger ist es jedoch, dass Unternehmen ihr leistungsschwaches und/oder zu teures SIEM-System länger ertragen, als ihnen lieb war. Dies liegt zum Teil an Bedenken hinsichtlich der Komplexität der SIEM-Migration.
Doch die letzten Monate haben im SIEM-Bereich tektonische Verschiebungen mit sich gebracht, die nicht unterschätzt werden dürfen. Es besteht wenig Zweifel daran, dass sich die SIEM-Landschaft in wenigen Jahren komplett verändern wird – neue Marktführer werden geboren und die „Dinosaurier“, die das SIEM-Land jahrzehntelang (oder „Äonen“ im Cybersicherheitsbegriff) beherrscht haben, werden schwächer und vielleicht sogar aussterben. Diese Entwicklungen werden die Migration von alten SIEM-Plattformen auf moderne zweifellos beschleunigen, und viele Organisationen stehen nun vor der Frage, wann sie migrieren sollten, und nicht, ob sie migrieren sollten.

Hier ist eine Zusammenfassung der wichtigsten Entwicklungen allein der letzten neun Monate:

Das Erkennen von Mängeln in Ihrem aktuellen SIEM ist viel einfacher, als den besten Ersatz auszuwählen und eine erfolgreiche Migration durchzuführen. Es ist auch wichtig zu beachten, dass Fehler bei der SIEM-Bereitstellung auch auf Prozesse (und gelegentlich Menschen) und nicht nur auf die Technologie zurückzuführen sein können. Hier kommt dieses Dokument ins Spiel. Die Autoren haben über mehrere Jahrzehnte hinweg Hunderte von SIEM-Migrationen als Praktiker, Analysten und Anbieter begleitet. Lassen Sie uns also eine Bestandsaufnahme der wichtigsten SIEM-Migrationstipps für 2024 machen. Wir werden diese Liste in Kategorien unterteilen und Lektionen einstreuen, die wir aus der Praxis gelernt haben.

Auswählen eines neuen SIEM

Stellen Sie sich und Ihrem Team zunächst einige wichtige Fragen, um die Stärken und Schwächen der einzelnen Angebote aufzudecken. Wir empfehlen, die „Superkräfte“ der einzelnen SIEMs schnell zu identifizieren und zu planen, wie Ihr Unternehmen davon profitieren kann.tage von ihnen. Zum Beispielampauf:

• Cloud-natives SIEM
  
  • Wird das SIEM von einem primären Cloud-Service-Provider (CSP) angeboten, der eine Infrastruktur im Weltmaßstab zu Großhandelspreisen bereitstellen kann?
    Unsere Erfahrung zeigt, dass SIEM-Anbieter, die in Clouds arbeiten, die ihnen nicht gehören, Schwierigkeiten haben, die unvermeidliche „Margin Stacking“-Problematik zu überwinden, die mit solchen Modellen einhergeht. Diese Frage ist untrennbar mit den Kosten verbunden.
    Ein Cloud-natives SIEM-Bereitstellungsmodell ermöglicht es außerdem, das SIEM als Reaktion auf neue Bedrohungen hoch- und herunterskalieren zu lassen und die dynamische Natur der Cloud-Workloads eines Unternehmens zu verwalten. Cloud-Infrastruktur und -Anwendungen können innerhalb von Minuten dramatisch wachsen. Eine Cloud-native SIEM-Architektur ermöglicht es, die kritischen Tools der Sicherheitsteams im gleichen Tempo zu skalieren, wie es die Anforderungen des größeren Unternehmens erfordern.
    Cloudnative SIEMs sind auch gut dafür geeignet, Cloud-Workloads zu sichern. Sie ermöglichen die Datenaufnahme mit geringer Latenz aus Cloud-Diensten und werden mit Erkennungsinhalten geliefert, um häufige Angriffe in der Cloud zu identifizieren.
• SIEM mit Intelligenz
  • Verfügt der SIEM-Anbieter über einen kontinuierlichen Strom an Bedrohungsinformationen aus erster Hand, um eine sofortige Erkennung neuer und aufkommender Bedrohungen zu ermöglichen?
    Diese „Goldquellen“ ergeben sich typischerweise aus erstklassigen Praktiken zur Reaktion auf Vorfälle, dem Betrieb massiver IaaS- oder SaaS-Cloud-Angebote für Verbraucher oder globalen Installationsbasen von Sicherheitssoftwareprodukten oder Betriebssystemen.
    Bedrohungsinformationen sind für Organisationen von entscheidender Bedeutung, um Sicherheitsvorfälle effektiv zu erkennen, zu bewerten, zu untersuchen und darauf zu reagieren. Insbesondere Bedrohungsinformationen an vorderster Front sind wertvoll, da sie Echtzeitinformationen zu den neuesten Bedrohungen und Schwachstellen liefern. Diese Informationen können verwendet werden, um Sicherheitsvorfälle schnell zu identifizieren und zu priorisieren sowie effektive Reaktionsstrategien zu entwickeln und umzusetzen.
    Um die Echtzeiterkennung und Reaktionsfähigkeit gegenüber Bedrohungen zu verbessern, streben Sicherheitsorganisationen eine nahtlose Integration von Bedrohungsinformationen und zugehörigen Datenfeeds in ihre Arbeitsabläufe und Tools für Sicherheitsoperationen an. Drehstuhl, Kopieren und Einfügen sowie instabile Integrationen zwischen SIEM und Bedrohungsinformationen sind Produktivitätsverluste und wirken sich negativ auf die Effizienz des Teams und die Erfahrung der Analysten aus.
• SIEM mit kuratierten Inhalten
  • Bietet das SIEM eine umfangreiche Bibliothek unterstützter Parser, Erkennungsregeln und Reaktionsaktionen?
    Tipp: Einige SIEM-Anbieter verlassen sich bei der Erstellung von Parsern für gängige Datenfeeds fast ausschließlich auf ihre Benutzercommunity oder technische Allianzpartner. Eine aktive Benutzercommunity ist zwar unerlässlich, aber es ist problematisch, sich bei der Bereitstellung grundlegender Funktionen wie dem Parsen zu sehr auf sie zu verlassen. Parser für gängige Datenquellen sollten direkt vom SIEM-Anbieter erstellt, gepflegt und unterstützt werden. Gehen Sie beim Betrachten der Inhalte von Erkennungsregeln genauso vor. Community-Regeln sind unerlässlich, aber Sie sollten von Ihrem Anbieter erwarten, dass er eine solide Bibliothek mit Kernerkennungen erstellt und pflegt, die regelmäßig getestet, unterstützt und verbessert werden. Eine qualitativ hochwertige, kuratierte Bedrohungserkennung ist für Unternehmen von entscheidender Bedeutung, um ihre Sicherheitslage effektiv zu verwalten. Google SecOps bietet sofort einsatzbereite Erkennung neuer und aufkommender Bedrohungen, die Unternehmen dabei helfen können, Sicherheitsvorfälle schnell zu identifizieren und darauf zu reagieren.
• SIEM mit KI
  • Verfügt das SIEM über KI und ist es für weitere Innovationen gerüstet?
    Die Rolle der künstlichen Intelligenz in SIEM wird von keinem Anbieter vollständig verstanden (geschweige denn implementiert). Führende SIEMs verfügen jedoch bereits heute über konkrete KI-gesteuerte Funktionen. Zu diesen Funktionen gehören die Verarbeitung natürlicher Sprache zum Ausdrücken von Suchvorgängen und Regeln, eine automatische Fallzusammenfassung und empfohlene Reaktionsmaßnahmen. Die meisten Kunden und Branchenbeobachter betrachten Funktionen wie Bedrohungserkennung und prädiktive Gegneranalyse als einige der „Heiligen Grale“ der KI-gesteuerten SIEM-Funktionen. Kein SIEM bietet diese Funktionen heute zuverlässig an. Wenn Sie sich 2024 für ein neues SIEM entscheiden, sollten Sie überlegen, ob der Anbieter die erforderlichen Ressourcen investiert, um bei diesen Transformationsfunktionen sinnvolle Fortschritte zu erzielen.

Google Security Operations (ehemals Chronicle) ist eine cloudbasierte SIEM-Lösung von Google Cloud. Sie wurde entwickelt, um Unternehmen dabei zu helfen, Protokolle und andere Sicherheitstelemetriedaten zentral zu erfassen und Sicherheitsbedrohungen in Echtzeit zu erkennen, zu untersuchen und darauf zu reagieren. 

• Erkennen und Priorisieren von Sicherheitsbedrohungen: Die sofort einsatzbereiten Erkennungsregeln von Google SecOps identifizieren und priorisieren Sicherheitsbedrohungen in Echtzeit. Dies hilft Unternehmen, schnell und effektiv auf die kritischsten Bedrohungen zu reagieren.
• Sicherheitsvorfälle untersuchen: Google SecOps bietet eine zentrale Plattform zur Untersuchung von Sicherheitsvorfällen. So können Unternehmen schnell und effizient Beweise sammeln und den Umfang des Vorfalls ermitteln.
• Auf Sicherheitsvorfälle reagieren: Google SecOps bietet eine Reihe von Tools, die Unternehmen dabei helfen, auf Sicherheitsvorfälle zu reagieren, beispielsweise durch automatisierte Behebung. Bedrohungsjäger finden die Geschwindigkeit, die Suchfunktionen und die angewandte Bedrohungsaufklärung der Plattform von unschätzbarem Wert, um Angreifer aufzuspüren, die möglicherweise durch das Netz geschlüpft sind. Dies hilft Unternehmen dabei, die Auswirkungen von Sicherheitsvorfällen schnell und effektiv einzudämmen und zu mildern.
  Google SecOps bietet eine Reihe von VorteilentagVorteile gegenüber herkömmlichen SIEM-Lösungen, darunter:
• Künstliche Intelligenz: Google SecOps verwendet die Gemini-KI-Technologie von Google, um es Verteidigern zu ermöglichen, riesige Datenmengen in Sekundenschnelle mithilfe natürlicher Sprache zu durchsuchen und schnellere Entscheidungen zu treffen, indem sie Fragen beantworten, Ereignisse zusammenfassen, nach Bedrohungen suchen, Regeln erstellen und basierend auf dem Kontext der Untersuchungen empfohlene Maßnahmen bereitstellen. Sicherheitsteams können Gemini auch in Security Operations verwenden, um problemlos Reaktions-Playbooks zu erstellen, Konfigurationen anzupassen und Best Practices zu integrieren – und so zeitaufwändige Aufgaben zu vereinfachen, die umfassendes Fachwissen erfordern.
• Angewandte Bedrohungsaufklärung: Google SecOps ist nativ in Google Threat Intelligence (GTI) integriert, das kombinierte Informationen von VirusTotal, Mandiant Threat Intelligence und internen Google Threat Intelligence-Quellen umfasst, um Kunden dabei zu helfen, mehr Bedrohungen mit weniger Aufwand zu erkennen.
• Skalierbarkeit: Google SecOps ist eine Cloud-basierte Lösung und kann daher die von Google Cloud bereitgestellte Hyperscale-Cloud-Infrastruktur nutzen, um die Kapazitäts- und Leistungsanforderungen jeder Organisation, unabhängig von ihrer Größe, zu erfüllen.
• Integration mit Google Cloud: Google SecOps ist eng mit anderen Google Cloud-Produkten und -Diensten wie Google Cloud Security Command Center Enterprise (SCCE) integriert. Diese Integration erleichtert Unternehmen die Verwaltung ihrer Sicherheitsvorgänge auf einer einzigen, einheitlichen Plattform. Google SecOps ist das beste SIEM für die GCP-Diensttelemetrie und enthält außerdem sofort einsatzbereite Erkennungsinhalte für andere große Cloud-Anbieter wie AWS und Azure.

Angewandte Bedrohungsaufklärung in Google SecOps
Mit Google SecOps können Sicherheitsteams Sicherheitsdaten verwalten und analysieren, die automatisch mit Bedrohungsdaten korreliert und angereichert werden. Durch die direkte Integration von Bedrohungsdaten in Ihr SIEM können Unternehmen:

• Verbessern Sie die Erkennung und Triage: Bedrohungsdaten können direkt zum Erstellen von Regeln verwendet werden, mit denen böswillige Aktivitäten in Echtzeit identifiziert werden können. Diese Daten werden auch verwendet, um anderen Warnungen Kontext hinzuzufügen und die Vertrauenswürdigkeit der Warnung automatisch anzupassen. Dies hilft Organisationen dabei, Sicherheitsvorfälle schnell zu erkennen und zu bewerten und ihre Ressourcen auf die kritischsten Bedrohungen zu konzentrieren.
• Verbessern Sie die Untersuchung und Reaktion: Bedrohungsinformationen können bei Sicherheitsuntersuchungen verwendet werden, um Kontext und Erkenntnisse zu liefern. Dies kann Analysten dabei helfen, die Grundursache eines Vorfalls schnell zu identifizieren und wirksame Reaktionsstrategien zu entwickeln und umzusetzen.
• Bleiben Sie der Bedrohungslandschaft immer einen Schritt voraus: Threat Intelligence kann Unternehmen dabei helfen, der Bedrohungslandschaft immer einen Schritt voraus zu sein, indem sie Informationen über die neuesten Bedrohungen und Schwachstellen liefert. Diese Informationen können verwendet werden, um proaktive Sicherheitsmaßnahmen zu entwickeln und umzusetzen, wie z. B. Bedrohungssuche und Schulungen zur Sensibilisierung für Sicherheit.

Bedrohungserkennung in Google SecOps
Die Bedrohungserkennung von Google SecOps basiert auf einem kontinuierlichen Strom von Bedrohungsinformationen der Sicherheitsteams von Google. Diese Informationen werden verwendet, um Regeln und Warnungen zu erstellen, mit denen bösartige Aktivitäten in Echtzeit identifiziert werden können. Google SecOps verwendet außerdem Verhaltensanalysen und Risikobewertungen, um verdächtige Muster in Sicherheitsdaten zu identifizieren. Auf diese Weise kann Google SecOps Bedrohungen erkennen, die mit herkömmlichen Erkennungsregeln nicht erkannt werden können.

Der Wert einer hochwertigen, kuratierten Bedrohungserkennung ist klar. Unternehmen, die Google SecOps verwenden, können von Folgendem profitieren:

• Verbesserte Erkennung und Triage: Google SecOps kann Unternehmen dabei helfen, Sicherheitsvorfälle schnell zu identifizieren und zu triagieren. So können Unternehmen ihre Ressourcen auf die kritischsten Bedrohungen konzentrieren.
• Verbesserte Untersuchung und Reaktion: Google SecOps kann bei Sicherheitsuntersuchungen Kontext und Einblicke liefern. Dies kann Analysten dabei helfen, die Grundursache eines Vorfalls schnell zu identifizieren und effektive Reaktionsstrategien zu entwickeln und umzusetzen.
• Bleiben Sie der Bedrohungslandschaft immer einen Schritt voraus: Google SecOps kann Unternehmen dabei helfen, der Bedrohungslandschaft immer einen Schritt voraus zu sein, indem es Informationen zu den neuesten Bedrohungen und Schwachstellen bereitstellt. Diese Informationen können verwendet werden, um proaktive Sicherheitsmaßnahmen zu entwickeln und umzusetzen, z. B. Bedrohungssuche und Schulungen zur Sensibilisierung für Sicherheit.

SIEM-Migration

Sie haben sich also für den Wechsel entschieden. Ihr Migrationsansatz ist entscheidend, um sicherzustellen, dass Sie die erforderlichen Funktionen beibehalten und so schnell wie möglich mit der Wertschöpfung aus der neuen Plattform beginnen. Es kommt auf die Priorisierung an. Ein typischer Kompromiss besteht darin, zu erkennen, dass eine SIEM-Migration zwar eine Gelegenheit darstellt, Ihren gesamten Ansatz für Untersuchung, Erkennung und Reaktion zu modernisieren, viele SIEM-Migrationen jedoch scheitern, weil Unternehmen versuchen, „das Meer zum Kochen zu bringen“.

Hier sind unsere besten Tipps für die Planung und Durchführung Ihrer erfolgreichen SIEM-Migration:

• Definieren Sie Ihre Migrationsziele. Das klingt offensichtlich, aber Ihre SIEM-Migration ist ein langwieriger Prozess. Daher ist die Definition Ihrer gewünschten Ergebnisse (z. B. schnellere Bedrohungserkennung, einfachere Compliance-Berichte, verbesserte Sichtbarkeit, geringerer Aufwand für Analysten bei gleichzeitig geringeren Kosten) stark mit dem Erfolg verbunden.
• Nutzen Sie die Migration als Gelegenheit, aufzuräumen. Dies ist ein guter Zeitpunkt zum Aufräumen Ihre Erkennungsregeln und Protokollquellen und migrieren Sie nur die, die Sie tatsächlich verwenden. Es ist auch ein guter Zeitpunkt, umview Ihre Prozesse zur Warnmeldungssichtung und -optimierung und stellen Sie sicher, dass sie auf dem neuesten Stand sind.
• Migrieren Sie nicht jede Protokollquelle. Der Wechsel zu einem neuen SIEM ist eine großartige Gelegenheit, zu entscheiden, welche Protokolle Sie benötigen, sei es aus Compliance- oder Sicherheitsgründen. Viele Organisationen sammeln im Laufe der Zeit eine große Menge an Protokolldaten an, und nicht alle davon sind unbedingt wertvoll oder relevant. Wenn Sie sich die Zeit nehmen, Ihre Protokollquellen vor der Migration auszuwerten, können Sie Ihr SIEM optimieren und sich auf die Daten konzentrieren, die für Ihre Sicherheits- und Compliance-Anforderungen am wichtigsten sind.
• Migrieren Sie nicht alle Inhalte. Es ist nicht immer notwendig, alle Ihre vorhandenen Erkennungsinhalte, Regeln, Warnungen, Dashboards, Visualisierungen und Playbooks auf ein neues SIEM zu migrieren. Nehmen Sie sich die Zeit, Ihre aktuelle Erkennungsabdeckung zu bewerten und die Migration der benötigten Regeln zu priorisieren. Sie werden Möglichkeiten finden, Regeln zu konsolidieren, Regeln zu eliminieren, die aufgrund fehlender Telemetrie oder fehlerhafter Logik nie ausgelöst werden könnten, oder Regeln, die durch vorgefertigte Inhalte besser gehandhabt werden. Fragen Sie jeden Anbieter oder Bereitstellungspartner, der eine Eins-zu-eins-Regelmigration befürwortet.
• Priorisieren Sie die frühzeitige Inhaltsmigration. Beginnen Sie mit der Migration von Erkennungsinhalten sofort, sobald die für jeden spezifischen Anwendungsfall erforderlichen Protokollquellen und -anreicherungen verfügbar sind. Dieser datengesteuerte Ansatz, bei dem Quellen mit Anwendungsfällen abgestimmt werden, ermöglicht parallele Migrationsbemühungen für optimale Effizienz und Ergebnisse.
• Die Migration von Erkennungsinhalten ist ein von Menschen geleiteter Prozess. Bereiten Sie sich darauf vor, Erkennungsinhalte (Regeln, Warnungen, Dashboards, Modelle usw.) (größtenteils) von Grund auf neu zu erstellen, wobei Sie Ihre alten Inhalte als Inspiration verwenden. Heute gibt es keine narrensichere Methode, um Regeln automatisch von einer SIEM-Plattform in eine andere zu konvertieren. Obwohl einige Anbieter Syntaxübersetzer anbieten, sind diese im Allgemeinen eher ein guter Ausgangspunkt als eine perfekt übersetzte Regel, Suche oder ein Dashboard. Sie sollten den größtmöglichen Nutzen daraus ziehen.tage dieser Tools, aber seien Sie sich bewusst, dass sie kein Allheilmittel sind.
• Erkennungsinhalte stammen aus vielen Quellen. Analysieren Sie Ihren Bedarf an Erkennungsabdeckung und übernehmen oder erstellen Sie dann nach Bedarf Ihre Erkennungsanwendungsfälle. Ihr SIEM-Anbieter stellt einige sofort einsatzbereite Inhalte bereit, die Sie nach Möglichkeit immer nutzen sollten. Ziehen Sie auch Community-Regel-Repositorys und Drittanbieter von Erkennungsinhalten in Betracht. Schreiben Sie bei Bedarf Ihre eigenen Regeln und denken Sie daran, dass die meisten Regeln, unabhängig von ihrer Herkunft, an die spezifische Umgebung Ihres Unternehmens angepasst werden müssen.
• Entwickeln Sie einen realistischen Zeitplan für die Migration. Dazu gehören Datenübertragung, Tests, Feinabstimmung, Schulung und mögliche Überschneidungen, bei denen Sie möglicherweise beide Systeme parallel ausführen müssen. Ein gut definierter Migrationsplan hilft Ihnen, Risiken zu identifizieren und zu minimieren und sicherzustellen, dass die Migration erfolgreich abgeschlossen wird. Der Plan sollte einen detaillierten Zeitplan, eine Liste der Aufgaben, Ressourcen und ein Budget enthalten. Bedenken Sie, dass große Projekte wie eine SIEM-Migration in Phasen unterteilt werden müssen.
• Testen. Wir empfehlen, Ihre SIEM- und Erkennungsinhalte regelmäßig zu testen, indem Sie Daten einfügen, die Ihre Erkennungen auslösen, die Analyse überprüfen und den Datenfluss von der Erkennung über den Fall bis zum Reaktions-Playbook validieren. Eine SIEM-Migration ist der perfekte Zeitpunkt für die Einführung eines rigorosen Detektionstechnikprogramm dazu gehören auch Tests wie diese.
• Bereiten Sie sich auf eine Übergangsphase vor, in der Sie sowohl alte als auch neue Tools verwenden. Vermeiden Sie einen störenden „Rip-and-Replace“-Ansatz. Eine schrittweise Migration, bei der Sie Protokollquellen und Anwendungsfälle schrittweise migrieren, hilft dabei, den Prozess zu kontrollieren und das Risiko zu verringern. Überlegen Sie es sich auch zweimal, ob Sie Daten aus Ihrem alten SIEM erneut in das neue importieren. In einigen Fällen können Sie das vorherige SIEM möglicherweise für längere Zeit laufen lassen, um Zugriff auf historische Daten zu ermöglichen.
• Befähigen Sie Ihre Teams. Ihre SIEM-Migration wird fehlschlagen, wenn Ihre Analysten das neue System nicht verwenden können. Ein guter Migrationsplan umfasst eine umfassende Befähigung Ihrer Teams. Denken Sie daran, Ingenieure in Daten-Onboarding und -Analyse zu schulen, Analysten in Fallmanagement/Untersuchung/Triage, Bedrohungsjäger in Anomalieerkennung/-suche und Erkennungsingenieure in Regelerstellung. Das Timing ist für die Befähigung entscheidend. Es ist am besten, Mitarbeiter zu schulen, wenn sie in bestimmte Phasen der Migration einsteigen, und nicht, bevor diese Fähigkeiten benötigt werden.
• Holen Sie sich Hilfe! Wenn Sie als Praktiker oder Leiter Glück (oder vielleicht Pech?) haben, haben Sie in Ihrer Karriere vielleicht eine oder zwei SIEM-Migrationen durchlaufen. Warum holen Sie sich nicht Hilfe von Spezialisten, die das schon Dutzende oder Hunderte Male gemacht haben? Professionelle Serviceteams des Anbieters und/oder Beratungsteams qualifizierter Servicepartner sind eine gute Wahl. SIEM-Migrationen sind weitgehend menschenzentrierte Bemühungen.

Schlüsselprozess: Einen Bereitstellungspartner auswählen
Keine Entscheidung hat einen größeren Einfluss auf den endgültigen Erfolg einer SIEM-Migration als die Wahl eines Bereitstellungspartners. SIEM-Plattformen sind große, komplexe Unternehmenssysteme. Versuchen Sie nicht, es allein zu schaffen; bleiben Sie bei einem Bereitstellungspartner, der viele Migrationen durchgeführt hat.

Der Bereitstellungspartner kann einfach der professionelle Servicezweig des neuen SIEM-Anbieters sein. Es ist jedoch üblicher, einen Drittanbieter für die Migration auszuwählen. Denken Sie daran, dass die SIEM-Migration ein von Menschen geleitetes Unterfangen ist. Wählen Sie am besten einen Partner mit Zertifizierungen für das neue SIEM und vielen referenzierbaren Partnern. Es ist auch hilfreich, wenn sie über Fachwissen zu dem SIEM verfügen, von dem Sie migrieren. Neben Referenzen können Sie den Erfahrungsgrad eines Partners mit Ihrem neuen SIEM auch durch einen Besuch in Community-Foren ermitteln, um festzustellen, ob das Team aktiv mitgewirkt hat. Nach Ansicht der Autoren korreliert hoch engagiertes Partnerpersonal mit erfolgreichen SIEM-Migrationen. Über die technischen Details der SIEM-Migration hinaus können Sie auch Partner auswählen, die über spezifische Erfahrung in Ihrer Branche, in Ihrer Compliance-Umgebung, in Ihrer Region oder in allen drei Bereichen verfügen! Sie können im Voraus nach Sprachkenntnissen und Ressourcen suchen.tagZeitzonen. Sie können auch nach Partnern suchen, die Ihr SIEM für Sie betreiben oder ähnliche Ergebnisse liefern wie ein Managed Security Service Provider, der das SIEM Ihres Unternehmens teilweise oder vollständig auslagern kann.

Schlüsselprozess: Dokumentieren Sie die aktuelle Konfiguration und Anwendungsfälle
SIEM-Bereitstellungen sind in der Regel umfangreich und wachsen im Laufe der Jahre stetig an Umfang und Komplexität. Stellen Sie sich auf wenig oder gar keine Dokumentation ein. Gehen Sie davon aus, dass das Personal, das die anfängliche Konfiguration und Anpassung des SIEM vorgenommen hat, oft schon lange nicht mehr da ist. Eine gründliche Dokumentation der Konfiguration und Funktionen zu Beginn des Migrationsprozesses kann den Unterschied zwischen Erfolg und Misserfolg ausmachen.

• Dokumentieren Sie die vom SIEM verwendete Identitäts- und Zugriffsverwaltung. Sie müssen sicherlich einige rollenbasierte Zugriffe auf Daten und Funktionen beibehalten. Andererseits ist die Migration eine Gelegenheit, die in den meisten Organisationen natürlich auftretende Zugriffsausbreitung zu analysieren und zu beheben. Sie können den Migrationsprozess auch als Gelegenheit betrachten, Authentifizierungs-/Autorisierungsmethoden zu modernisieren, einschließlich der Verknüpfung der Identität mit Unternehmensstandards und der Implementierung einer Multi-Faktor-Authentifizierung.
• Erfassen Sie die Namen der erfassten Datentypen. Beachten Sie, dass diese Namen bei einigen SIEMs „Sourcetype“ oder „Logtype“ heißen. Erfassen Sie, wie viele Daten von jedem Datentyp fließen, und verwenden Sie dabei Gigabyte/Tag als Maßeinheit. Dokumentieren Sie die Datenpipeline für jede Datenquelle (agentenbasiert, API-Abfrage, web Hook, Cloud-Bucket-Ingestion, Ingestion-API, HTTP-Listener usw.) und erfassen Sie die Parserkonfiguration des SIEM zusammen mit allen Anpassungen.
• Sammeln Sie gespeicherte Suchvorgänge, Dashboard-Definitionen und Erkennungsregeln. Viele SIEMs verfügen auch über dauerhafte Datenspeichermechanismen wie Nachschlagetabellen. Stellen Sie sicher, dass Sie verstehen und dokumentieren, wie diese gefüllt und verwendet werden.
• Erstellen Sie eine Bestandsaufnahme der Integrationen mit externen Systemen. Viele SIEMs lassen sich mit Fallmanagementsystemen, relationalen Datenbanken, Benachrichtigungsdiensten (E-Mail, SMS usw.) und Bedrohungsaufklärungsplattformen integrieren.
• Erfassen Sie Antwortinhalte wie Playbooks, Fallmanagementvorlagen und alle aktiven Integrationen, die noch nicht dokumentiert wurden.

Neben der Erfassung dieser wichtigen technischen Details ist es wichtig, sich Zeit zu nehmen, umview Benutzer des vorhandenen SIEM, um ihre Arbeitsabläufe zu verstehen. Fragen Sie, wie sie das SIEM verwenden und welche Standardbetriebsverfahren auf dem SIEM basieren. Es ist auch wichtig, allgemeine Fragen zu stellen, z. B. welche Teams außerhalb der Sicherheit das SIEM verwenden könnten. Zum BeispielampDaher ist es nicht ungewöhnlich, dass Compliance-Teams oder IT-Betriebsmitarbeiter sich auf SIEM verlassen. Wenn diese Anwendungsfälle nicht erfasst werden, kann dies später im Migrationsprozess zu falschen Erwartungen führen.

Schlüsselprozess: Migration der Protokollquelle
Bei der Migration von Protokollquellen werden die Datenquellen vom alten SIEM zum neuen SIEM verschoben. Dieser Prozess hängt von der Dokumentation der aktuellen Konfiguration ab, die im Prozess: Aktuelle Konfiguration und Nutzung dokumentieren Abschnitt.

Der Migrationsprozess der Protokollquelle umfasst normalerweise die folgenden Schritte:

1. Entdeckung und Inventarisierung: Der erste Schritt besteht darin, alle Protokollquellen zu ermitteln und zu inventarisieren, die derzeit vom alten SIEM aufgenommen werden. Dies kann mithilfe verschiedener Methoden erfolgen, z. B.viewdie SIEM-Konfiguration files oder mithilfe von APIs und zugehörigen Tools.
2. Priorisierung: Sobald die Protokollquellen ermittelt und inventarisiert wurden, müssen sie für die Migration priorisiert werden. Dies kann auf der Grundlage einer Reihe von Faktoren erfolgen, z. B. der von der Protokollquelle gesteuerten Analyse, des Datenvolumens, der Kritikalität der Daten, der Compliance-Anforderungen und der Komplexität des Migrationsprozesses.
3. Migrationsplanung: Nachdem die Protokollquellen priorisiert wurden, muss ein Migrationsplan entwickelt werden.
4. Durchführung der Migration: Anschließend kann der Migrationsprozess gemäß Plan ausgeführt werden. Dies kann verschiedene Aufgaben umfassen, z. B. das Konfigurieren von Feeds im neuen SIEM, das Installieren von Agenten, das Konfigurieren von APIs usw.
5. Testen und Validieren: Sobald die Migration abgeschlossen ist, ist es wichtig, zu testen und zu überprüfen, ob die Protokolldaten ordnungsgemäß aufgenommen werden. Nutzen Sie dies als Gelegenheit, Warnmeldungen für Datenquellen zu konfigurieren, die nicht mehr verfügbar sind.
6. Dokumentation: Schließlich ist es wichtig, die neue Protokollquellenkonfiguration zu dokumentieren.

Schlüsselprozess: Migrieren von Detection and Response-Inhalten
SIEM-Erkennungs- und Reaktionsinhalte bestehen aus Regeln, Suchvorgängen, Playbooks, Dashboards und anderen Konfigurationen, die definieren, worüber Ihr SIEM warnt und wie es Analysten bei der Handhabung dieser Warnungen unterstützt. Ohne richtig konfigurierte Inhalte ist SIEM nur eine ausgefallene Suchmethode. Es ist „teures Grep“ – ein Begriff, den ein Kollege der Autoren vor einigen Jahren geprägt hat. SIEM-Inhalte spielen eine Schlüsselrolle bei der Definition der Erkennungsabdeckung Ihres Unternehmens.

• Erkennungsregeln werden verwendet, um Sicherheitsvorfälle zu identifizieren. Sie werden von Erkennungsingenieuren geschrieben, die über umfassende Kenntnisse der Akteure der Sicherheitsbedrohungen und deren üblichen Taktiken, Techniken und Verfahren (TTPs) verfügen. Erkennungsregeln suchen in den Protokolldaten nach Mustern, die diese TTPs darstellen. Erkennungsregeln korrelieren häufig verschiedene Protokollquellen miteinander und nutzen Bedrohungsdaten.
• Reaktions-Playbooks werden verwendet, um die Reaktion auf Sicherheitswarnungen zu automatisieren. Sie können Aufgaben wie das Senden von Benachrichtigungen, das Isolieren kompromittierter Hosts, das Anreichern von Warnungen mit Kontextdaten/Bedrohungsinformationen und das Ausführen von Behebungsskripten umfassen.
• Dashboards dienen zur Visualisierung von Sicherheitsdaten und zur Nachverfolgung des Status von Sicherheitsvorfällen. Sie können zur Überwachung der allgemeinen Sicherheitslage der Organisation sowie zur Erkennung von Trends und Mustern verwendet werden.
• Die Entwicklung neuer Erkennungs- und Reaktionsinhalte ist ein iterativer Prozess. Es ist wichtig, das SIEM kontinuierlich zu überwachen und bei Bedarf Anpassungen am Inhalt vorzunehmen. Die SIEM-Migration ist ein hervorragender Zeitpunkt, um Ihre Prozesse mithilfe von Ansätzen wie Detection as Code (DaC) zu verbessern.

Schlüsselprozess: Schulung und Befähigung
Ein häufig übersehener Prozess bei der SIEM-Migration ist die Benutzerschulung. Das SIEM ist vielleicht das wichtigste einzelne Tool, das ein Sicherheitsteam verwendet. Ihre Fähigkeit, es effektiv und produktiv zu nutzen, wird eine große Rolle für den Erfolg der Migration und ihre Fähigkeit, Ihr Unternehmen zu schützen, spielen. Verlassen Sie sich darauf, dass Ihr SIEM-Anbieter und Bereitstellungspartner Schulungsinhalte und -durchführung bereitstellt. Hier ist eine kurze Liste von Themen, zu denen Ihre Teams befähigt werden sollten.

• Aufnahme und Analyse des Protokoll-Feeds
• Suche / Untersuchung
• Fallmanagement
• Regelerstellung
• Dashboard-Entwicklung
• Playbook / Automatisierung

Abschluss

• Letztendlich ist die Migration von einer alten SIEM-Lösung zu einer modernen Lösung unumgänglich. Die Herausforderungen mögen zwar gewaltig erscheinen, aber eine gut geplante und durchgeführte Migration kann zu erheblichen Verbesserungen bei der Bedrohungserkennung, den Reaktionsmöglichkeiten und der allgemeinen Sicherheitslage führen.
• Indem Unternehmen die Auswahl eines neuen SIEM sorgfältig abwägen, die Stärken der Cloud-nativen Architektur nutzen, erweiterte Bedrohungsinformationen einbinden und KI-gesteuerte Funktionen einsetzen, können sie ihre Sicherheitsteams in die Lage versetzen, sich proaktiv gegen sich ständig weiterentwickelnde Bedrohungen zu verteidigen. Der erfolgreiche Migrationsprozess umfasst sorgfältige Planung, umfassende Dokumentation, strategische Migration von Protokollquellen und -inhalten, gründliche Tests und umfassende Benutzerschulungen.
• Die Zusammenarbeit mit erfahrenen Bereitstellungsspezialisten kann von unschätzbarem Wert sein, um die Komplexität zu bewältigen und einen reibungslosen Übergang zu gewährleisten. Mit einem Engagement für kontinuierliche Verbesserung und einem Fokus auf die Erkennungstechnik können Unternehmen das volle Potenzial ausschöpfen
• Nutzen Sie das volle Potenzial Ihres neuen SIEM und stärken Sie Ihre Sicherheitsvorkehrungen für die kommenden Jahre.

Weitere Informationen

• Dokument „Wie Google SecOps Ihren SIEM-Stack erweitern kann“
• „Die Zukunft des SOC: Evolution oder Optimierung – wählen Sie Ihren Weg“ Papier
• Community-Blog zur Google Cloud-Sicherheit
• Wöchentlicher Newsletter zu Detection Engineering
• erkennen.zur Information – Praxisorientierte Tipps zur Detektionstechnik
• Erste Schritte mit Detection-as-Code und Google Security Operations – David French (Teil eins, Teil zwei)
• Implementierung eines modernen Detection Engineering-Workflows – Dan Lussier (Teil eins, Teil zwei, Teil drei)

Weitere Informationen finden Sie unter cloud.google.com

Häufig gestellte Fragen

F: Was ist der Zweck des Leitfadens zur großartigen SIEM-Migration?
A: Der Leitfaden soll Organisationen beim Übergang von veralteten SIEM-Lösungen zu neueren, effizienteren Optionen zur Bedrohungserkennung und -reaktion unterstützen.

F: Welche Vorteile bietet mir ein Cloud-natives SIEM?
A: Cloud-native SIEMs bieten aufgrund ihrer Architektur und Funktionen Skalierbarkeit, Kosteneffizienz und effektive Sicherheit für Cloud-Workloads.

Dokumente / Ressourcen

Google Cloud SIEM-Migration [pdf] Anweisungen SIEM-Migration, Migration

Verweise

• Bedienungsanleitung