การโยกย้าย Google Cloud SIEM

ข้อมูลสินค้า

ข้อมูลจำเพาะ:

• ชื่อสินค้า: คู่มือการโยกย้าย SIEM
• ผู้เขียน: ไม่ทราบ
• ที่ตีพิมพ์ ปี: ไม่ระบุ

คำแนะนำการใช้ผลิตภัณฑ์

• การเลือก SIEM ใหม่
  เริ่มต้นด้วยการถามคำถามสำคัญกับตัวเองและทีมของคุณเพื่อช่วยเปิดเผยจุดแข็งและจุดอ่อนของแต่ละข้อเสนอ ระบุมหาอำนาจของแต่ละ SIEM ได้อย่างรวดเร็ว และวางแผนว่าองค์กรของคุณจะสามารถก้าวไปข้างหน้าได้อย่างไรtagอีของพวกเขา
• SIEM เนทีฟบนคลาวด์
  พิจารณาว่า SIEM ได้รับการเสนอโดยผู้ให้บริการระบบคลาวด์หลัก (CSP) ที่สามารถจัดหาโครงสร้างพื้นฐานระดับโลกในราคาขายส่งได้หรือไม่ โมเดลการปรับใช้ SIEM บนคลาวด์ช่วยให้สามารถปรับขนาดและจัดการปริมาณงานบนคลาวด์แบบไดนามิกได้
• SIEM พร้อมหน่วยสืบราชการลับ
  ตรวจสอบว่าผู้จำหน่าย SIEM นำเสนอข่าวกรองภัยคุกคามแนวหน้าอย่างต่อเนื่องเพื่อขับเคลื่อนการตรวจจับภัยคุกคามใหม่และภัยคุกคามที่เกิดขึ้นใหม่ทันทีหรือไม่

SIEM ตายแล้ว SIEM มีอายุยืนยาว

หากคุณเป็นเหมือนเรา คุณอาจแปลกใจที่ในปี 2024 ระบบข้อมูลความปลอดภัยและการจัดการเหตุการณ์ (SIEM) ยังคงเป็นแกนหลักของศูนย์ปฏิบัติการด้านความปลอดภัย (SOC) ส่วนใหญ่ SIEM ถูกนำมาใช้ในการรวบรวมและวิเคราะห์ข้อมูลความปลอดภัยจากทั่วทั้งองค์กรของคุณมาโดยตลอด เพื่อช่วยให้คุณระบุ ตรวจสอบ และตอบสนองต่อภัยคุกคามได้อย่างรวดเร็วและมีประสิทธิภาพ แต่ความจริงก็คือ SIEM ยุคใหม่ในปัจจุบันมีความคล้ายคลึงเพียงเล็กน้อยกับ SIEM ที่สร้างขึ้นเมื่อ 15+ ปีที่แล้ว ก่อนที่สถาปัตยกรรม Cloud-Native จะเพิ่มขึ้น การวิเคราะห์เอนทิตีผู้ใช้และพฤติกรรม (UEBA) การจัดระบบความปลอดภัย ระบบอัตโนมัติและการตอบสนอง (SOAR) การจัดการพื้นผิวการโจมตี และแน่นอนว่า AI เป็นต้น
SIEM แบบเดิมมักจะช้า ยุ่งยาก และใช้งานยาก สถาปัตยกรรมแบบเดิมมักจะป้องกันไม่ให้ปรับขนาดเพื่อรองรับแหล่งบันทึกที่มีปริมาณมาก และอาจไม่สามารถตามทันภัยคุกคามล่าสุดหรือรองรับคุณสมบัติและความสามารถล่าสุดได้ พวกเขาอาจไม่มีความยืดหยุ่นในการรองรับความต้องการเฉพาะขององค์กรของคุณ หรือเหมาะสมกับกลยุทธ์มัลติคลาวด์ที่เป็นความจริงสำหรับองค์กรส่วนใหญ่ในปัจจุบัน ในที่สุดพวกเขาอาจอยู่ในตำแหน่งที่ไม่ดีพอที่จะรับแอดแวนtagของการพัฒนาทางเทคโนโลยีล่าสุด เช่น ปัญญาประดิษฐ์ (AI)
ดังนั้น แม้ว่า SIEM ที่ใช้ชื่ออื่นอาจฟังดูไพเราะพอๆ กัน แต่ทีมปฏิบัติการด้านความปลอดภัยจะยังคงพึ่งพาต่อไป
“แพลตฟอร์มปฏิบัติการด้านความปลอดภัย” (หรือชื่ออะไรก็ตามที่ใช้) ในอนาคตอันใกล้สำหรับการตรวจจับภัยคุกคาม การสืบสวน และการตอบสนอง

การโยกย้าย SIEM อันยิ่งใหญ่ได้เริ่มต้นขึ้นแล้ว

การโยกย้าย SIEM ไม่ใช่เรื่องใหม่ องค์กรต่างๆ เลิกชอบ SIEM ที่มีอยู่แล้ว และมองหาตัวเลือกที่ใหม่กว่าและดีกว่ามานานหลายปี บางทีบ่อยครั้งที่องค์กรต่างๆ ต้องเผชิญกับ SIEM ที่มีประสิทธิภาพต่ำและ/หรือมีราคาแพงเกินไปเป็นเวลานานกว่าที่พวกเขาต้องการ ส่วนหนึ่งเนื่องมาจากความกังวลเกี่ยวกับความซับซ้อนของการต้องจัดการกับการย้ายข้อมูล SIEM
แต่ช่วงไม่กี่เดือนที่ผ่านมาได้ทำให้เกิดการเปลี่ยนแปลงของเปลือกโลกในพื้นที่ SIEM ซึ่งไม่สามารถกล่าวได้น้อยเกินไป มีข้อสงสัยเล็กน้อยว่าภูมิทัศน์ของ SIEM จะเปลี่ยนแปลงไปโดยสิ้นเชิงในอีกไม่กี่ปีข้างหน้านับจากนี้ โดยให้กำเนิดผู้นำตลาดรายใหม่ และมองเห็นความเสื่อมถอย และอาจถึงจุดสิ้นสุดของ "ไดโนเสาร์" ที่ปกครอง SIEM-ดินแดนมานานหลายทศวรรษ (หรือ " มหายุค” ในแง่ความปลอดภัยทางไซเบอร์) การพัฒนาเหล่านี้จะช่วยเร่งการโยกย้ายจากแพลตฟอร์ม SIEM แบบเดิมไปสู่แพลตฟอร์มสมัยใหม่อย่างไม่ต้องสงสัย โดยหลายองค์กรกำลังเผชิญกับความเป็นจริงว่าควรย้ายเมื่อใด แทนที่จะย้ายเมื่อใด

นี่คือบทสรุปความเคลื่อนไหวสำคัญในช่วง 9 เดือนที่ผ่านมา:

การระบุข้อบกพร่องใน SIEM ปัจจุบันของคุณนั้นง่ายกว่าการเลือกสิ่งทดแทนที่ดีที่สุดและดำเนินการย้ายข้อมูลให้สำเร็จ สิ่งสำคัญที่ควรทราบก็คือ ความล้มเหลวในการปรับใช้ SIEM อาจเกิดจากกระบวนการ (และในบางครั้งจากผู้คน) ไม่ใช่แค่เทคโนโลยีเท่านั้น นั่นคือสิ่งที่บทความนี้เข้ามา ผู้เขียนได้เห็นการโยกย้าย SIEM หลายร้อยครั้งในฐานะผู้ปฏิบัติงาน นักวิเคราะห์ และผู้จำหน่ายตลอดหลายทศวรรษ ดังนั้น เรามารวบรวมเคล็ดลับยอดนิยมในการโยกย้าย SIEM สำหรับปี 2024 เราจะแบ่งรายการนี้ออกเป็นหมวดหมู่และโรยบทเรียนที่เราได้เรียนรู้จากสนามเพลาะ

การเลือก SIEM ใหม่

เริ่มต้นด้วยการถามคำถามสำคัญกับตัวเองและทีมของคุณเพื่อช่วยเปิดเผยจุดแข็งและจุดอ่อนของแต่ละข้อเสนอ เราขอแนะนำให้ระบุ "มหาอำนาจ" ของแต่ละ SIEM อย่างรวดเร็ว และวางแผนว่าองค์กรของคุณจะสามารถก้าวไปข้างหน้าได้อย่างไรtagอีของพวกเขา สำหรับเช่นampเลอ:

• SIEM เนทีฟบนคลาวด์
  
  • SIEM นำเสนอโดยผู้ให้บริการคลาวด์หลัก (CSP) ที่สามารถจัดหาโครงสร้างพื้นฐานระดับโลกในราคาขายส่งหรือไม่
    ประสบการณ์ของเราแสดงให้เห็นว่าผู้ให้บริการ SIEM ที่ดำเนินการในระบบคลาวด์ที่พวกเขาไม่ได้เป็นเจ้าของมีปัญหาในการเอาชนะ "การซ้อนมาร์จิ้น" ที่หลีกเลี่ยงไม่ได้ซึ่งมาพร้อมกับโมเดลดังกล่าว คำถามนี้เชื่อมโยงกับต้นทุนอย่างแยกไม่ออก
    โมเดลการใช้งาน SIEM บนคลาวด์ยังช่วยให้ SIEM ขยายขนาดขึ้นและลงเพื่อตอบสนองต่อภัยคุกคามใหม่ๆ และยังจัดการลักษณะไดนามิกของปริมาณงานบนคลาวด์ขององค์กรอีกด้วย โครงสร้างพื้นฐานระบบคลาวด์และแอปพลิเคชันสามารถเติบโตได้อย่างมากภายในไม่กี่นาที สถาปัตยกรรม SIEM บนคลาวด์ช่วยให้เครื่องมือที่สำคัญของทีมรักษาความปลอดภัยปรับขนาดได้ในอัตราเดียวกันพร้อมกับความต้องการขององค์กรขนาดใหญ่
    SIEM แบบคลาวด์เนทีฟยังอยู่ในตำแหน่งที่ดีในการรักษาความปลอดภัยปริมาณงานบนคลาวด์ พวกเขาให้การนำเข้าข้อมูลที่มีความหน่วงต่ำจากบริการคลาวด์และจัดส่งเนื้อหาการตรวจจับเพื่อช่วยระบุการโจมตีที่พบบ่อยในระบบคลาวด์
• SIEM พร้อมหน่วยสืบราชการลับ
  • ผู้จำหน่าย SIEM มีสตรีมข้อมูลภัยคุกคามแนวหน้าอย่างต่อเนื่องเพื่อขับเคลื่อนการตรวจจับภัยคุกคามใหม่และภัยคุกคามที่เกิดขึ้นใหม่ได้ทันทีหรือไม่
    แหล่งที่มาทองเหล่านี้มักเกิดขึ้นจากแนวทางปฏิบัติในการตอบสนองต่อเหตุการณ์ระดับสูงสุด การดำเนินการของข้อเสนอคลาวด์ IaaS หรือ SaaS สำหรับผู้บริโภคจำนวนมาก หรือฐานการติดตั้งผลิตภัณฑ์ซอฟต์แวร์รักษาความปลอดภัยหรือระบบปฏิบัติการทั่วโลก
    ข้อมูลภัยคุกคามเป็นสิ่งสำคัญสำหรับองค์กรในการตรวจจับ คัดแยก ตรวจสอบ และตอบสนองต่อเหตุการณ์ด้านความปลอดภัยอย่างมีประสิทธิภาพ โดยเฉพาะอย่างยิ่งข้อมูลภัยคุกคามระดับแนวหน้านั้นมีคุณค่า เนื่องจากให้ข้อมูลแบบเรียลไทม์เกี่ยวกับภัยคุกคามและช่องโหว่ล่าสุด ข้อมูลนี้สามารถใช้เพื่อระบุและจัดลำดับความสำคัญเหตุการณ์ด้านความปลอดภัยได้อย่างรวดเร็ว และเพื่อพัฒนาและใช้กลยุทธ์การตอบสนองที่มีประสิทธิผล
    เพื่อปรับปรุงความสามารถในการตรวจจับและตอบสนองภัยคุกคามแบบเรียลไทม์ องค์กรด้านความปลอดภัยกำลังมองหาการผสานรวมข้อมูลภัยคุกคามอัจฉริยะและฟีดข้อมูลที่เกี่ยวข้องเข้ากับเวิร์กโฟลว์และเครื่องมือการปฏิบัติงานด้านความปลอดภัยได้อย่างราบรื่น การบูรณาการแบบหมุน การคัดลอก-วาง และการบูรณาการที่เปราะบางระหว่าง SIEM และแหล่งที่มาของภัยคุกคาม Intel ส่งผลให้ประสิทธิภาพการทำงานลดลง และส่งผลเสียต่อประสิทธิภาพของทีมและประสบการณ์ของนักวิเคราะห์
• SIEM พร้อมเนื้อหาที่คัดสรรแล้ว
  • SIEM มีไลบรารีที่กว้างขวางของตัวแยกวิเคราะห์และกฎการตรวจจับที่รองรับ รวมถึงการดำเนินการตอบสนองหรือไม่
    เคล็ดลับ: ผู้จำหน่าย SIEM บางรายพึ่งพาชุมชนผู้ใช้หรือพันธมิตรทางเทคนิคเกือบทั้งหมดเพื่อสร้างตัวแยกวิเคราะห์สำหรับฟีดข้อมูลยอดนิยม แม้ว่าชุมชนผู้ใช้ที่เจริญรุ่งเรืองเป็นสิ่งสำคัญ แต่การพึ่งพาชุมชนมากเกินไปเพื่อให้ความสามารถพื้นฐาน เช่น การแยกวิเคราะห์ ถือเป็นปัญหา ตัวแยกวิเคราะห์สำหรับแหล่งข้อมูลทั่วไปควรได้รับการสร้าง ดูแลรักษา และสนับสนุนโดยตรงจากผู้จำหน่าย SIEM ใช้แนวทางเดียวกันเมื่อดูเนื้อหากฎการตรวจจับ กฎของชุมชนถือเป็นสิ่งสำคัญ แต่คุณควรคาดหวังให้ผู้จำหน่ายของคุณสร้างและดูแลรักษาไลบรารีการตรวจจับหลักที่แข็งแกร่งซึ่งได้รับการทดสอบ สนับสนุน และปรับปรุงเป็นประจำ การตรวจจับภัยคุกคามคุณภาพสูงที่ได้รับการดูแลจัดการเป็นสิ่งสำคัญสำหรับองค์กรในการจัดการมาตรการรักษาความปลอดภัยอย่างมีประสิทธิภาพ Google SecOps ให้การตรวจจับภัยคุกคามใหม่และที่เกิดขึ้นใหม่ได้ทันที ซึ่งสามารถช่วยให้องค์กรระบุและตอบสนองต่อเหตุการณ์ด้านความปลอดภัยได้อย่างรวดเร็ว
• SIEM กับ AI
  • SIEM รวมเอา AI ไว้หรือไม่ และอยู่ในตำแหน่งที่จะสร้างสรรค์นวัตกรรมต่อไปหรือไม่
    บทบาทของปัญญาประดิษฐ์ใน SIEM ยังคงไม่เข้าใจอย่างถ่องแท้ (มีการใช้งานน้อยกว่ามาก) โดยผู้ขายรายใด อย่างไรก็ตาม SIEM ชั้นนำมีฟีเจอร์ที่ขับเคลื่อนด้วย AI ที่จับต้องได้ซึ่งวางจำหน่ายแล้วในปัจจุบัน คุณสมบัติเหล่านี้รวมถึงการประมวลผลภาษาธรรมชาติสำหรับการแสดงการค้นหาและกฎ การสรุปกรณีและปัญหาอัตโนมัติ และการดำเนินการตอบสนองที่แนะนำ ลูกค้าและผู้สังเกตการณ์ในอุตสาหกรรมส่วนใหญ่ถือว่าคุณลักษณะต่างๆ เช่น การตรวจจับภัยคุกคามและการวิเคราะห์ฝ่ายตรงข้ามเชิงคาดการณ์ เป็นส่วนหนึ่งของ “จอกศักดิ์สิทธิ์” ของความสามารถของ SIEM ที่ขับเคลื่อนด้วย AI ไม่มี SIEM ใดที่นำเสนอคุณสมบัติเหล่านี้ได้อย่างน่าเชื่อถือในปัจจุบัน เมื่อคุณเลือก SIEM ใหม่ในปี 2024 ให้พิจารณาว่าผู้จำหน่ายกำลังลงทุนทรัพยากรที่จำเป็นเพื่อสร้างความก้าวหน้าที่สำคัญเกี่ยวกับความสามารถในการเปลี่ยนแปลงเหล่านี้หรือไม่

Google Security Operations (เดิมชื่อ Chronicle) เป็นโซลูชัน SIEM บนระบบคลาวด์ที่นำเสนอโดย Google Cloud ได้รับการออกแบบมาเพื่อช่วยให้องค์กรต่างๆ รวบรวมบันทึกและการตรวจวัดทางไกลด้านความปลอดภัยอื่นๆ จากส่วนกลาง จากนั้นจึงตรวจจับ ตรวจสอบ และตอบสนองต่อภัยคุกคามด้านความปลอดภัยแบบเรียลไทม์ 

• ตรวจจับและจัดลำดับความสำคัญของภัยคุกคามความปลอดภัย: กฎการตรวจจับที่พร้อมใช้งานทันทีของ Google SecOps จะระบุและจัดลำดับความสำคัญของภัยคุกคามความปลอดภัยแบบเรียลไทม์ ช่วยให้องค์กรตอบสนองต่อภัยคุกคามที่สำคัญที่สุดได้อย่างรวดเร็วและมีประสิทธิภาพ
• ตรวจสอบเหตุการณ์ด้านความปลอดภัย: Google SecOps มอบแพลตฟอร์มแบบรวมศูนย์สำหรับการตรวจสอบเหตุการณ์ด้านความปลอดภัย ช่วยให้องค์กรต่างๆ รวบรวมหลักฐานและกำหนดขอบเขตของเหตุการณ์ได้อย่างรวดเร็วและมีประสิทธิภาพ
• ตอบสนองต่อเหตุการณ์ด้านความปลอดภัย: Google SecOps มีเครื่องมือที่หลากหลายเพื่อช่วยให้องค์กรตอบสนองต่อเหตุการณ์ด้านความปลอดภัย เช่น การแก้ไขอัตโนมัติ นักล่าภัยคุกคามพบว่าความเร็วของแพลตฟอร์ม ความสามารถในการค้นหา และใช้ข่าวกรองภัยคุกคามที่ประเมินค่าไม่ได้ในการติดตามผู้โจมตีที่อาจหลุดรอดจากช่องโหว่ สิ่งนี้ช่วยให้องค์กรควบคุมและลดผลกระทบของเหตุการณ์ด้านความปลอดภัยได้อย่างรวดเร็วและมีประสิทธิภาพ
  Google SecOps มีข้อดีหลายประการtagเหนือกว่าโซลูชัน SIEM แบบเดิม ได้แก่:
• ปัญญาประดิษฐ์: Google SecOps ใช้เทคโนโลยี Gemini AI ของ Google เพื่อช่วยให้ผู้พิทักษ์สามารถค้นหาข้อมูลจำนวนมหาศาลได้ในเวลาไม่กี่วินาทีโดยใช้ภาษาธรรมชาติ และทำการตัดสินใจได้เร็วขึ้นโดยการตอบคำถาม สรุปเหตุการณ์ การค้นหาภัยคุกคาม การสร้างกฎ และการดำเนินการที่แนะนำตามบริบทของการสืบสวน ทีมรักษาความปลอดภัยยังสามารถใช้ Gemini ในการปฏิบัติการด้านความปลอดภัยเพื่อสร้าง Playbooks ตอบสนอง ปรับแต่งการกำหนดค่า และรวมแนวทางปฏิบัติที่ดีที่สุดได้อย่างง่ายดาย ช่วยลดความซับซ้อนของงานที่ต้องใช้เวลาซึ่งต้องใช้ความเชี่ยวชาญเชิงลึก
• ข่าวกรองภัยคุกคามที่ประยุกต์ใช้: Google SecOps ผสานรวมกับ Google Threat Intelligence (GTI) โดยกำเนิด ซึ่งรวมเอาข่าวกรองที่ผสมผสานจาก VirusTotal, Mandiant Threat Intelligence และแหล่งข้อมูลข่าวกรองภัยคุกคามภายในของ Google เพื่อช่วยให้ลูกค้าตรวจพบภัยคุกคามได้มากขึ้นโดยใช้ความพยายามน้อยลง
• ความสามารถในการปรับขนาด: Google SecOps เป็นโซลูชันบนระบบคลาวด์ จึงสามารถใช้ประโยชน์จากโครงสร้างพื้นฐานระบบคลาวด์ระดับไฮเปอร์สเกลที่ Google Cloud มอบให้ เพื่อตอบสนองความต้องการด้านความจุและประสิทธิภาพขององค์กรใดๆ โดยไม่คำนึงถึงขนาด
• บูรณาการกับ Google Cloud: Google SecOps ได้รับการบูรณาการอย่างแนบแน่นกับผลิตภัณฑ์และบริการอื่นๆ ของ Google Cloud เช่น Google Cloud Security Command Center Enterprise (SCCE) การบูรณาการนี้ทำให้องค์กรต่างๆ สามารถจัดการการดำเนินการด้านความปลอดภัยในแพลตฟอร์มเดียวที่ครบวงจรได้อย่างง่ายดาย Google SecOps เป็น SIEM ที่ดีที่สุดสำหรับการวัดและส่งข้อมูลทางไกลของบริการ GCP และยังรวมเนื้อหาการตรวจจับที่พร้อมใช้งานทันทีสำหรับผู้ให้บริการคลาวด์รายใหญ่อื่นๆ เช่น AWS และ Azure

ข้อมูลภัยคุกคามประยุกต์ใน Google SecOps
Google SecOps ช่วยให้ทีมรักษาความปลอดภัยจัดการและวิเคราะห์ข้อมูลความปลอดภัยซึ่งเชื่อมโยงโดยอัตโนมัติและเสริมด้วยข้อมูลภัยคุกคาม ด้วยการผสานรวมข้อมูลภัยคุกคามเข้ากับ SIEM ของคุณโดยตรง องค์กรต่างๆ จึงสามารถ:

• ปรับปรุงการตรวจจับและคัดแยก: ข้อมูลภัยคุกคามสามารถนำมาใช้โดยตรงเพื่อสร้างกฎที่สามารถช่วยระบุกิจกรรมที่เป็นอันตรายได้แบบเรียลไทม์ ข้อมูลนี้ยังใช้เพื่อเพิ่มบริบทให้กับการแจ้งเตือนอื่นๆ และปรับความเชื่อมั่นในการแจ้งเตือนโดยอัตโนมัติ สิ่งนี้ช่วยให้องค์กรตรวจจับและคัดแยกเหตุการณ์ด้านความปลอดภัยได้อย่างรวดเร็ว และมุ่งเน้นทรัพยากรไปที่ภัยคุกคามที่สำคัญที่สุด
• ปรับปรุงการสืบสวนและการตอบสนอง: ข้อมูลภัยคุกคามสามารถใช้เพื่อให้บริบทและข้อมูลเชิงลึกระหว่างการสืบสวนด้านความปลอดภัย สิ่งนี้สามารถช่วยให้นักวิเคราะห์ระบุสาเหตุของเหตุการณ์ได้อย่างรวดเร็ว รวมถึงพัฒนาและใช้กลยุทธ์การรับมือที่มีประสิทธิภาพ
• ก้าวนำหน้าขอบเขตภัยคุกคาม: ข้อมูลภัยคุกคามสามารถช่วยให้องค์กรก้าวนำหน้าแนวภัยคุกคามด้วยการให้ข้อมูลเกี่ยวกับภัยคุกคามและช่องโหว่ล่าสุด ข้อมูลนี้สามารถใช้เพื่อพัฒนาและปรับใช้มาตรการรักษาความปลอดภัยเชิงรุก เช่น การตามล่าหาภัยคุกคาม และการฝึกอบรมการรับรู้ด้านความปลอดภัย

การตรวจจับภัยคุกคามใน Google SecOps
การตรวจจับภัยคุกคามของ Google SecOps นั้นอิงตามกระแสข้อมูลข่าวกรองภัยคุกคามแนวหน้าอย่างต่อเนื่องจากทีมความปลอดภัยของ Google ข้อมูลอัจฉริยะนี้ใช้เพื่อสร้างกฎและการแจ้งเตือนที่สามารถระบุกิจกรรมที่เป็นอันตรายได้แบบเรียลไทม์ Google SecOps ยังใช้การวิเคราะห์พฤติกรรมและการให้คะแนนความเสี่ยงเพื่อระบุรูปแบบที่น่าสงสัยในข้อมูลความปลอดภัย ซึ่งช่วยให้ Google SecOps สามารถตรวจจับภัยคุกคามที่ไม่สามารถตรวจพบได้ด้วยกฎการตรวจจับแบบดั้งเดิม

คุณค่าของการตรวจจับภัยคุกคามคุณภาพสูงที่ได้รับการดูแลจัดการนั้นชัดเจน องค์กรที่ใช้ Google SecOps จะได้รับประโยชน์จาก:

• การตรวจจับและคัดแยกที่ได้รับการปรับปรุง: Google SecOps สามารถช่วยให้องค์กรระบุและคัดแยกเหตุการณ์ด้านความปลอดภัยได้อย่างรวดเร็ว ช่วยให้องค์กรสามารถมุ่งทรัพยากรไปที่ภัยคุกคามที่สำคัญที่สุดได้
• การตรวจสอบและการตอบสนองที่ได้รับการปรับปรุง: Google SecOps สามารถให้บริบทและข้อมูลเชิงลึกในระหว่างการตรวจสอบด้านความปลอดภัย สิ่งนี้สามารถช่วยให้นักวิเคราะห์ระบุสาเหตุที่แท้จริงของเหตุการณ์ได้อย่างรวดเร็ว และเพื่อพัฒนาและใช้กลยุทธ์การรับมือที่มีประสิทธิภาพ
• ก้าวนำหน้าขอบเขตภัยคุกคาม: Google SecOps สามารถช่วยให้องค์กรก้าวนำหน้าขอบเขตภัยคุกคามด้วยการให้ข้อมูลเกี่ยวกับภัยคุกคามและช่องโหว่ล่าสุด ข้อมูลนี้สามารถใช้เพื่อพัฒนาและปรับใช้มาตรการรักษาความปลอดภัยเชิงรุก เช่น การตามล่าหาภัยคุกคาม และการฝึกอบรมการรับรู้ด้านความปลอดภัย

การโยกย้าย SIEM

ดังนั้นคุณได้ตัดสินใจที่จะดำเนินการ แนวทางการโยกย้ายของคุณมีความสำคัญอย่างยิ่งในการรับรองว่าคุณรักษาความสามารถที่จำเป็นและเริ่มดึงคุณค่าจากแพลตฟอร์มใหม่โดยเร็วที่สุด มันลงมาเพื่อการจัดลำดับความสำคัญ ข้อเสียโดยทั่วไปคือการตระหนักว่าในขณะที่การย้าย SIEM แสดงถึงโอกาสในการปรับปรุงแนวทางทั้งหมดของคุณในการสืบสวน การตรวจจับ และการตอบสนองให้ทันสมัย ​​แต่การย้ายถิ่นของ SIEM จำนวนมากล้มเหลวเนื่องจากองค์กรพยายาม "ทำให้มหาสมุทรเดือด"

เคล็ดลับที่ดีที่สุดสำหรับการวางแผนและดำเนินการย้าย SIEM ให้ประสบความสำเร็จมีดังนี้

• กำหนดเป้าหมายการย้ายข้อมูลของคุณ ฟังดูชัดเจน แต่การย้าย SIEM ของคุณเป็นกระบวนการที่กินเวลานาน ดังนั้นการกำหนดผลลัพธ์ที่คุณต้องการ (เช่น การตรวจหาภัยคุกคามที่เร็วขึ้น การรายงานการปฏิบัติตามข้อกำหนดที่ง่ายขึ้น การมองเห็นที่ดีขึ้น ลดภาระงานของนักวิเคราะห์ ในขณะเดียวกันก็ลดต้นทุนด้วย) มีความสัมพันธ์อย่างมากกับความสำเร็จ
• ใช้การย้ายถิ่นเป็นโอกาสในการทำความสะอาดบ้าน นี่เป็นเวลาที่ดีในการทำความสะอาด กฎการตรวจจับและแหล่งที่มาของบันทึกของคุณ และย้ายเฉพาะอันที่คุณใช้จริงเท่านั้น เป็นเวลาที่ดีที่จะอีกครั้งview กระบวนการตรวจสอบและปรับแต่งการแจ้งเตือนของคุณ และตรวจสอบให้แน่ใจว่าเป็นข้อมูลล่าสุด
• อย่าย้ายแหล่งที่มาของบันทึกทุกรายการ การย้ายไปยัง SIEM ใหม่ถือเป็นโอกาสอันดีที่จะตัดสินใจว่าคุณต้องการบันทึกใดบ้าง ไม่ว่าจะเป็นด้วยเหตุผลด้านการปฏิบัติตามข้อกำหนดหรือด้านความปลอดภัย องค์กรหลายแห่งสะสมข้อมูลบันทึกจำนวนมหาศาลเมื่อเวลาผ่านไป และไม่จำเป็นว่าทั้งหมดจะมีคุณค่าหรือเกี่ยวข้องทั้งหมด การใช้เวลาในการประเมินแหล่งที่มาของบันทึกก่อนที่จะย้าย คุณสามารถปรับปรุง SIEM ของคุณและมุ่งเน้นไปที่ข้อมูลที่สำคัญที่สุดต่อความต้องการด้านความปลอดภัยและการปฏิบัติตามข้อกำหนดของคุณ
• อย่าย้ายเนื้อหาทั้งหมด การย้ายเนื้อหาการตรวจจับ กฎ การแจ้งเตือน แดชบอร์ด การแสดงภาพ และ Playbooks ที่มีอยู่ทั้งหมดไปยัง SIEM ใหม่ไม่จำเป็นเสมอไป ใช้เวลาในการประเมินความครอบคลุมการตรวจจับปัจจุบันของคุณและจัดลำดับความสำคัญของการโยกย้ายกฎที่คุณต้องการ คุณจะพบโอกาสในการรวมกฎ เพื่อกำจัดกฎที่ไม่สามารถเริ่มทำงานได้เนื่องจากขาดการวัดและส่งข้อมูลทางไกลหรือตรรกะที่ผิดพลาด หรือกฎที่ได้รับการจัดการที่ดีกว่าโดยเนื้อหาที่พร้อมใช้งานทันที สอบถามผู้จำหน่ายหรือพันธมิตรการปรับใช้งานที่สนับสนุนการย้ายกฎแบบตัวต่อตัว
• จัดลำดับความสำคัญของการโยกย้ายเนื้อหาตั้งแต่เนิ่นๆ เริ่มต้นการย้ายเนื้อหาการตรวจจับทันทีเมื่อมีแหล่งที่มาของบันทึกและการปรับปรุงที่จำเป็นสำหรับกรณีการใช้งานเฉพาะแต่ละกรณี แนวทางที่ขับเคลื่อนด้วยข้อมูลนี้ ซึ่งจัดแหล่งที่มาให้สอดคล้องกับกรณีการใช้งาน ช่วยให้เกิดความพยายามในการโยกย้ายแบบคู่ขนานเพื่อประสิทธิภาพและผลลัพธ์ที่เหมาะสมที่สุด
• การโยกย้ายเนื้อหาการตรวจจับเป็นกระบวนการที่นำโดยมนุษย์ เตรียมสร้างเนื้อหาการตรวจจับใหม่ (กฎ การแจ้งเตือน แดชบอร์ด โมเดล ฯลฯ) (ส่วนใหญ่) ตั้งแต่ต้น โดยใช้เนื้อหาเก่าของคุณเป็นแรงบันดาลใจ ในปัจจุบัน ไม่มีวิธีการใดที่จะแปลงกฎจากแพลตฟอร์ม SIEM หนึ่งไปยังอีกแพลตฟอร์มหนึ่งโดยอัตโนมัติได้ แม้ว่าผู้จำหน่ายบางรายจะเสนอตัวแปลไวยากรณ์ แต่โดยทั่วไปแล้วพวกเขาจะให้ผลลัพธ์ที่รวดเร็วมากกว่าที่จะแปลกฎ การค้นหา หรือแดชบอร์ดได้อย่างสมบูรณ์แบบ คุณควรใช้เวลาล่วงหน้าสูงสุดtage ของเครื่องมือเหล่านี้ แต่รับรู้ว่าสิ่งเหล่านี้ไม่ใช่ยาครอบจักรวาล
• เนื้อหาการตรวจจับมาจากหลายแหล่ง วิเคราะห์ความต้องการครอบคลุมการตรวจจับของคุณ จากนั้นปรับใช้หรือสร้างกรณีการใช้งานการตรวจจับของคุณตามความจำเป็น ผู้จำหน่าย SIEM ของคุณจะมอบเนื้อหาที่พร้อมใช้งานทันทีซึ่งคุณควรใช้ประโยชน์เสมอหากทำได้ นอกจากนี้ ให้พิจารณาที่เก็บกฎของชุมชนและผู้ให้บริการเนื้อหาการตรวจจับบุคคลที่สามด้วย เมื่อจำเป็น ให้เขียนกฎของคุณเองและจดจำกฎส่วนใหญ่ โดยไม่คำนึงถึงที่มา จำเป็นต้องปรับให้เหมาะกับสภาพแวดล้อมเฉพาะขององค์กรของคุณ
• พัฒนาไทม์ไลน์การโยกย้ายที่สมจริง ซึ่งรวมถึงการบัญชีสำหรับการถ่ายโอนข้อมูล การทดสอบ การปรับแต่ง การฝึกอบรม และการทับซ้อนกันที่อาจเกิดขึ้น ซึ่งคุณอาจต้องรันทั้งสองระบบพร้อมกัน แผนการย้ายข้อมูลที่กำหนดไว้อย่างดีจะช่วยให้คุณระบุและลดความเสี่ยง และช่วยให้มั่นใจว่าการย้ายข้อมูลจะเสร็จสมบูรณ์ด้วยผลสำเร็จ แผนควรมีลำดับเวลาโดยละเอียด รายการงาน ทรัพยากร และงบประมาณ รับรู้ว่าโครงการสำคัญๆ เช่น การย้าย SIEM จะต้องแบ่งออกเป็นระยะๆ
• การทดสอบ เราขอแนะนำแนวทางปฏิบัติในการทดสอบ SIEM และเนื้อหาการตรวจจับของคุณโดยการฉีดข้อมูลอย่างสม่ำเสมอซึ่งจะทริกเกอร์การตรวจจับของคุณ การตรวจสอบการแยกวิเคราะห์ และตรวจสอบความถูกต้องของกระแสข้อมูลจากการตรวจจับไปยังกรณีและปัญหาไปยัง Playbook การตอบสนอง การโยกย้าย SIEM เป็นเวลาที่เหมาะสมที่สุดในการปรับใช้ความเข้มงวด โปรแกรมวิศวกรรมการตรวจจับ ซึ่งรวมถึงการทดสอบเช่นนี้ด้วย
• เตรียมพร้อมสำหรับช่วงการเปลี่ยนแปลงในระหว่างที่คุณจะใช้เครื่องมือทั้งเก่าและใหม่ หลีกเลี่ยงแนวทาง "ริปและแทนที่" ที่ก่อกวน การย้ายแบบเป็นขั้นตอน โดยที่คุณย้ายแหล่งที่มาของบันทึกและกรณีการใช้งานทีละน้อย จะช่วยควบคุมกระบวนการและลดความเสี่ยง นอกจากนี้ ให้คิดให้รอบคอบเกี่ยวกับการนำเข้าข้อมูลจาก SIEM เก่าของคุณไปยังข้อมูลใหม่อีกครั้ง ในบางกรณี คุณอาจปล่อยให้ SIEM ก่อนหน้าทำงานต่อไปเป็นระยะเวลานานเพื่อให้สามารถเข้าถึงข้อมูลประวัติได้
• เปิดใช้งานทีมของคุณ การย้าย SIEM ของคุณจะล้มเหลวหากนักวิเคราะห์ของคุณไม่สามารถใช้ระบบใหม่ได้ แผนการโยกย้ายที่ดีจะรวมการเปิดใช้งานเชิงลึกสำหรับทีมของคุณ ลองนึกถึงการฝึกอบรมวิศวกรเกี่ยวกับการเริ่มใช้งานและการแยกวิเคราะห์ข้อมูล การฝึกอบรมนักวิเคราะห์เกี่ยวกับการจัดการกรณี/การสืบสวน/คัดแยก นักล่าภัยคุกคามในการตรวจจับ/ค้นหาความผิดปกติ และวิศวกรการตรวจจับเกี่ยวกับการเขียนกฎ ระยะเวลาเป็นสิ่งสำคัญสำหรับการเปิดใช้งาน วิธีที่ดีที่สุดคือฝึกอบรมพนักงานในขณะที่พวกเขาเริ่มดำเนินการในขั้นตอนการย้ายถิ่นที่เฉพาะเจาะจง แทนที่จะฝึกอบรมก่อนที่จะต้องใช้ทักษะเหล่านั้น
• ขอความช่วยเหลือ! หากคุณโชคดี (หรืออาจจะโชคไม่ดี) ในฐานะผู้ปฏิบัติงานหรือผู้นำ คุณอาจจะต้องผ่านการโยกย้าย SIEM หนึ่งหรือสองครั้งในอาชีพการงานของคุณ ทำไมไม่ขอความช่วยเหลือจากผู้เชี่ยวชาญที่เคยทำมาหลายสิบหรือหลายร้อยครั้งล่ะ? ทีมงานบริการมืออาชีพจากผู้ขายและ/หรือทีมที่ปรึกษาจากพันธมิตรผู้ให้บริการที่มีคุณสมบัติเหมาะสมถือเป็นตัวเลือกที่ดี การโยกย้าย SIEM ส่วนใหญ่เป็นความพยายามที่คำนึงถึงมนุษย์เป็นหลัก

กระบวนการสำคัญ: เลือกพันธมิตรการปรับใช้
ไม่มีการตัดสินใจใดที่จะมีผลกระทบต่อความสำเร็จสูงสุดของการย้าย SIEM มากไปกว่าการเลือกพันธมิตรการปรับใช้ แพลตฟอร์ม SIEM เป็นระบบองค์กรขนาดใหญ่และซับซ้อน อย่าพยายามไปคนเดียว ยึดติดกับพันธมิตรการปรับใช้ที่ผ่านการโยกย้ายมาหลายครั้ง

พันธมิตรการปรับใช้อาจเป็นเพียงฝ่ายบริการระดับมืออาชีพของผู้จำหน่าย SIEM รายใหม่ อย่างไรก็ตาม การเลือกพันธมิตรบุคคลที่สามเพื่อดำเนินการย้ายข้อมูลเป็นเรื่องปกติมากกว่า โปรดจำไว้ว่าการโยกย้าย SIEM เป็นความพยายามของมนุษย์ การเลือกพันธมิตรที่มีใบรับรองใน SIEM ใหม่และมีพันธมิตรที่สามารถอ้างอิงได้จำนวนมากถือเป็นวิธีที่ดีที่สุด นอกจากนี้ยังช่วยได้หากพวกเขามีความเชี่ยวชาญใน SIEM ที่คุณย้ายมา นอกเหนือจากการอ้างอิงแล้ว วิธีที่ชาญฉลาดในการกำหนดระดับประสบการณ์ของพันธมิตรกับ SIEM ใหม่ของคุณคือการตรวจสอบฟอรัมชุมชนเพื่อดูว่าทีมเป็นผู้มีส่วนร่วมที่แข็งขันหรือไม่ ในความเห็นของผู้เขียน เจ้าหน้าที่พันธมิตรที่มีส่วนร่วมสูงมีความสัมพันธ์กับการย้าย SIEM ที่ประสบความสำเร็จ นอกเหนือจากบิตและไบต์ทางเทคนิคของการย้าย SIEM แล้ว คุณยังสามารถเลือกพันธมิตรที่มีประสบการณ์เฉพาะในประเภทธุรกิจของคุณ หรือในสภาพแวดล้อมการปฏิบัติตามข้อกำหนดของคุณ หรือใน ภูมิภาคของคุณหรือทั้งสาม! คุณสามารถค้นหาทักษะทางภาษาและแหล่งข้อมูลได้ใน advantagเขตเวลา Eous คุณยังสามารถมองหาพันธมิตรที่ดำเนินการ SIEM ของคุณให้กับคุณ หรือผู้ที่ให้ผลลัพธ์ที่คล้ายกันในฐานะผู้ให้บริการรักษาความปลอดภัยที่มีการจัดการซึ่งสามารถจ้าง SIEM ขององค์กรภายนอกบางส่วนหรือทั้งหมดได้

กระบวนการสำคัญ: เอกสารการกำหนดค่าปัจจุบันและกรณีการใช้งาน
การใช้งาน SIEM มักจะกว้างขวาง และมีการเติบโตอย่างต่อเนื่องในด้านขอบเขตและความซับซ้อนตลอดการใช้งานหลายปี เตรียมเอกสารเพียงเล็กน้อยหรือไม่มีเลย คาดว่าบุคลากรที่ทำการกำหนดค่าเริ่มต้นและปรับแต่ง SIEM มักจะหายไปนานแล้ว การจัดทำเอกสารการกำหนดค่าและความสามารถอย่างละเอียดตั้งแต่เนิ่นๆ ของกระบวนการย้ายอาจหมายถึงความแตกต่างระหว่างความสำเร็จและความล้มเหลว

• จัดทำเอกสารข้อมูลประจำตัวและการจัดการการเข้าถึงที่ใช้โดย SIEM คุณจะต้องรักษาการเข้าถึงข้อมูลและฟีเจอร์ตามบทบาทไว้อย่างแน่นอน ในทางกลับกัน การโยกย้ายเป็นโอกาสในการวิเคราะห์และจัดการกับปัญหาการเข้าถึงที่กว้างขวางซึ่งเกิดขึ้นตามธรรมชาติในองค์กรส่วนใหญ่ คุณยังอาจมองว่ากระบวนการย้ายเป็นโอกาสในการปรับปรุงวิธีการรับรองความถูกต้อง/การอนุญาตให้ทันสมัย ​​รวมถึงการรวมข้อมูลประจำตัวเข้ากับมาตรฐานองค์กร และการนำการรับรองความถูกต้องแบบหลายปัจจัยไปใช้
• บันทึกชื่อของประเภทข้อมูลที่กำลังรวบรวม โปรดทราบว่า SIEM บางแห่งเรียกชื่อเหล่านี้ว่า "sourcetype" หรือ "logtype" บันทึกปริมาณข้อมูลของแต่ละประเภทที่ไหลโดยใช้กิกะไบต์/วันเป็นตัวชี้วัด บันทึกไปป์ไลน์ข้อมูลสำหรับแหล่งข้อมูลแต่ละแห่ง (ตามเอเจนต์, การสืบค้น API, web hook, การนำเข้าที่เก็บข้อมูลบนคลาวด์, API การนำเข้า, ตัวฟัง HTTP ฯลฯ) และบันทึกการกำหนดค่าตัวแยกวิเคราะห์ของ SIEM พร้อมกับการปรับแต่งใดๆ
• รวบรวมการค้นหาที่บันทึกไว้ คำจำกัดความของแดชบอร์ด และกฎการตรวจจับ SIEM จำนวนมากยังมีกลไกการจัดเก็บข้อมูลแบบถาวร เช่น ตารางการค้นหา อย่าลืมทำความเข้าใจและบันทึกวิธีการเติมและใช้งานสิ่งเหล่านี้
• จัดทำรายการบูรณาการกับระบบภายนอก SIEM จำนวนมากทำงานร่วมกับระบบการจัดการเคส ฐานข้อมูลเชิงสัมพันธ์ บริการแจ้งเตือน (อีเมล SMS ฯลฯ) และแพลตฟอร์มข่าวกรองภัยคุกคาม
• บันทึกเนื้อหาการตอบสนอง เช่น คู่มือกลยุทธ์ เทมเพลตการจัดการเคส และการผสานรวมที่ใช้งานอยู่ซึ่งยังไม่ได้จัดทำเป็นเอกสาร

นอกเหนือจากการรวบรวมรายละเอียดทางเทคนิคที่สำคัญเหล่านี้แล้ว การใช้เวลาในการติดต่อสื่อสารระหว่างกันยังเป็นสิ่งสำคัญอีกด้วยview ผู้ใช้ SIEM ที่มีอยู่เพื่อทำความเข้าใจขั้นตอนการทำงานของตน สอบถามว่าพวกเขาใช้ SIEM อย่างไร และขั้นตอนการปฏิบัติงานมาตรฐานใดบ้างที่ต้องอาศัย SIEM สิ่งสำคัญคือต้องถามคำถามกว้างๆ เช่น ทีมที่อยู่นอกระบบรักษาความปลอดภัยอาจใช้ SIEM สำหรับเช่นampไม่ใช่เรื่องแปลกที่ทีมปฏิบัติตามกฎระเบียบหรือเจ้าหน้าที่ปฏิบัติการด้านไอทีจะพึ่งพา SIEM การไม่บันทึกกรณีการใช้งานเหล่านี้อาจทำให้พลาดความคาดหวังในกระบวนการย้ายข้อมูลในภายหลัง

กระบวนการสำคัญ: การย้ายแหล่งที่มาของบันทึก
การย้ายแหล่งที่มาของบันทึกเกี่ยวข้องกับการย้ายแหล่งข้อมูลจาก SIEM เก่าไปยัง SIEM ใหม่ กระบวนการนี้ขึ้นอยู่กับเอกสารประกอบของการกำหนดค่าปัจจุบันที่รวบรวมไว้ใน กระบวนการ: เอกสารการกำหนดค่าและการใช้งานปัจจุบัน ส่วน.

โดยทั่วไปขั้นตอนต่อไปนี้จะเกี่ยวข้องกับกระบวนการย้ายแหล่งที่มาของบันทึก:

1. การค้นพบและสินค้าคงคลัง: ขั้นตอนแรกคือการค้นหาและจัดทำรายการแหล่งที่มาของบันทึกทั้งหมดที่ SIEM เก่านำเข้าอยู่ในปัจจุบัน ซึ่งสามารถทำได้โดยใช้วิธีการต่างๆ เช่นviewการกำหนดค่าของ SIEM fileหรือใช้ API และเครื่องมือที่เกี่ยวข้อง
2. การกำหนดลำดับความสำคัญ: เมื่อค้นพบและจัดเก็บแหล่งที่มาของบันทึกแล้ว จะต้องจัดลำดับความสำคัญสำหรับการโยกย้าย ซึ่งสามารถทำได้โดยขึ้นอยู่กับปัจจัยหลายประการ เช่น การวิเคราะห์ที่ขับเคลื่อนโดยแหล่งที่มาของบันทึก ปริมาณข้อมูล ความสำคัญของข้อมูล ข้อกำหนดในการปฏิบัติตามข้อกำหนด และความซับซ้อนของกระบวนการย้าย
3. การวางแผนการย้ายถิ่น: เมื่อจัดลำดับความสำคัญของแหล่งที่มาของบันทึกแล้ว จะต้องพัฒนาแผนการย้ายข้อมูล
4. การดำเนินการย้ายข้อมูล: กระบวนการย้ายข้อมูลสามารถดำเนินการได้ตามแผน ซึ่งอาจเกี่ยวข้องกับงานที่หลากหลาย เช่น การกำหนดค่าฟีดใน SIEM ใหม่ การติดตั้งตัวแทน การกำหนดค่า API เป็นต้น
5. การทดสอบและการตรวจสอบ: เมื่อการย้ายข้อมูลเสร็จสมบูรณ์ สิ่งสำคัญคือต้องทดสอบและตรวจสอบความถูกต้องของข้อมูลบันทึกที่นำเข้าอย่างถูกต้อง ใช้สิ่งนี้เป็นโอกาสในการกำหนดค่าการแจ้งเตือนสำหรับแหล่งข้อมูลที่เงียบไป
6. เอกสารประกอบ: สุดท้ายนี้ สิ่งสำคัญคือต้องบันทึกการกำหนดค่าแหล่งบันทึกใหม่

กระบวนการสำคัญ: ย้ายเนื้อหาการตรวจจับและการตอบสนอง
เนื้อหาการตรวจจับและการตอบสนองของ SIEM ประกอบด้วยกฎ การค้นหา คู่มือการเล่น แดชบอร์ด และการกำหนดค่าอื่นๆ ที่กำหนดว่าการแจ้งเตือน SIEM ของคุณเกี่ยวกับอะไร และวิธีที่จะช่วยให้นักวิเคราะห์จัดการกับการแจ้งเตือนเหล่านั้น หากไม่มีการกำหนดค่าเนื้อหาอย่างเหมาะสม SIEM ก็เป็นเพียงวิธีการค้นหาที่หรูหรา มันคือ "grep ราคาแพง" ซึ่งเป็นคำที่เพื่อนร่วมงานของผู้เขียนตั้งขึ้นเมื่อหลายปีก่อน เนื้อหา SIEM มีบทบาทสำคัญในการกำหนดความครอบคลุมการค้นพบขององค์กรของคุณ

• กฎการตรวจจับใช้เพื่อระบุเหตุการณ์ด้านความปลอดภัย วิศวกรการตรวจจับที่มีความรู้เชิงลึกเกี่ยวกับผู้แสดงภัยคุกคามด้านความปลอดภัย รวมถึงกลยุทธ์ เทคนิค และขั้นตอน (TTP) ทั่วไปสำหรับพวกเขาเขียนสิ่งเหล่านี้ กฎการตรวจจับจะมองหารูปแบบที่แสดงถึง TTP เหล่านี้ในข้อมูลบันทึก กฎการตรวจจับมักจะเชื่อมโยงแหล่งที่มาของบันทึกที่แตกต่างกันเข้าด้วยกัน และใช้ประโยชน์จากข้อมูลข่าวกรองภัยคุกคาม
• Playbooks การตอบสนองจะใช้เพื่อทำให้การตอบสนองต่อการแจ้งเตือนความปลอดภัยเป็นแบบอัตโนมัติ พวกเขาสามารถรวมงานต่างๆ เช่น การส่งการแจ้งเตือน การแยกโฮสต์ที่ถูกบุกรุก การปรับปรุงการแจ้งเตือนด้วยข้อมูลเชิงบริบท/ข่าวกรองภัยคุกคาม และการเรียกใช้สคริปต์การแก้ไข
• แดชบอร์ดใช้เพื่อแสดงภาพข้อมูลความปลอดภัยและติดตามสถานะของเหตุการณ์ด้านความปลอดภัย สามารถใช้ในการตรวจสอบสถานะความปลอดภัยโดยรวมขององค์กร และเพื่อระบุแนวโน้มและรูปแบบ
• การพัฒนาเนื้อหาการตรวจจับและการตอบสนองใหม่เป็นกระบวนการที่ทำซ้ำ สิ่งสำคัญคือต้องตรวจสอบ SIEM อย่างต่อเนื่องและทำการปรับเปลี่ยนเนื้อหาตามความจำเป็น การย้าย SIEM เป็นเวลาที่ดีเยี่ยมในการปรับปรุงกระบวนการของคุณโดยใช้แนวทางต่างๆ เช่น การตรวจจับเป็นโค้ด (DaC)

กระบวนการสำคัญ: การฝึกอบรมและการเปิดใช้งาน
กระบวนการที่มักถูกมองข้ามระหว่างการโยกย้าย SIEM คือการฝึกอบรมผู้ใช้ SIEM อาจเป็นเครื่องมือเดียวที่สำคัญที่สุดที่ทีมปฏิบัติการด้านความปลอดภัยใช้ ความสามารถในการใช้งานอย่างมีประสิทธิผลและประสิทธิผลจะมีบทบาทสำคัญในความสำเร็จของการย้ายข้อมูล และความสามารถในการปกป้ององค์กรของคุณ ไว้วางใจผู้ให้บริการ SIEM และพันธมิตรการปรับใช้ของคุณเพื่อมอบเนื้อหาการฝึกอบรมและการส่งมอบ นี่คือรายการหัวข้อสั้นๆ ที่ทีมของคุณควรเปิดใช้งาน

• บันทึกการนำเข้าและการแยกวิเคราะห์ฟีด
• ค้นหา / สอบสวน
• การจัดการกรณี
• การเขียนกฎ
• การพัฒนาแดชบอร์ด
• เพลย์บุ๊ก/ระบบอัตโนมัติ

บทสรุป

• ท้ายที่สุดแล้ว การโยกย้ายจาก SIEM เดิมไปสู่โซลูชันที่ทันสมัยก็เป็นสิ่งที่หลีกเลี่ยงไม่ได้ แม้ว่าความท้าทายอาจดูน่ากลัว แต่การย้ายข้อมูลที่ได้รับการวางแผนมาอย่างดีและดำเนินการสามารถนำไปสู่การปรับปรุงที่สำคัญในการตรวจจับภัยคุกคาม ความสามารถในการตอบสนอง และมาตรการรักษาความปลอดภัยโดยรวม
• ด้วยการพิจารณาอย่างรอบคอบในการเลือก SIEM ใหม่ การใช้ประโยชน์จากจุดแข็งของสถาปัตยกรรมแบบคลาวด์เนทีฟ การผสมผสานข้อมูลภัยคุกคามขั้นสูง และการใช้ฟีเจอร์ที่ขับเคลื่อนด้วย AI องค์กรต่างๆ สามารถเพิ่มศักยภาพให้กับทีมรักษาความปลอดภัยในการป้องกันเชิงรุกจากภัยคุกคามที่พัฒนาอยู่ตลอดเวลา กระบวนการย้ายที่ประสบความสำเร็จนั้นเกี่ยวข้องกับการวางแผนที่พิถีพิถัน เอกสารที่ครอบคลุม แหล่งที่มาของบันทึกเชิงกลยุทธ์และการย้ายเนื้อหา การทดสอบอย่างละเอียด และการฝึกอบรมผู้ใช้ที่ครอบคลุม
• การเป็นพันธมิตรกับผู้เชี่ยวชาญด้านการปรับใช้ที่มีประสบการณ์นั้นมีคุณค่าอย่างยิ่งในการนำทางความซับซ้อนและรับประกันการเปลี่ยนแปลงที่ราบรื่น ด้วยความมุ่งมั่นในการปรับปรุงอย่างต่อเนื่องและการมุ่งเน้นไปที่วิศวกรรมการตรวจจับ องค์กรต่างๆ จึงสามารถควบคุมได้อย่างเต็มที่
• ศักยภาพของ SIEM ใหม่ และเสริมการป้องกันความปลอดภัยในปีต่อๆ ไป

การอ่านเพิ่มเติม

• บทความ “Google SecOps สามารถช่วยเพิ่ม SIEM Stack ของคุณได้อย่างไร”
• “อนาคตของ SOC: วิวัฒนาการหรือการเพิ่มประสิทธิภาพ — เลือกเส้นทางของคุณ” กระดาษ
• บล็อกชุมชนความปลอดภัยของ Google Cloud
• จดหมายข่าวรายสัปดาห์ด้านวิศวกรรมการตรวจจับ
• ตรวจจับ fyi – เคล็ดลับที่เน้นผู้ปฏิบัติงานเกี่ยวกับวิศวกรรมการตรวจจับ
• เริ่มต้นใช้งานการตรวจจับตามโค้ดและการดำเนินการด้านความปลอดภัยของ Google – David French (ส่วนที่หนึ่ง ส่วนที่สอง)
• การใช้ขั้นตอนการทำงานทางวิศวกรรมการตรวจจับที่ทันสมัย ​​– Dan Lussier (ส่วนที่หนึ่ง, ส่วนที่สอง, ส่วนที่สาม)

หากต้องการข้อมูลเพิ่มเติมกรุณาเยี่ยมชม คลาวด์.กูเกิลดอทคอม

คำถามที่พบบ่อย

ถาม: คู่มือ Great SIEM Migration มีจุดประสงค์อะไร
ตอบ: คู่มือนี้มีจุดมุ่งหมายเพื่อช่วยให้องค์กรเปลี่ยนจากโซลูชัน SIEM ที่ล้าสมัยไปเป็นตัวเลือกที่ใหม่กว่าและมีประสิทธิภาพมากขึ้นสำหรับการตรวจจับและตอบสนองต่อภัยคุกคาม

ถาม: ฉันจะได้รับประโยชน์จาก SIEM แบบคลาวด์เนทีฟได้อย่างไร
ตอบ: SIEM แบบเนทีฟบนคลาวด์มอบความสามารถในการปรับขนาด ความคุ้มทุน และการรักษาความปลอดภัยที่มีประสิทธิภาพสำหรับปริมาณงานบนคลาวด์เนื่องจากสถาปัตยกรรมและความสามารถ

เอกสาร / แหล่งข้อมูล

การโยกย้าย Google Cloud SIEM [พีดีเอฟ] คำแนะนำ การโยกย้าย SIEM การโยกย้าย

อ้างอิง

• คู่มือการใช้งาน