Planowanie migracji do usługi Microsoft Sentinel

Zespoły centrum operacji zabezpieczeń (SOC) używają scentralizowanych rozwiązań do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) oraz aranżacji zabezpieczeń, automatyzacji i reagowania (SOAR) w celu ochrony coraz bardziej zdecentralizowanego majątku cyfrowego. Chociaż starsze rozwiązania SIEM mogą obsługiwać dobre pokrycie zasobów lokalnych, architektury lokalne mogą mieć niewystarczający zakres dla zasobów w chmurze, takich jak na platformie Azure, microsoft 365, AWS lub google Cloud Platform (GCP). Natomiast usługa Microsoft Sentinel może pozyskiwać dane zarówno z zasobów lokalnych, jak i w chmurze, zapewniając pokrycie całego majątku.

W tym artykule omówiono przyczyny migracji ze starszej wersji rozwiązania SIEM i opisano sposób planowania różnych faz migracji.

Kroki migracji

Z tego przewodnika dowiesz się, jak przeprowadzić migrację starszej wersji rozwiązania SIEM do usługi Microsoft Sentinel. Postępuj zgodnie z procesem migracji w tej serii artykułów, w których dowiesz się, jak nawigować przez różne etapy procesu.

Uwaga

For a guided migration process, join the Microsoft Sentinel Migration and Modernization Program. Program umożliwia uproszczenie i przyspieszenie migracji, w tym wskazówki dotyczące najlepszych rozwiązań, zasoby i pomoc ekspertów na każdym etapie. Aby dowiedzieć się więcej, skontaktuj się z zespołem ds. kont.

Step	Article
Zaplanuj migrację	Jesteś tutaj
Śledzenie migracji za pomocą skoroszytu	Śledzenie migracji usługi Microsoft Sentinel za pomocą skoroszytu
Korzystanie z środowiska migracji rozwiązania SIEM	Migracja rozwiązania SIEM (wersja zapoznawcza)
Migrowanie z usługi ArcSight	• Reguły wykrywania migracji • Migrate SOAR automation • Eksportowanie danych historycznych
Migrowanie z rozwiązania Splunk	• Rozpocznij od doświadczenia migracji SIEM • Reguły wykrywania migracji • Migrate SOAR automation • Eksportowanie danych historycznych Jeśli chcesz przeprowadzić migrację wdrożenia Splunk Observability, dowiedz się więcej o sposobie migracji z rozwiązania Splunk do dzienników usługi Azure Monitor.
Migrowanie z usługi QRadar	• Reguły wykrywania migracji • Migrate SOAR automation • Eksportowanie danych historycznych
Pozyskiwanie danych historycznych	• Wybierz docelową platformę Azure do hostowania wyeksportowanych danych historycznych • Wybieranie narzędzia do pozyskiwania danych • Załadowanie danych historycznych na platformę docelową
Konwertowanie pulpitów nawigacyjnych na skoroszyty	Konwertowanie pulpitów nawigacyjnych na skoroszyty platformy Azure
Aktualizowanie procesów SOC	Aktualizowanie procesów SOC

Co to jest usługa Microsoft Sentinel?

Microsoft Sentinel to skalowalne, natywne dla chmury rozwiązanie do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) oraz aranżacja zabezpieczeń, automatyzacja i reagowanie (SOAR). Usługa Microsoft Sentinel zapewnia inteligentną analizę zabezpieczeń i analizę zagrożeń w całym przedsiębiorstwie. Usługa Microsoft Sentinel udostępnia jedno rozwiązanie do wykrywania ataków, widoczności zagrożeń, proaktywnego wyszukiwania zagrożeń i reagowania na zagrożenia. Dowiedz się więcej o usłudze Microsoft Sentinel.

Dlaczego warto przeprowadzić migrację ze starszej wersji rozwiązania SIEM?

Zespoły SOC stoją przed zestawem wyzwań podczas zarządzania starszym rozwiązaniem SIEM:

Powolne reagowanie na zagrożenia. Starsze rozwiązania SIEM używają reguł korelacji, które są trudne do utrzymania i nieskuteczne do identyfikowania pojawiających się zagrożeń. In addition, SOC analysts are faced with large amounts of false positives, many alerts from many different security components, and increasingly high volumes of logs. Analizowanie tych danych spowalnia zespoły SOC w swoich wysiłkach w celu reagowania na krytyczne zagrożenia w środowisku.
Wyzwania związane ze skalowaniem. W miarę wzrostu tempo przetwarzania danych, zespoły SOC stoją przed wyzwaniem skalowania swoich rozwiązań SIEM. Zamiast skupiać się na ochronie organizacji, zespoły SOC muszą inwestować w konfigurację i konserwację infrastruktury i są ograniczone przez limity przestrzeni magazynowej lub zapytań.
Ręczna analiza i odpowiedź. Zespoły SOC potrzebują wysoko wykwalifikowanych analityków, aby ręcznie przetwarzać duże ilości alertów. Zespoły SOC są przepracowane, a nowi analitycy są trudne do znalezienia.
Złożone i nieefektywne zarządzanie. Zespoły SOC zwykle nadzorują aranżację i infrastrukturę, zarządzają połączeniami między rozwiązaniem SIEM i różnymi źródłami danych oraz wykonują aktualizacje i poprawki. These tasks are often at the expense of critical triage and analysis.

Rozwiązanie SIEM natywne dla chmury rozwiązuje te wyzwania. Usługa Microsoft Sentinel zbiera dane automatycznie i na dużą skalę, wykrywa nieznane zagrożenia, bada zagrożenia za pomocą sztucznej inteligencji i szybko reaguje na zdarzenia dzięki wbudowanej automatyzacji.

Zaplanuj migrację

W fazie planowania identyfikujesz istniejące składniki rozwiązania SIEM, istniejące procesy SOC oraz projektujesz i planujesz nowe przypadki użycia. Dokładne planowanie pozwala zachować ochronę zasobów opartych na chmurze — Microsoft Azure, AWS lub GCP — oraz rozwiązań SaaS, takich jak Microsoft Office 365.

Na tym diagramie opisano fazy wysokiego poziomu, które obejmuje typowa migracja. Każda faza obejmuje jasne cele, kluczowe działania oraz określone wyniki i elementy dostarczane.

Fazy na tym diagramie są wskazówkami dotyczącymi wykonywania typowej procedury migracji. Rzeczywista migracja może nie zawierać niektórych faz lub może zawierać więcej faz. Zamiast przeglądać pełny zestaw faz, artykuły w tym przewodniku przejrzyją konkretne zadania i kroki, które są szczególnie ważne dla migracji usługi Microsoft Sentinel.

Kwestie wymagające rozważenia

Zapoznaj się z tymi kluczowymi zagadnieniami dotyczącymi każdej fazy.

Faza	Kwestie wymagające rozważenia
Odnajdywanie	Identyfikowanie przypadków użycia i priorytetów migracji w ramach tej fazy.
Projektowanie	Zdefiniuj szczegółowy projekt i architekturę implementacji usługi Microsoft Sentinel. Te informacje będą używane do uzyskania zatwierdzenia od odpowiednich uczestników projektu przed rozpoczęciem fazy implementacji.
Implementowanie	Podczas implementowania składników usługi Microsoft Sentinel zgodnie z fazą projektowania i przed przekonwertowaniem całej infrastruktury należy rozważyć, czy możesz używać gotowej zawartości usługi Microsoft Sentinel zamiast migrować wszystkie składniki. Możesz stopniowo korzystać z usługi Microsoft Sentinel, począwszy od minimalnej opłacalnej wersji produktu (MVP) dla kilku przypadków użycia. As you add more use cases, you can use this Microsoft Sentinel instance as a user acceptance testing (UAT) environment to validate the use cases.
Operationalize	You migrate your content and SOC processes to ensure that the existing analyst experience isn't disrupted.

Identyfikowanie priorytetów migracji

Użyj tych pytań, aby określić priorytety migracji.

Jakie są najbardziej krytyczne składniki infrastruktury, systemy, aplikacje i dane w firmie?
Kim są Twoi uczestnicy migracji? Migracja rozwiązania SIEM może dotknąć wielu obszarów twojej firmy.
Co wpływa na priorytety? Na przykład największe ryzyko biznesowe, wymagania dotyczące zgodności, priorytety biznesowe itd.
Jaka jest skala i harmonogram migracji? Jakie czynniki wpływają na daty i terminy. Czy przeprowadzasz migrację całego starszego systemu?
Czy masz potrzebne umiejętności? Czy personel ds. zabezpieczeń jest przeszkolony i gotowy do migracji?
Czy w twojej organizacji istnieją jakieś konkretne blokady? Czy jakiekolwiek problemy wpływają na planowanie i planowanie migracji? Na przykład problemy, takie jak wymagania dotyczące personelu i szkolenia, daty licencji, twarde przystanki, konkretne potrzeby biznesowe itd.

Przed rozpoczęciem migracji zidentyfikuj kluczowe przypadki użycia, reguły wykrywania, dane i automatyzację w bieżącym rozwiązaniu SIEM. Podejście do migracji jako proces stopniowy. Zachowaj celowość i przemyśl, co migrujesz najpierw, czemu nadajesz niższy priorytet oraz co faktycznie nie musi być migrowane. Your team might have an overwhelming number of detections and use cases running in your current SIEM. Przed rozpoczęciem migracji zdecyduj, które z nich są aktywnie przydatne dla Twojej firmy.

Identyfikowanie przypadków użycia

Podczas planowania fazy odnajdywania skorzystaj z poniższych wskazówek, aby zidentyfikować przypadki użycia.

Zidentyfikuj i przeanalizuj bieżące przypadki użycia według zagrożeń, systemu operacyjnego, produktu itd.
Jaki jest zakres? Czy chcesz przeprowadzić migrację wszystkich przypadków użycia lub użyć niektórych kryteriów określania priorytetów?
Zidentyfikuj, które zasoby zabezpieczeń są najbardziej krytyczne dla migracji.
Jakie przypadki użycia są skuteczne? A good starting place is to look at which detections have produced results within the last year (false positive versus positive rate).
Jakie są priorytety biznesowe wpływające na migrację przypadków użycia? Jakie są największe zagrożenia dla Twojej firmy? Jakiego typu problemy najbardziej zagrażają Twojej firmie?
Określanie priorytetów według cech przypadków użycia.
- Rozważ ustawienie niższych i wyższych priorytetów. We recommend that you focus on detections that would enforce 90 percent true positive on alert feeds. Przypadki użycia, które powodują wysoką liczbę wyników fałszywie dodatnich, mogą być niższym priorytetem dla Twojej firmy.
- Wybierz przypadki użycia, które uzasadniają migrację reguł pod względem priorytetu biznesowego i skuteczności:
  - Przejrzyj reguły, które nie wyzwoliły żadnych alertów w ciągu ostatnich 6 do 12 miesięcy.
  - Wyeliminuj zagrożenia niskiego poziomu lub alerty, które rutynowo ignorujesz.
Przygotuj proces weryfikacji. Definiowanie scenariuszy testowych i tworzenie skryptu testowego.
Czy można zastosować metodologię do określania priorytetów przypadków użycia? You can follow a methodology such as MoSCoW to prioritize a leaner set of use cases for migration.

Następny krok

W tym artykule przedstawiono sposób planowania i przygotowania do migracji.

Śledzenie migracji za pomocą skoroszytu

Sprzężenie zwrotne

Czy ta strona była pomocna?

Last updated on 2025-04-12