8 passos para migrar seu SIEM – Etapa de assessment

Imagem de etapa de assessment

Benchmark

Na etapa de assessment serão definidos [s critérios de benchmark para o novo SIEM ajudarão sua organização a avaliar a performance e o desempenho. Os benchmarks devem empregar critérios de framework ou frameworks atualmente usados ​​por sua organização. Isso pode ser ISO para conformidade, PCI DSS para segurança de pagamento e benchmarks operacionais. Certamente podem ser usados, tempos de pesquisa, tempo médio de detecção, tempo médio de resposta, número de alertas fechados e assim por diante.

Uma análise moderna do SIEM muitas vezes reduzirá drasticamente o número de alertas gerados por um SIEM legado, por isso é importante na etapa de assessment escolher métricas cuidadosamente para avaliar com precisão o sucesso. É uma maneira diferente de pensar, já que os analistas estarão acostumados com a velha ideia de “mais alertas são melhores”. Mesmo que eles tenham sido inundados pelo volume de falso-positivo. A qualidade dos alertas e situações associadas apresentadas é muito mais importante que a quantidade e pode levar algum tempo para se adaptar a essa abordagem diferente.

Portanto os critérios de referência podem ser usados ​​para classificar os casos de uso de maneira semelhante a um mapa de calor. Assim sendo à medida que a migração avança, os gerentes da SOC podem ver primeiro muitos vermelhos por um curto período de tempo. Conforme a machine learning analisa os feeds de registro, mais cores ficarão amarelas, à medida que a análise amadurece, os verdes mostrarão boa parte da cobertura. Critérios de benchmark de codificação em cores mostram visualmente aos gerentes de SOC como o SIEM está alinhado com os objetivos de negócio abordados por cada caso de uso.

O ajuste é um aspecto importante para o benchmarking, que envolve a suplementação dos exercícios de ataque da Red Team usando o novo SIEM para testar as premissas do caso de uso. O teste ajudará a identificar onde os erros de configuração e outros problemas estão impedindo a detecção precisa. Em grande medida, um SIEM moderno usa análise para se ajustar principalmente.

Cronograma: O passo 7 normalmente leva de duas a quatro semanas.

Próximos passos

A última etapa estratégica da migração do SIEM está avaliando os próximos passos. Além disso SIEM herdado geralmente exige que os analistas SOC ajustem constantemente os limites e alertas para manter o monitoramento preciso. Por outro lado a migração para um novo SIEM com análise comportamental habilitada com o machine learning elimina os ajustes de regras. Isso permitirá que sua equipe de SOC se concentre no desenvolvimento de novos casos de uso à medida que as prioridades de negócios mudam.

Acima de tudo sugerimos uma rotação de todos os meses para revisar os casos de uso, determinar quais são úteis e quais podem precisar de ajustes adicionais. As simulações de ataque ajudarão a abordar melhorias para alcançar os objetivos de negócios com o novo SIEM. Se a sua organização não tiver capacidade interna do Red Team, considere recorrer a recursos externos, pois as simulações de ataque são essenciais para garantir a qualidade dos processos de segurança.

Por fim, recomendamos que sua organização use o modelo de migração SIEM de oito etapas como um processo contínuo. Consequentemente ajudará a garantir uma segurança sólida para sua empresa.

Cronograma: Avaliar os próximos passos é uma tarefa contínua em que o esforço vai aumentar e diminuir à medida que as circunstâncias mudam. Após a etapa de assessment , você deve estar atento a oportunidades de melhoria constante do processo.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.