8 passos para migrar seu SIEM – Etapa de execução

 Etapas para migrar o SIEM legado - etapa de preparação

Log Sources

A etapa de execução ajuda a configurar fontes de log (log source) é um processo importante. Isso envolve muito mais do que simplesmente colocar logs em scripts de configuração. Uma opção para o sucesso da etapa de execução é montar uma equipe com habilidades de configuração, pois essa tarefa pode exceder os recursos dos analistas existentes. Seu novo provedor de SIEM pode fornecer assistência, se necessário.

Enquanto isso na configuração geralmente envolve três etapas; em primeiro lugar é ativar a ingestão de arquivos de log, o que pode exigir a criação de infraestrutura para garantir que os arquivos de log possam entrar no SIEM e que cada campo de dados seja identificado corretamente.

Em seguida, você pode precisar criar campos específicos para analisar cada informação usada no arquivo de log para detecção de SIEM. Os arquivos de log e as nomenclaturas nem sempre são claros, portanto a criação de campos customizados podem envolver algum trabalho de detetive. Alguns provedores de SIEM exigem que você faça esse trabalho sozinho ou cobrará mais para fazer isso por você.

Logo depois de esclarecer os campos, mova o banco de dados SIEM herdado dos arquivos de log para o novo SIEM. Isso implicará a colaboração com as equipes de armazenamento, backup, operações de TI e conformidade. Os SIEMs modernos são capazes de ingerir e usar quantidades muito maiores de dados, na nuvem, se isso for desejado.

Se a sua migração implicar a execução temporária do SIEM legado em paralelo, as fontes dos arquivos de log precisarão simultaneamente fornecer dados aos sistemas antigo e novo em paralelo ou em sequência. Por outro lado a colaboração com os respectivos proprietários de fontes de log (log source) e infraestrutura de TI relacionada será necessária para facilitar os feeds duplos de log. A manutenção de feeds inclui a identificação de sistemas que caem ou novos sistemas que são adicionados, mas não alimentam logs no SIEM.

Cronograma: O passo 4 é um dos mais longos em uma migração do SIEM; Pode demorar 2-6 meses. Atrasos na obtenção de terceiros para configurar os feeds são a principal razão para exigir esse tempo.

Conteúdo

Enfim, treine os analistas de SOC na metodologia do novo SIEM se você estiver migrando da dependência exclusiva de regras que acionam alertas para modelos construídos usando análise comportamental baseada em machine learning. Frequentemente a análise comportamental acelera a detecção, fornece resultados mais precisos e permite uma resposta rápida e precisa a incidentes críticos.

Seus analistas do SOC precisarão de ajuda para entender quais recursos o novo SIEM fornece. Como por exemplo:

  • Identifica os eventos mais importantes que requerem investigação;
  • Fornece um painel de apontar e clicar para simplificar e estruturar o trabalho diário;
  • Fornece relatórios para auditoria e conformidade.

Bem como a parte da preparação do conteúdo, a equipe de migração precisará garantir que o novo painel, relatórios e sistema de alertas do SIEM atendam aos requisitos dos casos de uso selecionados para migração. Modifique relatórios, se necessário, para corresponder aos novos requisitos de caso de uso.

Os executivos estarão ansiosos para garantir que o novo SIEM atenda aos requisitos de conformidade, que variam de acordo com o setor da empresa. O gerente de risco da sua organização pode fornecer requisitos específicos.

Cronograma : O passo 5 normalmente leva de 2 a 8 semanas. O intervalo de tempo estendido é principalmente devido à escolha de casos de uso sendo implementados, pois alguns são mais complexos do que outros.

Processos Operacionais

Obter bons resultados com o novo SIEM exigirá que os analistas do SOC ajustem seus processos operacionais diários. Os analistas querem especialmente saber o que precisam aprender para administração do dia a dia. No entanto um SIEM moderno geralmente tem uma interface “amigável” que alivia a necessidade de controles de linha de comando.

Um ponto crítico de entendimento é como o novo sistema de alerta e resposta do SIEM varia em comparação ao SIEM legado. Um novo SIEM deverá reduzir exponencialmente o número de falsos positivos, mas exigirão ações de resposta, ideal já realizar tal entendimento já na etapa de execução.

Determine quais analistas do SOC são apropriados para novas operações do SIEM. Além disso a facilidade de uso de um SIEM moderno permite que os analistas de Nível 1 façam muitas coisas que um analista de Nível 2 experiente tecnicamente precisaria fazer com um SIEM legado. Ironicamente, resultados imprecisos produzidos por SIEMs legados muitas vezes atrapalham até mesmo os analistas seniores. Migração para um SIEM moderno pode melhorar a produtividade de todos!

Produtividade

Falando de produtividade, outro importante realinhamento implica em expectativas de produtividade para os analistas do SOC. Uma consulta de SIEM legada geralmente requer horas para obter resultados de pesquisa, enquanto os resultados de um SIEM moderno podem aparecer em apenas alguns minutos. Além disso, esse recurso, juntamente com os playbooks de resposta instantânea e linhas de tempo criadas por máquina, pode aumentar imediatamente a produtividade geral dos analistas do SOC e permitir que eles se concentrem em problemas de maior prioridade.

No entanto a equipe de migração precisará revisar e ajustar os processos operacionais e seus manuais/procedimentos definidos para a fase inicial da migração. Um componente crítico para automatizar elementos de playbooks de resposta instantânea são as integrações com tecnologias terceiras para orquestrar ações.

Finalmente, a equipe de migração deve documentar novos processos de SIEM para analistas, auditores e outras partes interessadas do SOC. Definitivamente, não é uma tarefa favorita do implementador, mas é uma que pagará grandes dividendos após a migração e um ponto importante na etapa de execução.

Cronograma: O passo 6 pode levar apenas duas semanas para aprender como usar um novo SIEM. No entanto, pode levar muito mais tempo para alterar hábitos e processos que foram formados usando o SIEM herdado. Espere até 4 meses antes que novos processos operacionais sejam totalmente definidos e internalizados.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.