8 passos para migrar seu SIEM – Etapa de preparação

8 Etapas - Etapa de preparação

Prioridades do SIEM

A etapa de preparação tem como objetivo definir quais a prioridades do projeto é algo crucial de determinante para que quando a migração for “concluída” ser possível definir se foi com sucesso. A migração pode envolver diversas áreas interessadas que possuem vínculo com o SIEM.,

O mais importante na etapa de preparação é proteger as “jóias da coroa” da organização, cujo comprometimento poderia resultar em danos consideráveis ​​ao negócio. Exemplos: propriedade intelectual, registros de clientes, registros financeiros, registros de funcionários, sistemas executando aplicativos críticos, redes, dispositivos de segurança e assim por diante.

A estrutura de gerenciamento de riscos da sua organização deve orientar a determinação de prioridades para a migração.Além disso as prioridades incluem conformidade com as diretrizes, regulamentos e estatutos relevantes do setor. Sugerimos que você envolva executivos relevantes e gerentes nesta fase para descobrir as prioridades de negócios (caso faça parte do escopo) para migração. Essas partes interessadas terão um grande interesse, pois suas funções geralmente são responsáveis ​​por TI e direcionar os resultados dos negócios.

A migração não requer necessariamente uma substituição por atacado. Talvez uma abordagem faseada seja melhor ou executar temporariamente o novo SIEM em paralelo com o antigo. Uma data de renovação da licença SIEM pendente também pode afetar sua decisão sobre quando deverá ser concluído o projeto. Você também precisa considerar o destino da migração do SIEM: local, uma nuvem pública, uma nuvem híbrida ou um software como serviço (SaaS).

Cronograma : Como resultado, a etapa 1 de preparação normalmente leva de duas a quatro semanas para identificar todas as partes interessadas e obter um consenso sobre suas principais questões e prioridades comerciais.

Casos de uso

A seleção de casos de uso para a migração do SIEM deve responder à pergunta: que problemas estamos tentando resolver com o novo SIEM? Considere os casos de uso em termos de prioridade de negócios. Como um evento impactaria o negócio? Com que frequência o caso de uso ocorre? Ignorar ou minimizar os casos de uso levará a resultados decepcionantes para a migração.

Por exemplo, em casos de uso típicos incluem proteção contra ameaças internas, identificar credenciais comprometidas, detecção de criação e gerenciamento de contas, infração na política interna, monitoramento de funcionários de alto risco…

É comum que um SIEM legado tenha 50, 100 ou até centenas de casos de uso. No entanto um novo SIEM fornece tecnologia que pode gerenciar esses casos de uso de maneira mais eficaz, reduzindo a necessidade de criar e manter regras de correlação ou aumentando a automação. A replicação de todos os casos de uso herdados pode ser desnecessária, pois a nova tecnologia pode eliminar a necessidade de gerenciar manualmente alguns cenários. Deverá ser migrado a necessidade dos casos de uso antigo para o novo SIEM, mas não necessariamente “CTRL+C CTRL+V”.

Os elementos para cada caso de uso devem abordar as pessoas (quem executará as tarefas), os processos (como o caso de uso será realizado) e as tecnologias (que aspectos o novo SIEM e suporte à infraestrutura de TI fornecerão). Além disso, considere o suporte para casos de uso específicos incluídos no novo SIEM. 

Cronograma : Como resultado, a etapa 2 de preparação normalmente leva de duas a quatro semanas para selecionar os casos de uso para o seu novo SIEM.

Escopo

Certamente o objetivo final de um SIEM é permitir que os analistas detectem rapidamente as ameaças de segurança e as corrijam.

Ter um SIEM que integra logs de dados de uma ampla variedade de produtos de TI, segurança e negócio é essencial para uma correção eficaz.

Por exemplo, cada caso de uso requer dados de uma lista de sistemas e aplicativos físicos e virtuais relacionados, como servidores, dispositivos de rede, firewalls, terminais, sistemas operacionais, aplicativos, bancos de dados, serviços de diretório, serviços de informações e outras infraestruturas relacionadas hospedadas em público, privado ou nuvens híbridas. Além disso, considere fontes de dados contextuais, como recursos humanos ou um banco de dados de gerenciamento de configuração.

O processo de definição de escopo inclui o alinhamento de dados essenciais de log de dispositivos e soluções de segurança, TI e negócio com cada caso de uso. Exemplos de escopos são:

  • Detectar ameaça interna;
  • Detectar credenciais comprometidas;
  • Atender alguma norma (PCI, SOX…);
  • Detectar anomalias;
  • Cyber segurança;
  • Fraudes;

Ou seja, a equipe de migração deve assegurar que os sistemas com os dados de log necessários existam para suportar cada caso de uso respectivo. Caso contrário, a equipe pode precisar priorizar novamente a ordem de implementação dos casos de uso.

Armazenamento

Verifique se os arquivos de log estão disponíveis para cada um dos ativos necessários. Os analistas do SOC nem sempre possuem sistemas que geram dados, portanto, pode ser necessária alguma negociação com os proprietários.

Portanto é muito importante determinar como e onde os dados de registro serão armazenados e por quanto tempo. O armazenamento é um enorme fator limitante para SIEMs herdados. Os SIEMs modernos estão lidando com essa armadilha com grandes quantidades de dados, às vezes a opção é serem hospedados na nuvem. Um grande benefício é que essas arquiteturas retornam resultados de pesquisa mais rápidos.

Por fim, as partes interessadas validarão que o modelo de preços de seu novo SIEM pode acomodar todos os dados que você precisa coletar dentro de um orçamento previsível.

Cronograma : Como resultado, a etapa 3 de preparação normalmente leva de quatro a oito semanas para mapear as fontes de dados apropriadas para os casos de uso do novo SIEM.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.