Мазмуну жашыруу
1 Google Булуттагы SIEM Миграциясы
2 Продукт маалыматы
3 Продукт колдонуу нускамалары
4 SIEM өлдү, жашасын SIEM
5 Улуу SIEM миграциясы башталды
6 Жаңы SIEM тандоо
7 SIEM миграциясы
8 Көп берилүүчү суроолор
9 Документтер / Ресурстар
9.1 Шилтемелер
10 Окшош билдирүүлөр

Google Cloud-логотиби

Google Булуттагы SIEM Миграциясы

Google-Cloud-SIEM-Migration-продукты

Продукт маалыматы

Өзгөчөлүктөрү:

  • Продукт аты: SIEM Миграция колдонмосу
  • Автор: Белгисиз
  • Жарыяланган Жыл: Белгиленген эмес

Продукт колдонуу нускамалары

  • Жаңы SIEM тандоо
    Ар бир сунуштун күчтүү жана алсыз жактарын ачууга жардам берүү үчүн өзүңүзгө жана командаңызга негизги суроолорду берүү менен баштаңыз. Ар бир SIEMдин суперкүчтөрүн тез аныктап, уюмуңуз кандайча алдыга жыла аларын пландаштырыңызtagалардын э.
  • Булуттагы SIEM
    SIEM дүйнөлүк масштабдагы инфраструктураны дүң баада камсыз кыла ала турган негизги булут кызмат көрсөтүүчүсү (CSP) тарабынан сунуш кылынарын карап көрүңүз. Булуттагы SIEM жайылтуу моделдери масштабдуу жана булуттагы жүктөрдү динамикалык башкарууга мүмкүндүк берет.
  • Интеллект менен SIEM
    SIEM сатуучусу жаңы жана пайда болуп жаткан коркунучтарды кутудан тышкары аныктоо үчүн үзгүлтүксүз фронттук коркунуч чалгынын сунуштай тургандыгын текшериңиз.

SIEM өлдү, жашасын SIEM

Эгер сиз биз сыяктуу болсоңуз, 2024-жылы коопсуздук маалыматы жана окуяларды башкаруу (SIEM) тутумдары дагы эле көпчүлүк коопсуздук операцияларынын борборлорунун (SOC) негизи болуп калганына таң калышыңыз мүмкүн. SIEM'дер ар дайым коркунучтарды тез жана натыйжалуу аныктоого, иликтөөгө жана жооп кайтарууга жардам берүү үчүн уюмуңуздан коопсуздук маалыматтарын чогултуу жана талдоо үчүн колдонулат. Бирок чындыгында азыркы заманбап SIEMлер 15+ жыл мурун курулган булуттук архитектура, колдонуучу субъектинин жана жүрүм-турумун талдоо (UEBA), коопсуздукту башкаруу, автоматташтыруу жана жооп кайтаруу (SOAR), чабуулдун үстүңкү башкаруусу пайда болгонго чейин анча деле окшошпойт. жана, албетте, AI, бир нече ат.
Мурдагы SIEM'лер көбүнчө жай, түйшүктүү жана колдонууга кыйын. Алардын эски архитектурасы көбүнчө чоң көлөмдөгү журнал булактарын сиңирүү үчүн масштабдашуусуна жол бербейт жана алар акыркы коркунучтарга жете албай же акыркы функцияларды жана мүмкүнчүлүктөрдү колдой алышпайт. Алар сиздин уюмуңуздун спецификалык талаптарын колдоо үчүн ийкемдүүлүктү сунуштабашы мүмкүн же бүгүнкү күндө көпчүлүк уюмдар үчүн реалдуу болгон көп булуттук стратегияга ылайыктуу болушу мүмкүн. Акыр-аягы, алар аванс алуу үчүн начар абалда болушу мүмкүнtagЖасалма интеллект (AI) сыяктуу акыркы технологиялык өнүгүүлөр.
Ошентип, кандайдыр бир башка аталыштагы SIEM жагымдуу угулса да, коопсуздук операцияларынын топтору ишене беришет
"коопсуздук операцияларынын платформалары" (же алар кандай аталышта болбосун) коркунучтарды аныктоо, иликтөө жана жооп берүү үчүн жакынкы келечекте.

Улуу SIEM миграциясы башталды

SIEM миграциясы жаңы эмес. Уюмдар учурдагы SIEMди сүйбөй калышты жана жылдар бою жаңы жана жакшыраак варианттарды издешти. Балким, көп учурда уюмдар SIEM миграциясы менен күрөшүүнүн татаалдыгына байланыштуу тынчсыздануулардан улам, начар иштеген жана/же өтө кымбат SIEM менен алар каалагандан узак убакытка чыдап келишкен.
Бирок акыркы айлар SIEM мейкиндигинде тектоникалык жылыштарды киргизди, аларды азыраак айтууга болбойт. SIEM пейзажы бир нече кыска жылдардан кийин толугу менен өзгөрөөрүнө эч кандай шек жок — рыноктун жаңы лидерлерин төрөп, SIEM-жерди ондогон жылдар бою башкарып келген “динозаврлардын” азайышын, балким, жок болушун көрүү (же “ eons” киберкоопсуздук жагынан). Бул окуялар, албетте, эски SIEM платформаларынан заманбап платформаларга миграцияны тездетет, көптөгөн уюмдар азыр көчүп кетүүнүн ордуна качан көчүү керек деген чындыкка туш болушат.

Бул жерде акыркы 9 айдагы негизги кадамдардын кыскача баяндамасы:

Google-Cloud-SIEM-Migration-fig- (1)

Учурдагы SIEM'иңиздеги кемчиликтерди аныктоо эң жакшы алмаштырууну тандап, ийгиликтүү миграцияны ишке ашырууга караганда алда канча оңой. SIEMди жайылтуудагы каталар технологиядан эле эмес, процесстерден (жана кээде адамдардан) келип чыгышы мүмкүн экенин белгилей кетүү маанилүү. Бул макала мына ушунда. Авторлор бир нече ондогон жылдар бою практиктер, аналитиктер жана сатуучулар катары жүздөгөн SIEM миграциясын көрүшкөн. Ошентип, келгиле, 2024-жылга карата эң мыкты SIEM миграциялык кеңештерин карап чыгалы. Биз бул тизмени категорияларга бөлүп, траншеялардан алган сабактарыбызды чачабыз.

Жаңы SIEM тандоо

Ар бир сунуштун күчтүү жана алсыз жактарын ачууга жардам берүү үчүн өзүңүзгө жана командаңызга негизги суроолорду берүү менен баштаңыз. Биз ар бир SIEMдин "супер күчүн" тез аныктоону жана уюмуңуз кандайча алдыга жыла аларын пландаштырууну сунуштайбызtagалардын э. Мисалы үчүнampле:

  • Булуттагы SIEM
    • SIEM дүйнөлүк масштабдагы инфраструктураны дүң баада камсыз кыла ала турган негизги булут кызмат көрсөтүүчүсү (CSP) тарабынан сунушталабы?
      Биздин тажрыйба көрсөткөндөй, алар ээлик кылбаган булуттарда иштеген SIEM провайдерлери мындай моделдер менен коштолгон кутулгус “маржа топтоосун” жеңүүдө кыйынчылыктарга туш болушат. Бул суроо ажырагыс наркы менен байланышкан.
      Булуттагы SIEM жайылтуу модели ошондой эле SIEMге жаңы коркунучтарга жооп иретинде масштабын жогорулатууга жана төмөндөтүүгө, ошондой эле уюмдун булуттагы иш жүктөөлөрүнүн динамикалык мүнөзүн башкарууга мүмкүндүк берет. Булут инфраструктурасы жана тиркемелери бир нече мүнөттүн ичинде кескин өсө алат. Булуттагы SIEM архитектурасы коопсуздук топторунун критикалык куралдарын чоңураак уюмдун муктаждыктары менен бирдей ылдамдыкта масштабда кылууга мүмкүндүк берет.
      Булуттагы SIEMлер булуттагы жумуш жүктөмдөрүн камсыз кылуу үчүн да жакшы жайгашкан. Алар булут кызматтарынан аз күтүү убакытта берилиштерди алууну камсыздайт жана булуттагы кеңири жайылган чабуулдарды аныктоого жардам берүү үчүн аныктоочу мазмун менен жөнөтүшөт.
  • Интеллект менен SIEM
    • SIEM сатуучусу жаңы жана пайда болуп жаткан коркунучтарды кутудан тышкары аныктоо үчүн фронттук коркунуч чалгынынын үзгүлтүксүз агымына ээби?
      Бул алтын булактар, адатта, жогорку деңгээлдеги инциденттерге жооп берүү практикасынан, массалык керектөөчү IaaS же SaaS булут сунуштарынын иштешинен же коопсуздук программалык продуктуларын же операциялык системаларды глобалдык орнотуу базаларынан келип чыгат.
      Коркунучтар боюнча чалгындоо уюмдар үчүн коопсуздук инциденттерин натыйжалуу аныктоо, аныктоо, иликтөө жана жооп берүү үчүн абдан маанилүү. Фронттук коркунучтар боюнча чалгындоо, өзгөчө, баалуу, анткени ал акыркы коркунучтар жана алсыздыктар жөнүндө реалдуу убакытта маалымат берет. Бул маалымат коопсуздук инциденттерин тез аныктоо жана артыкчылыктарын аныктоо, ошондой эле эффективдүү жооп кайтаруу стратегияларын иштеп чыгуу жана ишке ашыруу үчүн колдонулушу мүмкүн.
      Коркунучтарды реалдуу убакытта аныктоо жана ага жооп кайтаруу мүмкүнчүлүктөрүн жакшыртуу үчүн коопсуздук уюмдары коркунучтун чалгындоосун жана ага байланышкан маалымат линияларын коопсуздук операцияларынын иш процесстерине жана куралдарына үзгүлтүксүз интеграциялоону издеп жатышат. Айлануучу отургуч, көчүрүп чаптоо жана SIEM жана коркунуч интел булактарынын ортосундагы морт интеграциялар өндүрүмдүүлүктү кетирет жана алар команданын эффективдүүлүгүнө жана аналитиктин тажрыйбасына терс таасирин тийгизет.
  • Тандалган мазмуну менен SIEM
    • SIEM колдоого алынган талдоочулардын жана аныктоо эрежелеринин жана жооп аракеттеринин кеңири китепканасын сунуштайбы?
      Кеңеш: Кээ бир SIEM сатуучулар популярдуу маалымат каналдары үчүн талдоочуларды түзүү үчүн дээрлик өз колдонуучулар коомчулугуна же техникалык альянс өнөктөштөрүнө таянышат. Өнүгүп жаткан колдонуучулар коомчулугу маанилүү болгону менен, талдоо сыяктуу фундаменталдык мүмкүнчүлүктөрдү камсыз кылуу үчүн ага ашыкча таянуу көйгөй жаратат. Жалпы маалымат булактары үчүн талдоочулар түзүлүшү, сакталышы жана SIEM сатуучусу тарабынан түз колдоого алынышы керек. Аныктоо эрежесинин мазмунун карап жатканда ушундай мамилени колдонуңуз. Коомдоштуктун эрежелери абдан маанилүү, бирок сиз сатуучуңуздан сыналган, колдоого алынган жана үзгүлтүксүз өркүндөтүлгөн негизги аныктоолордун бекем китепканасын түзүп, кармап турушун күтүшүңүз керек. Жогорку сапаттагы, тандалып алынган коркунучтарды аныктоо уюмдар үчүн коопсуздук абалын эффективдүү башкаруу үчүн абдан маанилүү. Google SecOps жаңы жана пайда болуп жаткан коркунучтарды кутудан тышкаркы аныктоону камсыздайт, бул уюмдарга коопсуздук инциденттерин тез аныктоого жана аларга жооп берүүгө жардам берет.
  • AI менен SIEM
    • SIEM AIди камтыйт жана ал инновацияларды улантууга даярбы?
      SIEMдеги жасалма интеллекттин ролу дагы эле бир дагы сатуучу тарабынан толук түшүнүлө элек (бир аз ишке ашкан). Бирок, алдыңкы SIEMs бүгүнкү күндө AI тарабынан башкарылган материалдык өзгөчөлүктөргө ээ. Бул өзгөчөлүктөр издөөлөрдү жана эрежелерди билдирүү үчүн табигый тилди иштетүүнү, иштин автоматташтырылган жалпылоосун жана сунушталган жооп аракеттерин камтыйт. Көпчүлүк кардарлар жана тармактык байкоочулар коркунучтарды аныктоо жана каршылаштарды алдын ала талдоо сыяктуу функцияларды AI башкарган SIEM мүмкүнчүлүктөрүнүн айрым “ыйык дөбөлөрү” деп эсептешет. Эч бир SIEM бүгүнкү күндө бул мүмкүнчүлүктөрдү ишенимдүү сунуштайт. 2024-жылы жаңы SIEMди тандап жатканда, сатуучу бул трансформациялык мүмкүнчүлүктөр боюнча олуттуу прогресске жетишүү үчүн зарыл болгон ресурстарды жумшап жатабы же жокпу, ойлонуп көрүңүз.

Google Security Operations (мурдагы Хроника) бул Google Cloud тарабынан сунушталган булуттагы SIEM чечими. Ал уюмдарга журналдарды жана башка коопсуздук телеметриясын борборлоштуруп чогултууга, андан кийин реалдуу убакытта коопсуздук коркунучтарын аныктоого, иликтөөгө жана аларга жооп берүүгө жардам берүү үчүн иштелип чыккан. 

  • Коопсуздук коркунучтарын аныктоо жана артыкчылыктуу: Google SecOps'тун кутудан тышкаркы аныктоо эрежелери реалдуу убакытта коопсуздук коркунучтарын аныктайт жана аларга артыкчылык берет. Бул уюмдарга эң маанилүү коркунучтарга тез жана натыйжалуу жооп берүүгө жардам берет.
  • Коопсуздук инциденттерин иликтөө: Google SecOps коопсуздук инциденттерин иликтөө үчүн борборлоштурулган платформаны камсыз кылат. Бул уюмдарга далилдерди тез жана натыйжалуу чогултууга жана окуянын масштабын аныктоого жардам берет.
  • Коопсуздук инциденттерине жооп берүү: Google SecOps уюмдарга автоматташтырылган оңдоо сыяктуу коопсуздук инциденттерине жооп кайтарууга жардам берүү үчүн ар кандай куралдар менен камсыз кылат. Коркунучтарга аңдоочулар платформанын ылдамдыгын, издөө мүмкүнчүлүктөрүн жана колдонулган коркунуч чалгындоосун жаракалардан өтүп кеткен чабуулчуларды издөөдө баа жеткис деп табышат. Бул уюмдарга коопсуздук инциденттеринин таасирин тез жана натыйжалуу кармап турууга жана азайтууга жардам берет.
    Google SecOps бир катар артыкчылыктарга ээtagсалттуу SIEM чечимдерине караганда, анын ичинде:
  • Жасалма интеллект: Google SecOps Google'дун Gemini AI технологиясын коргоочуларга табигый тилди колдонуу менен секунданын ичинде чоң көлөмдөгү маалыматтарды издөөгө жана суроолорго жооп берүү, окуяларды жыйынтыктоо, коркунучтарга аңчылык кылуу, эрежелерди түзүү жана иликтөөлөрдүн контекстинин негизинде сунушталган иш-аракеттерди аткаруу аркылуу тезирээк чечим кабыл алууга мүмкүнчүлүк берет. Коопсуздук топтору ошондой эле жооп окуу китептерин оңой куруу, конфигурацияларды ыңгайлаштыруу жана мыкты тажрыйбаларды киргизүү үчүн Коопсуздук операцияларында Gemini колдоно алышат — бул терең тажрыйбаны талап кылган көп убакытты талап кылган тапшырмаларды жөнөкөйлөтүүгө жардам берет.
  • Applied Threat Intelligence: Google SecOps түпкүлүгүндө Google Threat Intelligence (GTI) менен интеграцияланат, ал VirusTotal, Mandiant Threat Intelligence жана ички Google Threat чалгындоо булактарын камтыган, кардарларга көбүрөөк коркунучтарды азыраак аракет менен аныктоого жардам берет.
  • Масштабдуулук: Google SecOps булутка негизделген чечим, ошондуктан ал Google булуту тарабынан сунушталган гипер масштабдуу булут инфраструктурасын өлчөмүнө карабастан, ар кандай уюмдун кубаттуулугун жана өндүрүмдүүлүгүн канааттандыруу үчүн колдоно алат.
  • Google Булут менен интеграция: Google SecOps Google Cloud Security Command Center Enterprise (SCCE) сыяктуу башка Google Cloud өнүмдөрү жана кызматтары менен тыгыз интеграцияланган. Бул интеграция уюмдарга коопсуздук операцияларын бирдиктүү, бирдиктүү платформада башкарууну жеңилдетет. Google SecOps GCP кызмат телеметриясы үчүн мыкты SIEM жана ошондой эле AWS жана Azure сыяктуу башка ири булут провайдерлери үчүн кутудан тышкары аныктоо мазмунун камтыйт.

Google SecOps ичинде Колдонмо коркунуч чалгындоо
Google SecOps коопсуздук топторуна автоматтык түрдө корреляцияланган жана коркунуч маалыматтары менен байытылган коопсуздук дайындарын башкарууга жана талдоо мүмкүнчүлүгүн берет. Коркунучтун чалгындоосун түздөн-түз SIEMиңизге интеграциялоо менен уюмдар:

  • Аныктоо жана триажды жакшыртуу: Коркунучтуу маалыматтар реалдуу убакытта зыяндуу аракеттерди аныктоого жардам бере турган эрежелерди түзүү үчүн түздөн-түз колдонулушу мүмкүн. Бул маалыматтар башка эскертүүлөргө контекстти кошуу жана эскертүүгө болгон ишенимди автоматтык түрдө тууралоо үчүн да колдонулат. Бул уюмдарга коопсуздук инциденттерин тез аныктоого жана текшерүүгө жана ресурстарын эң маанилүү коркунучтарга топтоого жардам берет.
  • Тергөө жана жооп кайтарууну жакшыртуу: Коркунучтун чалгындоосу коопсуздук иликтөөлөрүндө контекстти жана түшүнүктөрдү берүү үчүн колдонулушу мүмкүн. Бул аналитиктерге инциденттин түпкү себебин тез аныктоого жана жооп кайтаруунун эффективдүү стратегияларын иштеп чыгууга жана ишке ашырууга жардам берет.
  • Коркунуч пейзажынан алдыда болуңуз: Коркунучтарды чалгындоо уюмдарга акыркы коркунучтар жана алсыздыктар жөнүндө маалымат берүү менен коркунуч ландшафтынан алдыда болууга жардам берет. Бул маалымат коркунучка аңчылык кылуу жана коопсуздукту маалымдоо боюнча тренинг сыяктуу проактивдүү коопсуздук чараларын иштеп чыгуу жана ишке ашыруу үчүн колдонулушу мүмкүн.

Google SecOps ичинде коркунучтарды аныктоо
Google SecOps коркунучун аныктоо Google'дун коопсуздук топторунун фронттук коркунуч чалгындоосунун үзгүлтүксүз агымына негизделген. Бул чалгындоо реалдуу убакытта зыяндуу аракеттерди аныктай турган эрежелерди жана эскертүүлөрдү түзүү үчүн колдонулат. Google SecOps ошондой эле коопсуздук маалыматтарындагы шектүү үлгүлөрдү аныктоо үчүн жүрүм-турум аналитикасын жана тобокелдик баллын колдонот. Бул Google SecOps'ка салттуу аныктоо эрежелери менен аныкталбаган коркунучтарды аныктоого мүмкүндүк берет.

Жогорку сапаттагы, тандалып алынган коркунучтарды аныктоонун мааниси айкын. Google SecOps колдонгон уюмдар төмөнкүлөрдөн пайдалана алышат:

  • Жакшыртылган аныктоо жана триаж: Google SecOps уюмдарга коопсуздук инциденттерин тез аныктоого жана текшерүүгө жардам берет. Бул уюмдарга өз ресурстарын эң маанилүү коркунучтарга бурууга мүмкүндүк берет.
  • Жакшыртылган иликтөө жана жооп: Google SecOps коопсуздук иликтөөлөрүндө контекстти жана түшүнүктөрдү бере алат. Бул аналитиктерге инциденттин түпкү себебин тез аныктоого жана жооп кайтаруунун эффективдүү стратегияларын иштеп чыгууга жана ишке ашырууга жардам берет.
  • Коркунуч пейзажынан алдыда болуңуз: Google SecOps акыркы коркунучтар жана алсыздыктар жөнүндө маалымат берүү менен уюмдарга коркунуч ландшафтынан алдыда турууга жардам берет. Бул маалымат коркунучка аңчылык кылуу жана коопсуздукту маалымдоо боюнча тренинг сыяктуу проактивдүү коопсуздук чараларын иштеп чыгуу жана ишке ашыруу үчүн колдонулушу мүмкүн.

SIEM миграциясы

Ошентип, сиз кадам жасоону чечтиңиз. Миграцияга болгон мамилеңиз талап кылынган мүмкүнчүлүктөрдү сактап калуу жана жаңы платформадан мүмкүн болушунча тезирээк баалуулуктарды алуу үчүн маанилүү. Бул приоритеттүүлүккө келет. Кадимки соодалашуу бул SIEM миграциясы иликтөөгө, аныктоого жана жооп кайтарууга болгон мамилеңизди модернизациялоо мүмкүнчүлүгүн көрсөткөнү менен, көптөгөн SIEM миграциялары ийгиликсиз болуп, уюмдар "океанды кайнатууга" аракет кылышат.

Ошентип, бул жерде ийгиликтүү SIEM миграцияңызды пландаштыруу жана ишке ашыруу боюнча эң жакшы кеңештерибиз:

  • Миграция максаттарыңызды аныктаңыз. Бул ачык угулат, бирок сиздин SIEM миграциясы узак процесс, андыктан сиз каалаган натыйжаларды аныктоо (мисалы, коркунучту тезирээк аныктоо, шайкештик боюнча отчеттуулукту жеңилдетүү, көрүнүүнү жакшыртуу, аналитиктин түйшүгүн азайтуу, ошону менен бирге баасын төмөндөтүү) ийгиликке байланыштуу.
  • Миграцияны үй тазалоо мүмкүнчүлүгү катары колдонуңуз. Бул тазалоо үчүн жакшы убакыт аныктоо эрежелери жана журнал булактары жана сиз колдонгондорду гана көчүрүңүз. Бул дагы жакшы убакытview Сиздин эскертүү жана тюнинг процесстериңизди жана алардын жаңыртылганын текшериңиз.
  • Ар бир журнал булагын көчүрбөңүз. Жаңы SIEMге өтүү - бул шайкештик же коопсуздук себептеринен уламбы, сизге кандай журналдар керек экенин чечүүгө сонун мүмкүнчүлүк. Көптөгөн уюмдар убакыттын өтүшү менен журнал маалыматтарынын зор көлөмүн топтойт, жана алардын баары сөзсүз түрдө баалуу же актуалдуу боло бербейт. Таржымал булактарыңызды көчүрүүдөн мурун баалоого убакыт бөлүү менен, сиз SIEM'иңизди иретке келтирип, коопсуздук жана шайкештик муктаждыктарыңыз үчүн эң маанилүү болгон маалыматтарга көңүл бура аласыз.
  • Бардык мазмунду көчүрбөңүз. Учурдагы аныктоо мазмунуңузду, эрежелериңизди, эскертүүлөрүңүздү, башкаруу панелдериңизди, визуализацияңызды жана окуу китептериңизди жаңы SIEMге көчүрүү дайыма эле зарыл боло бербейт. Учурдагы аныктоо камтуууңузду баалоого убакыт бөлүңүз жана керектүү эрежелердин миграциясына артыкчылык бериңиз. Сиз эрежелерди консолидациялоо, телеметриянын жоктугунан же туура эмес логикадан улам эч качан иштебей турган эрежелерди же кутудан тышкары мазмун менен жакшыраак иштетилген эрежелерди жок кылуу мүмкүнчүлүктөрүн табасыз. Бирден-бир эреже миграциясын жактаган сатуучуга же жайылтуу боюнча өнөктөшкө суроо бериңиз.
  • Мазмундун алгачкы миграциясына артыкчылык бериңиз. Ар бир конкреттүү колдонуу учуру үчүн талап кылынган журнал булактары жана байытуулар болгондо дароо аныктоо мазмунун көчүрүүнү баштаңыз. Бул маалыматка негизделген ыкма, булактарды колдонуу учурлары менен шайкеш келтирип, оптималдуу эффективдүүлүк жана натыйжалар үчүн параллелдүү миграция аракеттерин жүргүзүүгө мүмкүндүк берет.
  • Контентти аныктоонун миграциясы адам жетектеген процесс. Эски мазмунуңузду илхам катары колдонуп, аныктоо мазмунун (эрежелер, эскертүүлөр, аспаптар такталары, моделдер ж.б.) (негизинен) нөлдөн баштап кайра курууга даярданыңыз. Бүгүнкү күндө эрежелерди бир SIEM платформасынан экинчисине автоматтык түрдө которуунун эч кандай акылга сыйбаган ыкмасы жок. Кээ бир сатуучулар синтаксис котормочуларын сунуштаса да, алар жалпысынан эң сонун которулган эреже, издөө же башкаруу тактасына караганда жакшы секирүү пунктуна алып келет. Сиз максималдуу алдын ала алышыңыз керекtagбул куралдардын э, бирок алар панацея эмес экенин түшүнүшөт.
  • Аныктоо мазмуну көптөгөн булактардан келет. аныктоо камтуу муктаждыктарын талдоо, андан кийин керек болсо, аныктоо пайдалануу учурларды кабыл же түзүү. Сиздин SIEM сатуучуңуз мүмкүн болсо, сиз ар дайым колдонушуңуз керек болгон кээ бир мазмунду берет. Коомчулук эрежелеринин репозиторийлерин жана үчүнчү тараптын мазмунун аныктоочу провайдерлерди да карап көрүңүз. Керек болгондо, өз эрежелериңизди жазыңыз жана көпчүлүк эрежелерди эстеп алыңыз, алардын келип чыгышына карабастан, уюмуңуздун өзгөчө чөйрөсүнө ылайыкташтырылышы керек.
  • Реалдуу миграциялык графикти иштеп чыгуу. Бул маалыматтарды берүү, тестирлөө, жөндөө, окутуу жана потенциалдуу кайталанууларды эсепке алууну камтыйт. Миграциянын так аныкталган планы тобокелдиктерди аныктоого жана азайтууга жардам берет жана миграциянын ийгиликтүү аякташын камсыздайт. План деталдуу мөөнөттү, милдеттердин тизмесин, ресурстарды жана бюджетти камтышы керек. SIEM миграциясы сыяктуу ири долбоорлор этаптарга бөлүнүшү керек экенин түшүнүңүз.
  • Сыноо. Биз SIEM жана аныктоо мазмунуңузду сынап көрүү практикасын сунуштайбыз, алар сиздин аныктооңузга түрткү бере турган маалыматтарды үзгүлтүксүз киргизүү, талдоону текшерүү жана аныктоодон окуяга жана жооп окуу китебине маалымат агымын текшерүү. SIEM миграциясы - бул катаал режимди кабыл алуу үчүн эң сонун убакыт аныктоо инженердик программасы бул сыяктуу сыноолорду камтыйт.
  • Эски жана жаңы куралдарды иштете турган өткөөл мезгилге даярданыңыз. Үзгүлтүккө учураган “жырт жана алмаштыруу” ыкмасынан алыс болуңуз. Этап-этабы менен көчүрүү, анда сиз журнал булактарын көчүрүп, учурларды колдоносуз. Ошондой эле, эски SIEMдеги маалыматтарды жаңысына кайра алуу жөнүндө эки жолу ойлонуп көрүңүз. Кээ бир учурларда, сизде тарыхый маалыматтарга мүмкүнчүлүк берүү үчүн мурунку SIEMди узак убакытка иштетүү мүмкүнчүлүгүнө ээ болушуңуз мүмкүн.
  • Командаларыңызды иштетиңиз. Сиздин аналитиктер жаңы системаны колдоно албаса, SIEM миграциясы ишке ашпай калат. Жакшы миграция планы командаларыңыз үчүн терең мүмкүнчүлүктөрдү камтыйт. Инженерлерди маалыматтарды киргизүү жана талдоо, ишти башкаруу/тергөө/триаж боюнча аналитиктерди окутуу, аномалияларды аныктоо/издөө боюнча коркунуч аңчыларын жана эрежелерди жазуу боюнча инженерлерди аныктоо жөнүндө ойлонуңуз. Убакыт иштетүү үчүн маанилүү болуп саналат. Бул көндүмдөр талап кылынганга чейин окутуунун ордуна, миграциянын белгилүү этаптарына киришкен кызматкерлерди үйрөтүү эң жакшы.
  • Жардам алыңыз! Эгер сиз практик же лидер катары бактылуу болсоңуз (же балким, бактысыз болсоңуз, анда сиз карьераңызда бир же эки SIEM миграциясынан өткөн чыгарсыз. Муну ондогон, жүздөгөн жолу жасаган адистерден жардам сурап эмне үчүн болбосун? Сатуучунун профессионалдык кызматтары жана/же квалификациялуу өнөктөштөрдөн консалтинг топтору эң сонун тандоо. SIEM миграциясы негизинен адамга багытталган аракеттер.

Google-Cloud-SIEM-Migration-fig- (2)

Негизги процесс: Жайгаштыруу өнөктөшүн тандаңыз
Эч бир чечим SIEM миграциясынын акыркы ийгилигине жайылтуу боюнча өнөктөштү тандоого караганда көбүрөөк таасир эте албайт. SIEM платформалары масштабдуу, татаал, ишкана системалары. жалгыз барууга аракет кылба; көп миграцияны башынан өткөргөн жайылтуу өнөктөшү менен карманыңыз.

Жайгаштыруу өнөктөшү жаңы SIEM сатуучусунун профессионалдуу кызматтары болушу мүмкүн. Бирок, миграцияны жүргүзүү үчүн үчүнчү тараптын өнөктөшүн тандоо кеңири таралган. SIEM миграциясы адам жетектеген аракет экенин унутпаңыз. Жаңы SIEMде сертификаттары бар өнөктөштү жана көптөгөн шилтеме берүүчү өнөктөштөрдү тандоо эң жакшы. Ошондой эле, алар сиз көчүп жаткан SIEM боюнча тажрыйбага ээ болсо жардам берет. Шилтемелерден тышкары, жаңы SIEM менен өнөктөшүңүздүн тажрыйба деңгээлин аныктоонун акылдуу жолу - бул команда активдүү салым кошкон-болбогонун билүү үчүн жамааттык форумдарды текшерүү. Авторлордун пикири боюнча, жогорку деңгээлдеги өнөктөш персонал ийгиликтүү SIEM миграциясы менен байланышат. SIEM миграциясынын техникалык биттеринен жана байттарынан тышкары, сиз өзүңүздүн тармактык вертикалыңызда, же шайкештик чөйрөңүздө же сиздин аймак, же үчөө тең! Адвандан тил көндүмдөрүн жана ресурстарын издесеңиз болотtagубакыт алкактары. Ошондой эле сиз SIEMди сиз үчүн иштеткен же уюмуңуздун SIEMди жарым-жартылай же толугу менен аутсорсингге ала турган башкарылган коопсуздук кызматын камсыздоочу катары окшош натыйжаларды берген өнөктөштөрдү издесеңиз болот.

Негизги процесс: Учурдагы конфигурацияны жана колдонуу учурларын документтештирүү
SIEM жайылтуулары, адатта, кеңейет, колдонуунун узактыгы жана татаалдыгы боюнча туруктуу өсүүдө. Аз же такыр документтерге даярданыңыз. SIEMдин баштапкы конфигурациясын жана ыңгайлаштыруусун аткарган персонал көп учурда жок болот деп күтөбүз. Миграция процессинин башында конфигурацияны жана мүмкүнчүлүктөрдү кылдат документтештирүү ийгилик менен ийгиликсиздиктин ортосундагы айырманы билдирет.

  • SIEM колдонгон инсандыкты жана кирүү башкарууну документтештириңиз. Сиз, албетте, маалыматтарга жана функцияларга кээ бир ролго негизделген мүмкүнчүлүктү сактап калышыңыз керек. Башка жагынан алганда, миграция - бул көпчүлүк уюмдарда табигый түрдө пайда болгон мүмкүнчүлүктөрдү талдоо жана чечүү мүмкүнчүлүгү. Сиз ошондой эле миграция процессин аутентификация/авторизация ыкмаларын модернизациялоо мүмкүнчүлүгү катары карасаңыз болот, анын ичинде корпоративдик стандарттар менен идентификацияны бириктирүү жана көп факторлуу аутентификацияны ишке ашыруу.
  • Чогултуп жаткан маалымат түрлөрүнүн аталыштарын жазыңыз. Кээ бир SIEM бул аталыштарды "sourcetype" же "logtype" деп атаарын эске алыңыз. Ар бир маалымат түрүнүн канча маалымат агып жатканын метрика катары гигабайт/күнгө тартып алыңыз. Ар бир маалымат булагы үчүн маалымат түтүгүн документтештириңиз (агентке негизделген, API сурамы, web илгич, булут чакасынын жутулушу, сиңирүү API, HTTP угуучу ж.б.) жана SIEM талдоочу конфигурациясын бардык ыңгайлаштыруулар менен бирге тартып алыңыз.
  • Сакталган издөөлөрдү, башкаруу тактасынын аныктамаларын жана аныктоо эрежелерин чогултуңуз. Көптөгөн SIEMтерде издөө таблицалары сыяктуу туруктуу маалыматтарды сактоо механизмдери бар. Булар кантип толтурулуп жана колдонулуп жатканын түшүнүп, документтештириңиз.
  • Тышкы системалар менен интеграциянын инвентаризациясын жасаңыз. Көптөгөн SIEM'дер ишти башкаруу системалары, реляциялык маалымат базалары, кабарлоо кызматтары (электрондук почта, SMS ж.б.) жана коркунуч чалгындоо платформалары менен интеграцияланат.
  • Ойнотуу китептери, ишти башкаруу шаблондору жана буга чейин документтештириле элек бардык активдүү интеграциялар сыяктуу жооп мазмунун тартып алыңыз.

Бул маанилүү техникалык деталдарды чогултуудан тышкары, интервьюга убакыт бөлүү абдан маанилүүview иштеп жаткан SIEM колдонуучулары алардын иштөө процесстерин түшүнүшөт. Алар SIEMди кантип колдонорун, SIEMге кандай стандарттык операциялык процедуралар таянарын сураңыз. Коопсуздуктан тышкары кайсы командалар SIEMди колдонушу мүмкүн деген сыяктуу кеңири суроолорду берүү да маанилүү. Мисалы үчүнample, SIEMге таянуу үчүн комплаенс топторунун же IT операцияларынын кызматкерлери сейрек эмес. Бул колдонуу учурларын камтыбай коюу, кийинчерээк миграция процессинде күтүлбөгөн күтүүлөргө алып келиши мүмкүн.

Негизги процесс: Log Source Migration
Журнал булагын көчүрүү маалымат булактарын эски SIEMден жаңы SIEMге жылдырууну камтыйт. Бул процесс топтолгон учурдагы конфигурациянын документтерине көз каранды Процесс: Учурдагы конфигурацияны жана колдонууну документтештирүү бөлүм.

Төмөнкү кадамдар адатта лог булагын көчүрүү процессине кирет:

  1. Ачылыш жана инвентаризация: Биринчи кадам - ​​азыркы учурда эски SIEM тарабынан жуулуп жаткан журнал булактарынын баарын табуу жана инвентаризациялоо. Бул ар кандай ыкмаларды колдонуу менен жасалышы мүмкүн, мисалы reviewSIEM конфигурациясын files же API'лерди жана тиешелүү куралдарды колдонуу.
  2. Приоритеттүүлүк: Журнал булактары табылгандан жана инвентаризациялангандан кийин, алар миграция үчүн артыкчылыктуу болушу керек. Бул журнал булагы менен шартталган аналитика, маалыматтардын көлөмү, маалыматтардын критикалыклыгы, шайкештик талаптары жана миграция процессинин татаалдыгы сыяктуу бир катар факторлордун негизинде жүргүзүлүшү мүмкүн.
  3. Миграцияны пландаштыруу: Журнал булактарына артыкчылык берилгенден кийин, миграция планы иштелип чыгышы керек.
  4. Миграциянын аткарылышы: Миграция процесси андан кийин планга ылайык жүргүзүлүшү мүмкүн. Бул жаңы SIEMде каналдарды конфигурациялоо, агенттерди орнотуу, API конфигурациялоо ж.б. сыяктуу ар кандай тапшырмаларды камтышы мүмкүн.
  5. Сыноо жана текшерүү: Миграция аяктагандан кийин, журналдын маалыматтары туура кабыл алынып жатканын текшерүү жана текшерүү маанилүү. Муну унчукпай калган маалымат булактары үчүн эскертүүлөрдү конфигурациялоо мүмкүнчүлүгү катары колдонуңуз.
  6. Документтер: Акыр-аягы, жаңы журнал булагы конфигурациясын документтештирүү маанилүү.

Негизги процесс: Миграцияны аныктоо жана жооп берүү мазмуну
SIEM аныктоо жана жооп берүү мазмуну эрежелерден, издөөлөрдөн, окуу китептеринен, башкаруу такталарынан жана башка конфигурациялардан турат, алар сиздин SIEM эскертмелериңизди жана ал аналитиктерге ал эскертүүлөрдү башкарууга кандайча жардам берерин аныктайт. Туура конфигурацияланган мазмунсуз, SIEM жөн гана издөөнүн кооз жолу. Бул “кымбат grep” – бул терминди бир нече жыл мурун авторлордун кесиптештери ойлоп тапкан. SIEM мазмуну уюмуңуздун ачылыш камтуусун аныктоодо негизги ролду ойнойт.

  • Тактоо эрежелери коопсуздук инциденттерин аныктоо үчүн колдонулат. Коопсуздук коркунучтарынын катышуучулары жана алар үчүн жалпы болгон тактика, ыкмалар жана процедуралар (ТТП) жөнүндө терең билими бар аныктоо инженерлери аларды жазышат. Аныктоо эрежелери журнал маалыматтарында бул TTPлерди көрсөткөн үлгүлөрдү издейт. Аныктоо эрежелери көбүнчө ар кандай журнал булактарын бириктирип, коркунучтун чалгындоо маалыматтарын колдонот.
  • Жооп ойноо китептери коопсуздук эскертүүлөрүнө жооп берүүнү автоматташтыруу үчүн колдонулат. Алар эскертмелерди жөнөтүү, бузулган хостторду изоляциялоо, эскертүүлөрдү контексттик маалыматтар/коркунучтун чалгындоосу менен байытуу жана оңдоо скрипттерин иштетүү сыяктуу тапшырмаларды камтышы мүмкүн.
  • Куралдар такталары коопсуздук маалыматтарын визуализациялоо жана коопсуздук инциденттеринин абалын көзөмөлдөө үчүн колдонулат. Алар уюмдун жалпы коопсуздук абалын көзөмөлдөө жана тенденцияларды жана үлгүлөрдү аныктоо үчүн колдонулушу мүмкүн.
  • Жаңы аныктоо жана жооп берүү мазмунун иштеп чыгуу итеративдик процесс. SIEMге үзгүлтүксүз мониторинг жүргүзүү жана зарылчылыкка жараша мазмунга оңдоолорду киргизүү маанилүү. SIEM миграциясы - код катары аныктоо (DaC) сыяктуу ыкмаларды колдонуу менен процесстериңизди жакшыртуу үчүн эң сонун убакыт.

Негизги процесс: Окутуу жана иштетүү
SIEM миграциясында көп учурда көңүл бурулбай калган процесс бул колдонуучуларды окутуу. SIEM, балким, коопсуздук операциялары тобу колдонгон эң маанилүү жалгыз курал. Алардын аны эффективдүү жана жемиштүү колдонуу жөндөмдүүлүгү миграциянын ийгилигинде чоң роль ойнойт жана алардын сиздин уюмуңузду коргоо жөндөмдүүлүгү. Окутуу мазмунун жана жеткирүү үчүн SIEM провайдериңизге жана жайылтуу өнөктөшүңүзгө ишениңиз. Бул жерде сиздин командаларыңыз иштетилиши керек болгон темалардын кыскача тизмеси.

  • Түрмөктү алуу жана талдоо журналы
  • Издөө / Тергөө
  • Case Management
  • Эреженин автору
  • Куралдар тактасын иштеп чыгуу
  • Playbook / Автоматташтыруу

Корутунду

  • Акыр-аягы, эски SIEMден заманбап чечимге өтүү сөзсүз болот. Кыйынчылыктар коркунучтуу болуп көрүнгөнү менен, жакшы пландаштырылган жана аткарылган миграция коркунучтарды аныктоодо, жооп берүү мүмкүнчүлүктөрүндө жана жалпы коопсуздук абалында олуттуу жакшыртууга алып келиши мүмкүн.
  • Жаңы SIEMди тандоону кылдаттык менен карап чыгуу, булуттагы жергиликтүү архитектуранын күчтүү жактарын колдонуу, коркунучтардын өркүндөтүлгөн чалгындоосун камтуу жана AI башкарган функцияларды колдонуу менен уюмдар коопсуздук топторуна дайыма өнүгүп жаткан коркунучтардан активдүү коргонууга мүмкүнчүлүк бере алышат. Ийгиликтүү миграция процесси кылдат пландаштырууну, комплекстүү документтерди, стратегиялык журнал булагы жана мазмунду көчүрүү, кылдат тестирлөө жана колдонуучуну ар тараптуу окутууну камтыйт.
  • Тажрыйбалуу жайгаштыруу адистери менен өнөктөштүк татаалдыктардан өтүүдө жана жылмакай өтүүнү камсыз кылууда баа жеткис болушу мүмкүн. Үзгүлтүксүз өркүндөтүү жана аныктоо инженериясына басым жасоо менен уюмдар толук пайдалана алышат
  • алардын жаңы SIEM потенциалын жана келечектеги жылдар бою алардын коопсуздук коргонуусун бекемдөө.

Кошумча окуу

Көбүрөөк маалымат алуу үчүн кириңиз cloud.google.com

Көп берилүүчү суроолор

С: Улуу SIEM Миграция колдонмосунун максаты эмне?
Ж: Колдонмо уюмдарга эскирген SIEM чечимдеринен коркунучтарды аныктоонун жана ага жооп кайтаруунун жаңы, натыйжалуураак варианттарына өтүүгө жардам берүүнү көздөйт.

С: Булуттагы SIEMден кантип пайда алам?
A: Булуттагы SIEM'дер архитектурасынын жана мүмкүнчүлүктөрүнүн аркасында булуттагы жумуш жүктөрү үчүн масштабдуулукту, үнөмдүүлүктү жана эффективдүү коопсуздукту камсыз кылат.

Документтер / Ресурстар

Google Булуттагы SIEM Миграциясы [pdf] Instructions
SIEM Миграция, Миграция

Шилтемелер

Окшош билдирүүлөр

  • JBL Google Assistant Instructions
    JBL Google Assistant Instructions

    JBL Google Assistant Instructions a. Google Жардамчыны орнотуу үчүн гарнитураңызды мобилдик түзмөгүңүзгө туташтырыңыз…

  • PDW Cloud Cap CO2 Inflator өзгөчөлөнгөн
    PDW Cloud Cap CO2 Inflator Instructions

    PDW Cloud Cap CO2 Inflator Tip Жай жүрүңүз. Алгач CO2дин кыскача жарылуусун гана чыгарыңыз…

  • Coolmay-Cloud-Account өзгөчөлөнгөн
    Coolmay Cloud Account Instructions

    Coolmay Cloud аккаунту Coolmy Cloud 1. Coolmay Cloud 2 аккаунтун каттаңыз. Coolamy Cloud Platform Coolmay байланыштырат…

  • Valentine Systems Cloud Softphone App - Өзгөчөлөнгөн сүрөт
    Valentine Systems Cloud Softphone Колдонмо нускамалары

    Мобилдик колдонмо нускамалары КОЛДОО ҮЧҮН БИЗГЕ БАЙЛАНЫШ:631-862-1339 Бул документти компьютериңизде ачышыңыз керек, андыктан…

Комментарий калтырыңыз

Сиздин электрондук почта дарегиңиз жарыяланбайт. Талап кылынган талаалар белгиленген *