Migrasi SIEM Google Cloud

Informasi Produk

Spesifikasi:

• Nama Produk: Panduan Migrasi SIEM
• Pengarang: Tidak dikenal
• Diterbitkan Tahun: Tidak ditentukan

Petunjuk Penggunaan Produk

• Memilih SIEM Baru
  Mulailah dengan bertanya pada diri sendiri dan tim Anda beberapa pertanyaan kunci untuk membantu mengungkap kekuatan dan kelemahan setiap penawaran. Identifikasi dengan cepat setiap kekuatan super SIEM dan rencanakan bagaimana organisasi Anda dapat mengambil kemajuantage dari mereka.
• SIEM berbasis cloud
  Pertimbangkan apakah SIEM ditawarkan oleh penyedia layanan cloud (CSP) utama yang dapat menyediakan infrastruktur berskala dunia dengan harga grosir. Model penerapan SIEM cloud-native memungkinkan skalabilitas dan manajemen beban kerja cloud yang dinamis.
• SIEM dengan Intelijen
  Periksa apakah vendor SIEM menawarkan intelijen ancaman garis depan yang berkelanjutan untuk mendorong deteksi langsung terhadap ancaman baru dan yang sedang berkembang.

SIEM sudah mati, hidup SIEM

Jika Anda seperti kami, Anda mungkin terkejut bahwa, pada tahun 2024, sistem informasi keamanan dan manajemen peristiwa (SIEM) masih menjadi tulang punggung sebagian besar pusat operasi keamanan (SOC). SIEM selalu digunakan untuk mengumpulkan dan menganalisis data keamanan dari seluruh organisasi Anda untuk membantu Anda mengidentifikasi, menyelidiki, dan merespons ancaman dengan cepat dan efektif. Namun kenyataannya SIEM modern saat ini hanya memiliki sedikit kemiripan dengan SIEM yang dibangun 15+ tahun yang lalu, sebelum munculnya arsitektur cloud-native, entitas pengguna dan analisis perilaku (UEBA), orkestrasi keamanan, otomatisasi dan respons (SOAR), manajemen permukaan serangan. dan tentu saja AI, dan masih banyak lagi.
SIEM lama seringkali lambat, rumit, dan sulit digunakan. Arsitektur lama mereka sering kali menghalangi mereka untuk melakukan penskalaan untuk menyerap sumber log bervolume tinggi, dan mereka mungkin tidak dapat mengikuti ancaman terbaru atau mendukung fitur dan kemampuan terbaru. Mereka mungkin tidak menawarkan fleksibilitas untuk mendukung kebutuhan spesifik organisasi Anda atau tidak sesuai dengan strategi multi-cloud yang berlaku di sebagian besar organisasi saat ini. Akhirnya, mereka mungkin berada pada posisi yang buruk untuk mengambil keuntungantage perkembangan teknologi terkini, seperti kecerdasan buatan (AI).
Jadi meskipun SIEM dengan nama lain mungkin terdengar sama bagusnya, tim operasi keamanan akan terus mengandalkannya
“platform operasi keamanan” (atau apa pun namanya) di masa mendatang untuk deteksi, investigasi, dan respons ancaman.

Migrasi Besar SIEM telah Dimulai

Migrasi SIEM bukanlah hal baru. Banyak organisasi sudah tidak lagi menyukai SIEM yang ada dan mencari pilihan yang lebih baru dan lebih baik selama bertahun-tahun. Mungkin yang lebih sering terjadi adalah organisasi harus bertahan dengan SIEM yang kinerjanya buruk dan/atau terlalu mahal dalam jangka waktu yang lebih lama dari yang mereka inginkan, hal ini sebagian disebabkan oleh kekhawatiran akan rumitnya penanganan migrasi SIEM.
Namun beberapa bulan terakhir telah terjadi pergeseran tektonik di bidang SIEM yang tidak bisa dianggap remeh. Tidak ada keraguan bahwa lanskap SIEM akan benar-benar berubah dalam beberapa tahun ke depan – melahirkan pemimpin pasar baru dan menyaksikan penurunan dan bahkan mungkin punahnya “dinosaurus” yang telah menguasai wilayah SIEM selama beberapa dekade (atau “ ribuan tahun” dalam istilah keamanan siber). Perkembangan ini tentu saja akan mempercepat migrasi dari platform SIEM lama ke platform modern, karena banyak organisasi kini menghadapi kenyataan mengenai kapan mereka harus bermigrasi dan bukannya harus bermigrasi.

Berikut ringkasan pergerakan besar dalam 9 bulan terakhir saja:

Mengidentifikasi kekurangan dalam SIEM Anda saat ini jauh lebih mudah daripada memilih pengganti terbaik dan melaksanakan migrasi yang berhasil. Penting juga untuk dicatat bahwa kegagalan penerapan SIEM juga dapat berasal dari proses (dan terkadang manusia), dan bukan hanya teknologi. Di sinilah makalah ini berperan. Para penulis telah melihat ratusan migrasi SIEM sebagai praktisi, analis, dan vendor selama beberapa dekade. Jadi, mari kita lihat tips migrasi SIEM terbaik untuk tahun 2024. Kami akan membagi daftar ini ke dalam beberapa kategori dan memberikan pelajaran yang telah kami pelajari dari awal.

Memilih SIEM Baru

Mulailah dengan bertanya pada diri sendiri dan tim Anda beberapa pertanyaan kunci untuk membantu mengungkap kekuatan dan kelemahan setiap penawaran. Kami merekomendasikan untuk segera mengidentifikasi “kekuatan super” setiap SIEM dan merencanakan bagaimana organisasi Anda dapat mengambil kemajuantage dari mereka. Misalnyaampsaya:

• SIEM berbasis cloud
  
  • Apakah SIEM ditawarkan oleh penyedia layanan cloud (CSP) utama yang dapat menyediakan infrastruktur berskala dunia dengan harga grosir?
    Pengalaman kami menunjukkan bahwa penyedia SIEM yang beroperasi di cloud yang bukan milik mereka mengalami kesulitan mengatasi “penumpukan margin” yang tidak dapat dihindari yang menyertai model tersebut. Pertanyaan ini terkait erat dengan biaya.
    Model penerapan SIEM cloud-native juga memungkinkan SIEM untuk meningkatkan dan menurunkan skala sebagai respons terhadap ancaman baru dan juga mengelola sifat dinamis beban kerja cloud organisasi. Infrastruktur dan aplikasi cloud dapat berkembang secara dramatis dalam hitungan menit. Arsitektur SIEM cloud-native memungkinkan peralatan penting tim keamanan untuk ditingkatkan pada tingkat yang sama seiring dengan kebutuhan organisasi yang lebih besar.
    SIEM cloud-native juga memiliki posisi yang baik untuk mengamankan beban kerja cloud. Mereka menyediakan penyerapan data berlatensi rendah dari layanan cloud dan dikirimkan dengan konten deteksi untuk membantu mengidentifikasi serangan yang umum terjadi di cloud.
• SIEM dengan Intelijen
  • Apakah vendor SIEM memiliki aliran intelijen ancaman garis depan yang berkelanjutan untuk mendorong deteksi langsung terhadap ancaman baru dan yang sedang berkembang?
    Sumber emas ini biasanya muncul dari praktik respons insiden tingkat atas, pengoperasian penawaran cloud IaaS atau SaaS konsumen dalam jumlah besar, atau basis instalasi global produk perangkat lunak keamanan atau sistem operasi.
    Kecerdasan ancaman sangat penting bagi organisasi untuk mendeteksi, melakukan triase, menyelidiki, dan merespons insiden keamanan secara efektif. Intelijen ancaman garis depan, khususnya, sangat berharga karena memberikan informasi real-time tentang ancaman dan kerentanan terbaru. Informasi ini dapat digunakan untuk mengidentifikasi dan memprioritaskan insiden keamanan dengan cepat, serta mengembangkan dan menerapkan strategi respons yang efektif.
    Untuk meningkatkan kemampuan deteksi dan respons ancaman secara real-time, organisasi keamanan berupaya untuk mengintegrasikan intelijen ancaman dan data terkait ke dalam alur kerja dan peralatan operasi keamanan mereka. Kursi putar, salin-tempel, dan integrasi yang rapuh antara SIEM dan sumber intel ancaman merupakan pengurasan produktivitas dan berdampak negatif pada kemanjuran tim dan pengalaman analis.
• SIEM dengan Konten Pilihan
  • Apakah SIEM menawarkan perpustakaan lengkap berisi parser dan aturan deteksi yang didukung, serta tindakan respons?
    Tip: Beberapa vendor SIEM hampir secara eksklusif mengandalkan komunitas pengguna atau mitra aliansi teknis mereka untuk membuat parser untuk data feed populer. Meskipun komunitas pengguna yang berkembang sangat penting, ketergantungan yang berlebihan pada komunitas tersebut untuk menyediakan kemampuan mendasar seperti penguraian adalah sebuah masalah. Parser untuk sumber data umum harus dibuat, dipelihara, dan didukung langsung oleh vendor SIEM. Ambil pendekatan yang sama ketika melihat konten aturan deteksi. Aturan komunitas sangat penting, namun Anda harus mengharapkan vendor Anda membuat dan memelihara perpustakaan deteksi inti yang solid yang diuji, didukung, dan ditingkatkan secara berkala. Deteksi ancaman yang berkualitas tinggi dan terkurasi sangat penting bagi organisasi untuk mengelola postur keamanan mereka secara efektif. Google SecOps menyediakan deteksi langsung terhadap ancaman baru dan yang muncul, yang dapat membantu organisasi mengidentifikasi dan merespons insiden keamanan dengan cepat.
• SIEM dengan AI
  • Apakah SIEM menggunakan AI dan apakah SIEM siap untuk terus berinovasi?
    Peran kecerdasan buatan dalam SIEM masih belum sepenuhnya dipahami (apalagi diterapkan) oleh vendor mana pun. Namun, SIEM terkemuka sudah memiliki fitur nyata berbasis AI yang tersedia saat ini. Fitur-fitur ini mencakup pemrosesan bahasa alami untuk mengekspresikan penelusuran dan aturan, ringkasan kasus otomatis, dan tindakan respons yang direkomendasikan. Sebagian besar pelanggan dan pengamat industri menganggap fitur seperti deteksi ancaman dan analisis musuh prediktif sebagai “cawan suci” kemampuan SIEM yang digerakkan oleh AI. Saat ini, tidak ada SIEM yang menawarkan fitur-fitur ini secara andal. Saat Anda memilih SIEM baru pada tahun 2024, pertimbangkan apakah vendor menginvestasikan sumber daya yang diperlukan untuk mencapai kemajuan yang berarti dalam kemampuan transformasional ini.

Operasi Keamanan Google (sebelumnya Chronicle) adalah solusi SIEM berbasis cloud yang ditawarkan oleh Google Cloud. Hal ini dirancang untuk membantu organisasi mengumpulkan log dan telemetri keamanan lainnya secara terpusat, kemudian mendeteksi, menyelidiki, dan merespons ancaman keamanan secara real-time. 

• Mendeteksi dan memprioritaskan ancaman keamanan: Aturan deteksi unik Google SecOps mengidentifikasi dan memprioritaskan ancaman keamanan secara real-time. Hal ini membantu organisasi merespons ancaman paling kritis dengan cepat dan efektif.
• Selidiki insiden keamanan: Google SecOps menyediakan platform terpusat untuk menyelidiki insiden keamanan. Hal ini membantu organisasi dengan cepat dan efisien mengumpulkan bukti dan menentukan cakupan insiden.
• Menanggapi insiden keamanan: Google SecOps menyediakan berbagai alat untuk membantu organisasi merespons insiden keamanan, seperti remediasi otomatis. Pemburu ancaman menganggap kecepatan platform, kemampuan pencarian, dan kecerdasan ancaman yang diterapkan sangat berharga dalam melacak penyerang yang mungkin berhasil lolos. Hal ini membantu organisasi dengan cepat dan efektif menahan dan memitigasi dampak insiden keamanan.
  Google SecOps memiliki sejumlah keunggulantagdibandingkan solusi SIEM tradisional, termasuk:
• Kecerdasan Buatan: Google SecOps menggunakan teknologi Gemini AI dari Google yang memungkinkan para pembela HAM mencari data dalam jumlah besar dalam hitungan detik menggunakan bahasa alami dan membuat keputusan lebih cepat dengan menjawab pertanyaan, merangkum kejadian, mencari ancaman, membuat aturan, dan memberikan tindakan yang direkomendasikan berdasarkan konteks investigasi. Tim keamanan juga dapat menggunakan Gemini dalam Operasi Keamanan untuk dengan mudah membuat pedoman respons, menyesuaikan konfigurasi, dan menerapkan praktik terbaik — membantu menyederhanakan tugas-tugas yang memakan waktu dan memerlukan keahlian mendalam.
• Intelijen Ancaman Terapan: Google SecOps terintegrasi secara asli dengan Google Threat Intelligence (GTI) yang mencakup gabungan intelijen dari VirusTotal, Mandiant Threat Intelligence, dan sumber intelijen Ancaman internal Google, untuk membantu pelanggan mendeteksi lebih banyak ancaman dengan lebih sedikit usaha.
• Skalabilitas: Google SecOps adalah solusi berbasis cloud, sehingga dapat memanfaatkan infrastruktur cloud berskala besar yang disediakan oleh Google cloud untuk memenuhi kebutuhan kapasitas dan kinerja organisasi mana pun, berapa pun ukurannya.
• Integrasi dengan Google Cloud: Google SecOps terintegrasi erat dengan produk dan layanan Google Cloud lainnya, seperti Google Cloud Security Command Center Enterprise (SCCE). Integrasi ini memudahkan organisasi untuk mengelola operasi keamanan mereka dalam satu platform terpadu. Google SecOps adalah SIEM terbaik untuk telemetri layanan GCP dan juga menyertakan konten deteksi siap pakai untuk penyedia cloud besar lainnya seperti AWS dan Azure.

Kecerdasan Ancaman Terapan di Google SecOps
Google SecOps memungkinkan tim keamanan mengelola dan menganalisis data keamanan yang secara otomatis berkorelasi dan diperkaya dengan data ancaman. Dengan mengintegrasikan intelijen ancaman langsung ke SIEM Anda, organisasi dapat:

• Meningkatkan deteksi dan triase: Data ancaman dapat digunakan secara langsung untuk membuat aturan yang dapat membantu mengidentifikasi aktivitas berbahaya secara real-time. Data ini juga digunakan untuk menambahkan konteks pada lansiran lain dan secara otomatis menyesuaikan keyakinan pada lansiran tersebut. Hal ini membantu organisasi dengan cepat mendeteksi dan melakukan triase insiden keamanan, dan memfokuskan sumber daya mereka pada ancaman yang paling kritis.
• Meningkatkan penyelidikan dan respons: Intelijen ancaman dapat digunakan untuk memberikan konteks dan wawasan selama investigasi keamanan. Hal ini dapat membantu analis dengan cepat mengidentifikasi akar penyebab suatu insiden dan mengembangkan serta menerapkan strategi respons yang efektif.
• Tetap terdepan dalam lanskap ancaman: Kecerdasan ancaman dapat membantu organisasi untuk tetap terdepan dalam lanskap ancaman dengan memberikan informasi tentang ancaman dan kerentanan terbaru. Informasi ini dapat digunakan untuk mengembangkan dan menerapkan langkah-langkah keamanan proaktif, seperti perburuan ancaman dan pelatihan kesadaran keamanan.

Deteksi Ancaman di Google SecOps
Deteksi ancaman Google SecOps didasarkan pada aliran intelijen ancaman garis depan yang berkelanjutan dari tim keamanan Google. Kecerdasan ini digunakan untuk membuat aturan dan peringatan yang dapat mengidentifikasi aktivitas berbahaya secara real time. Google SecOps juga menggunakan analisis perilaku dan penilaian risiko untuk mengidentifikasi pola mencurigakan dalam data keamanan. Hal ini memungkinkan Google SecOps mendeteksi ancaman yang tidak dapat dideteksi oleh aturan deteksi tradisional.

Nilai dari deteksi ancaman yang berkualitas tinggi dan terkurasi sudah jelas. Organisasi yang menggunakan Google SecOps dapat memperoleh manfaat dari:

• Peningkatan deteksi dan triase: Google SecOps dapat membantu organisasi dengan cepat mengidentifikasi dan melakukan triase insiden keamanan. Hal ini memungkinkan organisasi untuk memfokuskan sumber daya mereka pada ancaman yang paling kritis.
• Investigasi dan respons yang ditingkatkan: Google SecOps dapat memberikan konteks dan wawasan selama investigasi keamanan. Hal ini dapat membantu analis dengan cepat mengidentifikasi akar penyebab suatu insiden dan mengembangkan serta menerapkan strategi respons yang efektif.
• Tetap terdepan dalam lanskap ancaman: Google SecOps dapat membantu organisasi tetap terdepan dalam lanskap ancaman dengan memberikan informasi tentang ancaman dan kerentanan terbaru. Informasi ini dapat digunakan untuk mengembangkan dan menerapkan langkah-langkah keamanan proaktif, seperti perburuan ancaman dan pelatihan kesadaran keamanan.

Migrasi SIEM

Jadi, Anda telah memutuskan untuk pindah. Pendekatan Anda terhadap migrasi sangat penting untuk memastikan Anda mempertahankan kemampuan yang diperlukan dan mulai mengambil nilai dari platform baru sesegera mungkin. Ini tergantung pada prioritas. Salah satu trade-off yang umum terjadi adalah menyadari bahwa meskipun migrasi SIEM merupakan peluang untuk memodernisasi seluruh pendekatan Anda terhadap penyelidikan, deteksi, dan respons, banyak migrasi SIEM yang gagal karena organisasi mencoba “mendidihkan lautan.”

Jadi, inilah tip terbaik kami untuk merencanakan dan melaksanakan migrasi SIEM Anda yang sukses:

• Tentukan tujuan migrasi Anda. Hal ini terdengar jelas, namun migrasi SIEM Anda memerlukan proses yang panjang, jadi menentukan hasil yang Anda inginkan (misalnya, deteksi ancaman yang lebih cepat, pelaporan kepatuhan yang lebih mudah, visibilitas yang lebih baik, pengurangan kerja keras analis, dan juga penurunan biaya) sangat berkorelasi dengan kesuksesan.
• Gunakan migrasi sebagai kesempatan untuk membersihkan rumah. Ini saat yang tepat untuk membersihkan aturan deteksi dan sumber log Anda dan hanya migrasikan yang benar-benar Anda gunakan. Ini juga saat yang tepat untuk kembaliview proses triase dan penyetelan peringatan Anda dan pastikan semuanya mutakhir.
• Jangan migrasikan setiap sumber log. Pindah ke SIEM baru adalah peluang besar untuk memutuskan log apa yang Anda perlukan, baik untuk alasan kepatuhan atau keamanan. Banyak organisasi mengumpulkan sejumlah besar data log dari waktu ke waktu, dan tidak semuanya bernilai atau relevan. Dengan meluangkan waktu untuk mengevaluasi sumber log sebelum memigrasikannya, Anda dapat menyederhanakan SIEM dan fokus pada data yang paling penting untuk kebutuhan keamanan dan kepatuhan Anda.
• Jangan migrasikan semua konten. Memigrasikan semua konten deteksi, aturan, peringatan, dasbor, visualisasi, dan buku pedoman yang ada ke SIEM baru tidak selalu diperlukan. Luangkan waktu untuk mengevaluasi cakupan deteksi Anda saat ini dan memprioritaskan migrasi aturan yang Anda perlukan. Anda akan menemukan peluang untuk mengkonsolidasikan aturan, untuk menghilangkan aturan yang tidak akan pernah bisa diaktifkan karena kurangnya telemetri atau logika yang salah, atau aturan yang ditangani lebih baik dengan konten yang unik. Tanyakan vendor atau mitra penerapan mana pun yang mendukung migrasi aturan satu-ke-satu.
• Prioritaskan migrasi konten awal. Memulai migrasi konten deteksi segera setelah ketersediaan sumber log dan pengayaan yang diperlukan untuk setiap kasus penggunaan tertentu. Pendekatan berbasis data ini, yang menyelaraskan sumber dengan kasus penggunaan, memungkinkan upaya migrasi paralel untuk efisiensi dan hasil yang optimal.
• Migrasi konten deteksi adalah proses yang dipimpin manusia. Bersiaplah untuk membangun kembali konten deteksi (aturan, peringatan, dasbor, model, dll.) (kebanyakan) dari awal, menggunakan konten lama Anda sebagai inspirasi. Saat ini, tidak ada metode yang mudah untuk secara otomatis mengubah aturan dari satu platform SIEM ke platform SIEM lainnya. Meskipun beberapa vendor menawarkan penerjemah sintaksis, umumnya mereka menghasilkan titik awal yang baik daripada aturan, penelusuran, atau dasbor yang diterjemahkan dengan sempurna. Anda harus mengambil keuntungan maksimaltagGunakan alat-alat ini, namun ketahuilah bahwa alat-alat tersebut bukanlah obat mujarab.
• Konten deteksi berasal dari banyak sumber. Analisis kebutuhan cakupan deteksi Anda, lalu adopsi atau buat kasus penggunaan deteksi sesuai kebutuhan. Vendor SIEM Anda akan menyediakan beberapa konten unik yang harus selalu Anda manfaatkan jika bisa. Pertimbangkan juga repositori aturan komunitas dan penyedia konten deteksi pihak ketiga. Bila perlu, tulis peraturan Anda sendiri dan ingatlah bahwa sebagian besar peraturan, terlepas dari asal usulnya, harus disesuaikan dengan lingkungan spesifik organisasi Anda.
• Kembangkan jadwal migrasi yang realistis. Hal ini mencakup penghitungan transfer data, pengujian, penyetelan, pelatihan, dan potensi tumpang tindih di mana Anda mungkin perlu menjalankan kedua sistem secara paralel. Rencana migrasi yang terdefinisi dengan baik akan membantu Anda mengidentifikasi dan memitigasi risiko, serta memastikan bahwa migrasi berhasil diselesaikan. Rencana tersebut harus mencakup garis waktu yang terperinci, daftar tugas, sumber daya, dan anggaran. Sadarilah bahwa proyek-proyek besar seperti migrasi SIEM harus dipecah menjadi beberapa fase.
• Pengujian. Kami merekomendasikan praktik pengujian SIEM dan deteksi konten dengan memasukkan data secara rutin yang akan memicu deteksi Anda, memeriksa penguraian, dan memvalidasi aliran data mulai dari deteksi, kasus, hingga pedoman respons. Migrasi SIEM adalah waktu yang tepat untuk menerapkan kebijakan yang ketat program rekayasa deteksi itu termasuk pengujian seperti ini.
• Bersiaplah untuk periode transisi saat Anda akan menjalankan alat lama dan baru. Hindari pendekatan “robek dan ganti” yang mengganggu. Migrasi bertahap, saat Anda memigrasikan sumber log dan kasus penggunaan secara bertahap membantu mengontrol proses dan mengurangi risiko. Selain itu, pikirkan dua kali untuk memasukkan kembali data dari SIEM lama Anda ke yang baru. Dalam beberapa kasus, Anda mungkin dapat membiarkan SIEM sebelumnya berjalan dalam jangka waktu lama untuk memungkinkan akses ke data historis.
• Aktifkan tim Anda. Migrasi SIEM Anda akan gagal jika analis Anda tidak dapat menggunakan sistem baru. Rencana migrasi yang baik akan mencakup pemberdayaan mendalam untuk tim Anda. Pikirkan tentang pelatihan insinyur dalam orientasi dan penguraian data, pelatihan analis dalam manajemen kasus/investigasi/triase, pemburu ancaman dalam deteksi/penelusuran anomali, dan insinyur deteksi dalam penulisan aturan. Pengaturan waktu sangat penting untuk pemberdayaan. Yang terbaik adalah melatih staf saat mereka memulai fase migrasi tertentu, daripada melakukan pelatihan sebelum keterampilan tersebut diperlukan.
• Mendapatkan bantuan! Jika Anda beruntung (atau mungkin kurang beruntung?) sebagai seorang praktisi atau pemimpin, Anda mungkin pernah melalui satu atau dua migrasi SIEM dalam karier Anda. Mengapa tidak mencari bantuan dari spesialis yang telah melakukannya puluhan atau ratusan kali? Tim layanan profesional dari vendor dan/atau tim konsultasi dari mitra layanan yang memenuhi syarat adalah pilihan yang tepat. Migrasi SIEM sebagian besar merupakan upaya yang berpusat pada manusia.

Proses Utama: Pilih Mitra Penerapan
Tidak ada keputusan yang memiliki dampak lebih besar pada keberhasilan migrasi SIEM selain pilihan mitra penerapan. Platform SIEM adalah sistem perusahaan berskala besar dan kompleks. Jangan mencoba melakukannya sendiri; tetap menggunakan mitra penerapan yang telah melalui banyak migrasi.

Mitra penerapan mungkin saja merupakan cabang layanan profesional dari vendor SIEM baru. Namun, lebih umum memilih mitra pihak ketiga untuk menjalankan migrasi. Ingatlah bahwa migrasi SIEM adalah upaya yang dipimpin oleh manusia. Memilih mitra dengan sertifikasi SIEM baru dan banyak mitra referensi adalah yang terbaik. Hal ini juga membantu jika mereka memiliki keahlian dalam SIEM tempat Anda bermigrasi. Selain referensi, cara cerdas untuk menentukan tingkat pengalaman mitra dengan SIEM baru Anda adalah dengan memeriksa forum komunitas untuk melihat apakah tim tersebut telah menjadi kontributor aktif. Menurut pendapat penulis, staf mitra yang sangat terlibat berkorelasi dengan keberhasilan migrasi SIEM. Selain bagian teknis dari migrasi SIEM, Anda juga dapat memilih mitra yang memiliki pengalaman spesifik di vertikal industri Anda, atau di lingkungan kepatuhan Anda, atau di wilayah Anda, atau ketiganya! Anda dapat mencari keterampilan dan sumber bahasa di mukatagzona waktu yang sama. Anda juga dapat mencari mitra yang mengoperasikan SIEM untuk Anda, atau yang memberikan hasil serupa sebagai penyedia layanan keamanan terkelola yang dapat melakukan outsourcing sebagian atau seluruhnya SIEM organisasi Anda.

Proses Utama: Dokumentasikan Konfigurasi Saat Ini dan Kasus Penggunaan
Penerapan SIEM biasanya bersifat ekspansif, dengan cakupan dan kompleksitas yang terus berkembang selama bertahun-tahun penggunaan. Bersiaplah untuk sedikit atau tanpa dokumentasi. Diperkirakan personel yang melakukan konfigurasi awal dan penyesuaian SIEM sering kali sudah lama tiada. Mendokumentasikan konfigurasi dan kemampuan secara menyeluruh di awal proses migrasi dapat menentukan keberhasilan dan kegagalan.

• Dokumentasikan identitas dan manajemen akses yang digunakan oleh SIEM. Anda tentu perlu mempertahankan beberapa akses berbasis peran ke data dan fitur. Di sisi lain, migrasi adalah peluang untuk menganalisis dan mengatasi perluasan akses yang terjadi secara alami di sebagian besar organisasi. Anda juga dapat melihat proses migrasi sebagai peluang untuk memodernisasi metode autentikasi/otorisasi termasuk menggabungkan identitas dengan standar perusahaan dan menerapkan autentikasi multifaktor.
• Tangkap nama tipe data yang dikumpulkan. Perhatikan bahwa beberapa SIEM menyebut nama ini “sourcetype” atau “logtype”. Catat berapa banyak data dari setiap jenis data yang mengalir menggunakan gigabyte/hari sebagai metriknya. Dokumentasikan alur data untuk setiap sumber data (berbasis agen, kueri API, web hook, penyerapan cloud bucket, API penyerapan, pendengar HTTP, dll.), dan menangkap konfigurasi parser SIEM beserta penyesuaian apa pun.
• Kumpulkan penelusuran tersimpan, definisi dasbor, dan aturan deteksi. Banyak SIEM juga memiliki mekanisme penyimpanan data yang persisten seperti tabel pencarian. Pastikan untuk memahami dan mendokumentasikan bagaimana data ini diisi dan digunakan.
• Buat inventarisasi integrasi dengan sistem eksternal. Banyak SIEM yang terintegrasi dengan sistem manajemen kasus, database relasional, layanan notifikasi (email, SMS, dll), dan platform intelijen ancaman.
• Ambil konten respons seperti pedoman, templat manajemen kasus, dan integrasi aktif apa pun yang belum didokumentasikan.

Selain mengumpulkan rincian teknis penting ini, penting juga untuk meluangkan waktu untuk melakukan interogasiview pengguna SIEM yang ada untuk memahami alur kerja mereka. Tanyakan bagaimana mereka menggunakan SIEM, prosedur operasi standar apa yang mengandalkan SIEM. Penting juga untuk mengajukan pertanyaan luas seperti tim di luar keamanan mana yang mungkin menggunakan SIEM. Misalnyaampmisalnya, tidak jarang tim kepatuhan atau staf operasi TI mengandalkan SIEM. Gagal menangkap kasus penggunaan ini dapat menyebabkan hilangnya ekspektasi di kemudian hari dalam proses migrasi.

Proses Utama: Migrasi Sumber Log
Migrasi sumber log melibatkan pemindahan sumber data dari SIEM lama ke SIEM baru. Proses ini bergantung pada dokumentasi konfigurasi saat ini yang dikumpulkan di Proses: Dokumentasikan Konfigurasi dan Penggunaan Saat Ini bagian.

Langkah-langkah berikut biasanya terlibat dalam proses migrasi sumber log:

1. Penemuan dan inventaris: Langkah pertama adalah menemukan dan menginventarisasi semua sumber log yang saat ini diserap oleh SIEM lama. Hal ini dapat dilakukan dengan menggunakan berbagai metode, seperti reviewmelakukan konfigurasi SIEM files atau menggunakan API dan alat terkait.
2. Prioritas: Setelah sumber log ditemukan dan diinventarisasi, sumber tersebut perlu diprioritaskan untuk migrasi. Hal ini dapat dilakukan berdasarkan sejumlah faktor, seperti analitik yang didorong oleh sumber log, volume data, tingkat kritis data, persyaratan kepatuhan, dan kompleksitas proses migrasi.
3. Perencanaan migrasi: Setelah sumber log diprioritaskan, rencana migrasi harus dikembangkan.
4. Eksekusi migrasi: Proses migrasi kemudian dapat dijalankan sesuai rencana. Ini mungkin melibatkan berbagai tugas, seperti mengonfigurasi feed di SIEM baru, menginstal agen, mengonfigurasi API, dll.
5. Pengujian dan validasi: Setelah migrasi selesai, penting untuk menguji dan memvalidasi data log yang diserap dengan benar. Gunakan ini sebagai kesempatan untuk mengonfigurasi peringatan untuk sumber data yang tidak aktif.
6. Dokumentasi: Terakhir, penting untuk mendokumentasikan konfigurasi sumber log baru.

Proses Utama: Migrasi Deteksi dan Respons Konten
Konten deteksi dan respons SIEM terdiri dari aturan, pencarian, pedoman, dasbor, dan konfigurasi lain yang menentukan peringatan SIEM Anda dan bagaimana hal itu membantu analis menangani peringatan tersebut. Tanpa konten yang dikonfigurasi dengan benar, SIEM hanyalah cara yang bagus untuk melakukan pencarian. Ini adalah “grep mahal” – sebuah istilah yang diciptakan oleh rekan penulis beberapa tahun yang lalu. Konten SIEM memainkan peran penting dalam menentukan cakupan penemuan organisasi Anda.

• Aturan deteksi digunakan untuk mengidentifikasi insiden keamanan. Insinyur pendeteksi yang memiliki pengetahuan mendalam tentang aktor ancaman keamanan dan taktik, teknik, dan prosedur (TTP) yang umum mereka tuliskan. Aturan deteksi mencari pola yang mewakili TTP ini dalam data log. Aturan deteksi sering kali menghubungkan sumber log yang berbeda dan menggunakan data intelijen ancaman.
• Buku pedoman respons digunakan untuk mengotomatiskan respons terhadap peringatan keamanan. Hal ini dapat mencakup tugas-tugas seperti mengirimkan pemberitahuan, mengisolasi host yang disusupi, memperkaya peringatan dengan data kontekstual/kecerdasan ancaman, dan menjalankan skrip remediasi.
• Dasbor digunakan untuk memvisualisasikan data keamanan dan melacak status insiden keamanan. Mereka dapat digunakan untuk memantau keseluruhan postur keamanan organisasi dan untuk mengidentifikasi tren dan pola.
• Pengembangan konten deteksi dan respons baru merupakan proses berulang. Penting untuk terus memantau SIEM dan melakukan penyesuaian konten sesuai kebutuhan. Migrasi SIEM adalah saat yang tepat untuk meningkatkan proses Anda menggunakan pendekatan seperti deteksi sebagai kode (DaC).

Proses Utama: Pelatihan dan Pemberdayaan
Proses yang sering diabaikan selama migrasi SIEM adalah pelatihan pengguna. SIEM mungkin merupakan alat paling penting yang digunakan oleh tim operasi keamanan. Kemampuan mereka untuk menggunakannya secara efektif dan produktif akan memainkan peran besar dalam keberhasilan migrasi, dan kemampuan mereka untuk melindungi organisasi Anda. Andalkan penyedia SIEM dan mitra penerapan Anda untuk menyediakan konten dan penyampaian pelatihan. Berikut adalah daftar singkat topik yang harus diaktifkan oleh tim Anda.

• Mencatat penyerapan dan penguraian feed
• Pencarian / Investigasi
• Manajemen Kasus
• Penulisan Aturan
• Pengembangan Dasbor
• Buku Pedoman / Otomatisasi

Kesimpulan

• Pada akhirnya, migrasi dari SIEM lama ke solusi modern tidak dapat dihindari. Meskipun tantangannya mungkin tampak berat, migrasi yang terencana dan dilaksanakan dengan baik dapat menghasilkan peningkatan yang signifikan dalam deteksi ancaman, kemampuan respons, dan postur keamanan secara keseluruhan.
• Dengan mempertimbangkan secara cermat pemilihan SIEM baru, memanfaatkan kekuatan arsitektur cloud-native, menggabungkan intelijen ancaman tingkat lanjut, dan memanfaatkan fitur berbasis AI, organisasi dapat memberdayakan tim keamanan mereka untuk secara proaktif mempertahankan diri dari ancaman yang terus berkembang. Proses migrasi yang sukses melibatkan perencanaan yang cermat, dokumentasi yang komprehensif, sumber log strategis dan migrasi konten, pengujian menyeluruh, dan pelatihan pengguna yang komprehensif.
• Bermitra dengan spesialis penerapan yang berpengalaman dapat sangat bermanfaat dalam mengatasi kompleksitas dan memastikan transisi yang lancar. Dengan komitmen terhadap perbaikan berkelanjutan dan fokus pada rekayasa deteksi, organisasi dapat memanfaatkan sepenuhnya
• potensi SIEM baru mereka dan meningkatkan pertahanan keamanan mereka untuk tahun-tahun mendatang.

Bacaan Tambahan

• Makalah “Bagaimana Google SecOps Dapat Membantu Meningkatkan Tumpukan SIEM Anda”.
• “Masa Depan SOC: Evolusi atau Optimasi — Pilih Jalan Anda” kertas
• Blog Komunitas Keamanan Google Cloud
• Buletin Mingguan Teknik Deteksi
• deteksi.fyi – Kiat yang berpusat pada praktisi tentang teknik deteksi
• Memulai Operasi Deteksi sebagai Kode dan Keamanan Google – David French (Bagian satu, bagian dua)
• Menerapkan Alur Kerja Teknik Deteksi modern – Dan Lussier (Bagian satu, bagian dua, Bagian tiga)

Untuk informasi lebih lanjut kunjungi cloud.google.com

Tanya Jawab Umum

T: Apa tujuan dari panduan Great SIEM Migration?
J: Panduan ini bertujuan untuk membantu organisasi melakukan transisi dari solusi SIEM yang sudah ketinggalan zaman ke opsi yang lebih baru dan lebih efisien untuk mendeteksi dan merespons ancaman.

T: Bagaimana saya dapat memperoleh manfaat dari SIEM cloud-native?
J: SIEM cloud-native memberikan skalabilitas, efisiensi biaya, dan keamanan yang efektif untuk beban kerja cloud karena arsitektur dan kemampuannya.

Dokumen / Sumber Daya

Migrasi SIEM Google Cloud [Bahasa Indonesia:] Instruksi Migrasi SIEM, Migrasi

Referensi

• Panduan Pengguna