Google Cloud SIEM Paglalin

Impormasyon sa Produkto

Mga detalye:

• Ngalan sa Produkto: Giya sa Paglalin sa SIEM
• Awtor: Wala mailhi
• Gipatik Tuig: Wala gipiho

Mga Instruksyon sa Paggamit sa Produkto

• Pagpili ug Bag-ong SIEM
  Sugdi pinaagi sa pagpangutana sa imong kaugalingon ug sa imong team sa pipila ka mahinungdanong mga pangutana aron makatabang sa pagbutyag sa mga kalig-on ug kahuyang sa matag halad. Pag-ila dayon sa matag superpower sa SIEM ug pagplano kung giunsa ang imong organisasyon makakuha og advantage sa kanila.
• Cloud-lumad nga SIEM
  Hunahunaa kung ang SIEM gitanyag sa usa ka nag-unang cloud service provider (CSP) nga makahatag sa tibuok kalibutan nga imprastraktura sa pakyawan nga presyo. Ang cloud-native SIEM deployment models nagtugot sa scalability ug dinamikong pagdumala sa cloud workloads.
• SIEM nga adunay Intelligence
  Susihon kung ang tigbaligya sa SIEM nagtanyag padayon nga paniktik sa hulga sa unahan aron mapahawa ang pag-ila sa bag-o ug nag-uswag nga mga hulga.

Patay na ang SIEM, mabuhi ang SIEM

Kung sama ka kanamo, tingali matingala ka nga, sa 2024, ang mga sistema sa kasayuran sa seguridad ug pagdumala sa panghitabo (SIEM) mao gihapon ang backbone sa kadaghanan sa mga sentro sa operasyon sa seguridad (SOC). Ang mga SIEM kanunay nga gigamit alang sa pagkolekta ug pag-analisar sa datos sa seguridad gikan sa imong organisasyon aron matabangan ka sa pag-ila, pag-imbestiga, ug pagtubag sa mga hulga nga dali ug epektibo. Apan ang tinuod mao nga ang modernong mga SIEM karon adunay gamay nga pagkasama sa mga gitukod 15+ ka tuig na ang milabay, sa wala pa ang pagsaka sa cloud-native architecture, user entity and behavior analysis (UEBA), security orchestration, automation and response (SOAR), attack surface management. ug siyempre AI, sa paghingalan sa pipila.
Ang mga kabilin nga SIEM kasagaran hinay, hago, ug lisud gamiton. Ang ilang kabilin nga arkitektura kanunay nga nagpugong kanila sa pag-scale aron makasulod sa taas nga volume nga mga gigikanan sa log, ug mahimo nga dili nila mapadayon ang labing bag-ong mga hulga o pagsuporta sa labing bag-ong mga bahin ug kapabilidad. Mahimong dili nila itanyag ang pagka-flexible sa pagsuporta sa piho nga mga kinahanglanon sa imong organisasyon o angay sa estratehiya nga multi-cloud nga mao ang reyalidad sa kadaghanan sa mga organisasyon karon. Sa katapusan, sila mahimong dili maayo nga posisyon sa pagkuha advantage sa pinakabag-o nga mga kalamboan sa teknolohiya, sama sa artificial intelligence (AI).
Mao nga samtang ang usa ka SIEM sa bisan unsang lain nga ngalan mahimo’g ingon ka tam-is, ang mga team sa operasyon sa seguridad magpadayon nga mosalig
"mga platform sa operasyon sa seguridad" (o bisan unsa nga ngalan nga ilang gamiton) sa umaabot nga umaabot alang sa pagtuki sa hulga, imbestigasyon ug pagtubag.

Ang Dakong SIEM Migration Nagsugod na

Ang paglalin sa SIEM dili bag-o. Ang mga organisasyon nawad-an sa gugma sa ilang kasamtangan nga SIEM ug nangita og mas bag-o ug mas maayo nga mga kapilian sulod sa mga katuigan. Tingali sa kasagaran, ang mga organisasyon nag-agwanta sa ilang dili maayo nga performance ug/o sobra ka mahal nga SIEM sa mas taas nga panahon kay sa ilang gusto, sa bahin tungod sa mga kabalaka sa pagkakomplikado sa pag-atubang sa SIEM migration.
Apan bag-ohay nga mga bulan nagpaila sa mga tectonic nga pagbalhin sa wanang sa SIEM nga dili mahimong ipahayag. Adunay gamay nga pagduhaduha nga ang talan-awon sa SIEM hingpit nga mabag-o sa pipila ka mubu nga mga tuig gikan karon - nanganak sa bag-ong mga lider sa merkado ug nakita ang pagkunhod ug tingali bisan ang pagkamatay sa mga "dinosaur" nga naghari sa SIEM-yuta sa mga dekada (o " eons" sa mga termino sa cybersecurity). Kini nga mga pag-uswag sa walay duhaduha makapadali sa paglalin gikan sa kabilin nga SIEM nga mga plataporma ngadto sa moderno, uban sa daghang mga organisasyon nga nag-atubang karon sa usa ka reyalidad kung kanus-a sila kinahanglan nga molalin imbes kung sila kinahanglan nga molalin.

Ania ang usa ka summary sa dagkong mga lihok sa miaging 9 ka bulan lamang:

Ang pag-ila sa mga kakulangan sa imong kasamtangan nga SIEM mas sayon ​​kay sa pagpili sa pinakamaayo nga kapuli ug pagpatuman sa malampuson nga paglalin. Importante usab nga hinumdoman nga ang mga kapakyasan sa pag-deploy sa SIEM mahimo usab nga maggikan sa mga proseso (ug usahay mga tawo), ug dili lamang sa teknolohiya. Dinha diin kini nga papel moabut. Ang mga tagsulat nakakita sa gatusan ka mga paglalin sa SIEM isip mga practitioner, analista, ug mga tigbaligya sa daghang mga dekada. Busa, atong susihon ang pinakataas nga mga tip sa paglalin sa SIEM alang sa 2024. Atong bahinon kini nga lista sa mga kategorya ug isablig ang mga leksyon nga atong nakat-unan gikan sa mga kanal.

Pagpili ug Bag-ong SIEM

Sugdi pinaagi sa pagpangutana sa imong kaugalingon ug sa imong team sa pipila ka mahinungdanong mga pangutana aron makatabang sa pagbutyag sa mga kalig-on ug kahuyang sa matag halad. Among girekomendar ang dali nga pag-ila sa matag "superpower" sa SIEM ug pagplano kon unsaon pag-advan sa imong organisasyontage sa kanila. Kay example:

• Cloud-lumad nga SIEM
  
  • Ang SIEM ba gitanyag sa usa ka nag-unang cloud service provider (CSP) nga makahatag sa tibuok kalibutan nga imprastraktura sa pakyawan nga mga presyo?
    Gipakita sa among kasinatian nga ang mga tagahatag sa SIEM nga naglihok sa mga panganod nga wala nila tag-iya adunay kalisud sa pagbuntog sa dili kalikayan nga "margin stacking" nga kauban sa ingon nga mga modelo. Kini nga pangutana dili mabulag nga nalambigit sa gasto.
    Usa ka cloud-native nga SIEM deployment model nagtugot usab sa SIEM nga motaas ug mopaubos agig tubag sa mga bag-ong hulga ug modumala usab sa dinamikong kinaiya sa cloud workloads sa usa ka organisasyon. Ang imprastraktura ug mga aplikasyon sa panganod mahimong modako pag-ayo sa mga minuto. Usa ka cloud-native nga SIEM nga arkitektura nagtugot sa mga tim sa seguridad nga kritikal nga himan sa pagsukod sa parehas nga rate uban sa mga panginahanglan sa mas dako nga organisasyon.
    Ang mga cloud-native nga SIEMs maayo usab ang posisyon aron ma-secure ang cloud workloads. Naghatag sila og ubos nga latency nga pag-ingestion sa datos gikan sa mga serbisyo sa cloud ug gipadala uban ang detection content aron makatabang sa pag-ila sa mga pag-atake nga kasagaran sa cloud.
• SIEM nga adunay Intelligence
  • Ang tigbaligya ba sa SIEM adunay padayon nga pag-agay sa paniktik sa hulga sa unahan aron mapahawa ang pag-ila sa bag-o ug mitumaw nga mga hulga?
    Kining bulawanong mga tinubdan kasagarang naggikan sa top-tier nga mga pamaagi sa pagtubag sa insidente, ang operasyon sa dagkong consumer nga IaaS o SaaS cloud nga mga halad, o mga global nga instalasyon nga base sa security software products o operating system.
    Ang hulga sa paniktik hinungdanon alang sa mga organisasyon aron epektibo nga makamatikod, mag-triage, mag-imbestiga, ug makatubag sa mga insidente sa seguridad. Ang frontline threat intelligence, ilabina, bililhon tungod kay naghatag kini og real-time nga impormasyon mahitungod sa pinakabag-o nga mga hulga ug mga kahuyang. Kini nga impormasyon mahimong magamit sa madali nga pag-ila ug pag-una sa mga insidente sa seguridad, ug sa pagpalambo ug pagpatuman sa epektibo nga mga estratehiya sa pagtubag.
    Aron mapausbaw ang real-time nga pagtuki sa hulga ug mga kapabilidad sa pagtubag, ang mga organisasyon sa seguridad nangita og walay hunong nga paghiusa sa paniktik sa hulga ug kaubang mga feed sa datos ngadto sa ilang mga workflow ug tooling sa mga operasyon sa seguridad. Ang swivel chair, copy-paste, ug brittle integrations tali sa SIEM ug threat intel sources kay productivity drains ug kini adunay negatibong epekto sa efficacy sa team ug sa analyst nga kasinatian.
• SIEM nga adunay Curated Content
  • Nagtanyag ba ang SIEM og usa ka halapad nga librarya sa gisuportahan nga mga parser ug mga lagda sa pagtuki, ug mga aksyon sa pagtubag?
    Tip: Ang ubang mga tigbaligya sa SIEM halos nagsalig lamang sa ilang komunidad sa mga tiggamit o mga kasosyo sa teknikal nga alyansa aron makahimo og mga parser para sa mga sikat nga feed sa datos. Samtang ang usa ka mauswagon nga komunidad sa tiggamit hinungdanon, ang sobra nga pagsalig niini aron mahatagan ang sukaranan nga mga kapabilidad sama sa pag-parse usa ka problema. Ang mga parser para sa komon nga mga tinubdan sa datos kinahanglang himoon, huptan, ug suportahan direkta sa tigbaligya sa SIEM. Gamita ang parehas nga pamaagi kung nagtan-aw sa sulud sa lagda sa pagtuki. Ang mga lagda sa komunidad hinungdanon, apan kinahanglan nimo nga paabuton ang imong vendor nga maghimo ug magpadayon sa usa ka lig-on nga librarya sa mga pangunang detection nga gisulayan, gisuportahan, ug gipauswag kanunay. Ang taas nga kalidad, curated nga pagtuki sa hulga hinungdanon alang sa mga organisasyon aron epektibo nga madumala ang ilang postura sa seguridad. Ang Google SecOps naghatag og out-of-the-box detection sa bag-o ug mitumaw nga mga hulga, nga makatabang sa mga organisasyon sa pag-ila ug pagtubag dayon sa mga insidente sa seguridad.
• SIEM uban sa AI
  • Giapil ba sa SIEM ang AI, ug nakaposisyon ba kini aron magpadayon sa pagbag-o?
    Ang papel sa artificial intelligence sa SIEM wala gihapon hingpit nga nasabtan (labi ka gamay nga gipatuman) sa bisan unsang vendor. Bisan pa, ang nanguna nga mga SIEM naa nay makita nga AI-driven nga mga bahin nga gipadala karon. Kini nga mga bahin naglakip sa natural nga pagproseso sa pinulongan alang sa pagpahayag sa mga pagpangita ug mga lagda, automated nga summarization sa kaso, ug girekomendar nga mga aksyon sa pagtubag. Kadaghanan sa mga kostumer ug mga tigpaniid sa industriya nag-isip sa mga bahin sama sa pagtuki sa hulga ug predictive adversary analysis nga pipila sa mga "holy grails" sa AI-driven nga kapabilidad sa SIEM. Walay SIEM nga kasaligan nga nagtanyag niini nga mga bahin karon. Samtang nagpili ka ug bag-ong SIEM sa 2024, hunahunaa kung namuhunan ba ang vendor sa mga kapanguhaan nga gikinahanglan aron makahimo og makahuluganon nga pag-uswag sa kini nga mga katakus sa pagbag-o.

Ang Google Security Operations (kanhi Chronicle) kay cloud-based SIEM solution nga gitanyag sa Google Cloud. Gidisenyo kini aron matabangan ang mga organisasyon sa sentral nga pagkolekta sa mga troso ug uban pang telemetry sa seguridad, dayon makit-an, imbestigahan ug tubagon ang mga hulga sa seguridad sa tinuud nga oras. 

• Makita ug unahon ang mga hulga sa seguridad: Ang out-of-the-box detection nga mga lagda sa Google SecOps nagpaila ug nag-una sa mga hulga sa seguridad sa tinuod nga panahon. Nakatabang kini sa mga organisasyon nga dali ug epektibo nga pagtubag sa labing kritikal nga mga hulga.
• Pag-imbestigar sa mga insidente sa seguridad: Ang Google SecOps naghatag ug sentralisadong plataporma para sa pag-imbestiga sa mga insidente sa seguridad. Nakatabang kini sa mga organisasyon nga dali ug episyente sa pagkolekta sa ebidensya ug pagtino sa sakup sa insidente.
• Pagtubag sa mga insidente sa seguridad: Ang Google SecOps naghatag og lain-laing mga himan aron matabangan ang mga organisasyon sa pagtubag sa mga insidente sa seguridad, sama sa automated nga remediation. Ang mga mangangayam sa hulga nakakaplag sa katulin sa plataporma, kapabilidad sa pagpangita, ug paggamit sa paniktik sa hulga nga bililhon sa pagsubay sa mga tig-atake nga tingali nakalusot sa mga liki. Nakatabang kini sa mga organisasyon nga dali ug epektibo nga magpugong ug makunhuran ang epekto sa mga insidente sa seguridad.
  Ang Google SecOps adunay daghang advantagsa mga tradisyonal nga solusyon sa SIEM, lakip ang:
• Artipisyal nga Kaalam: Ang Google SecOps naggamit sa Google's Gemini AI nga teknolohiya aron ang mga tigdepensa makapangita sa daghang mga datos sa mga segundo gamit ang natural nga pinulongan ug makahimo og mas paspas nga mga desisyon pinaagi sa pagtubag sa mga pangutana, pag-summarize sa mga panghitabo, pagpangita sa mga hulga, paghimo og mga lagda, ug paghatud sa girekomenda nga mga aksyon base sa konteksto sa mga imbestigasyon. Ang mga grupo sa seguridad mahimo usab nga mogamit sa Gemini sa Security Operations aron dali nga makahimo og tubag nga mga playbook, ipasadya ang mga pag-configure, ug ilakip ang labing kaayo nga mga gawi - makatabang nga pasimplehon ang mga buluhaton nga makagugol sa oras nga nanginahanglan lawom nga kahanas.
• Gipadapat nga Threat Intelligence: Ang Google SecOps lumad nga nag-uban sa Google Threat Intelligence (GTI) nga naglangkob sa hiniusang paniktik gikan sa VirusTotal, Mandiant Threat Intelligence, ug internal nga Google Threat nga mga tinubdan sa paniktik, aron matabangan ang mga kustomer nga makamatikod sa daghang mga hulga nga adunay gamay nga paningkamot.
• Scalability: Ang Google SecOps usa ka cloud-based nga solusyon, aron kini makagamit sa hyperscale cloud infrastructure nga gihatag sa Google cloud aron matubag ang kapasidad ug mga panginahanglan sa performance sa bisan unsang organisasyon, bisan unsa pa ang gidak-on.
• Paghiusa sa Google Cloud: Ang Google SecOps hugot nga gihiusa sa ubang mga produkto ug serbisyo sa Google Cloud, sama sa Google Cloud Security Command Center Enterprise (SCCE). Kini nga panagsama nagpasayon ​​sa mga organisasyon sa pagdumala sa ilang mga operasyon sa seguridad sa usa, hiniusa nga plataporma. Ang Google SecOps mao ang labing kaayo nga SIEM alang sa telemetry sa serbisyo sa GCP ug naglakip usab sa sulud sa pag-detect sa gawas sa kahon alang sa uban pang dagkong mga taghatag sa panganod sama sa AWS ug Azure.

Gipadapat ang Threat Intelligence sa Google SecOps
Gitugotan sa Google SecOps ang mga tim sa seguridad sa pagdumala ug pag-analisar sa datos sa seguridad nga awtomatik nga may kalabotan ug gipadato sa datos sa hulga. Pinaagi sa pag-integrate sa threat intelligence direkta ngadto sa imong SIEM, ang mga organisasyon mahimong:

• Pauswaga ang detection ug triage: Ang datos sa hulga mahimong gamiton direkta sa paghimo og mga lagda nga makatabang sa pag-ila sa malisyosong kalihokan sa tinuod nga panahon. Gigamit usab kini nga datos aron idugang ang konteksto sa ubang mga alerto ug awtomatiko nga i-adjust ang pagsalig sa alerto. Nakatabang kini sa mga organisasyon nga dali nga makit-an ug masulayan ang mga insidente sa seguridad, ug ipunting ang ilang mga kahinguhaan sa labing kritikal nga mga hulga.
• Dugangi ang imbestigasyon ug tubag: Ang threat intelligence mahimong magamit sa paghatag og konteksto ug mga insight atol sa mga imbestigasyon sa seguridad. Makatabang kini sa mga analista nga dali nga mailhan ang hinungdan sa usa ka insidente ug aron mapalambo ug ipatuman ang epektibo nga mga estratehiya sa pagtubag.
• Magpabilin sa unahan sa talan-awon sa hulga: Ang hulga sa paniktik makatabang sa mga organisasyon nga magpadayon sa unahan sa talan-awon sa hulga pinaagi sa paghatag kasayuran bahin sa labing bag-ong mga hulga ug kahuyangan. Kini nga impormasyon mahimong gamiton sa pagpalambo ug pagpatuman sa mga proactive nga mga lakang sa seguridad, sama sa pagpangayam sa hulga ug pagbansay sa kahibalo sa seguridad.

Pagsusi sa Panghulga sa Google SecOps
Ang Google SecOps nga pagtuki sa hulga gibase sa usa ka padayon nga stream sa frontline threat intelligence gikan sa mga security team sa Google. Kini nga paniktik gigamit sa paghimo og mga lagda ug mga alerto nga makaila sa malisyosong kalihokan sa tinuod nga panahon. Gigamit usab sa Google SecOps ang pag-analisa sa pamatasan ug pagmarka sa peligro aron mailhan ang mga kadudahang sumbanan sa datos sa seguridad. Gitugotan niini ang Google SecOps nga makit-an ang mga hulga nga dili makit-an sa tradisyonal nga mga lagda sa pag-ila.

Ang bili sa taas nga kalidad, curated nga pagtuki sa hulga klaro. Ang mga organisasyon nga naggamit sa Google SecOps mahimong makabenepisyo gikan sa:

• Gipauswag nga pagtuki ug pagsulay: Ang Google SecOps makatabang sa mga organisasyon nga dali nga mailhan ug masulayan ang mga insidente sa seguridad. Gitugotan niini ang mga organisasyon nga ipunting ang ilang mga kahinguhaan sa labing kritikal nga mga hulga.
• Gipauswag nga imbestigasyon ug tubag: Ang Google SecOps makahatag og konteksto ug mga panabut sa panahon sa mga imbestigasyon sa seguridad. Makatabang kini sa mga analista sa dali nga pag-ila sa hinungdan sa usa ka insidente ug sa pagpalambo ug pagpatuman sa epektibo nga mga estratehiya sa pagtubag.
• Magpabiling nag-una sa talan-awon sa hulga: Makatabang ang Google SecOps sa mga organisasyon nga makauna sa talan-awon sa hulga pinaagi sa paghatag og impormasyon bahin sa pinakabag-o nga mga hulga ug mga kahuyangan. Kini nga impormasyon mahimong gamiton sa pagpalambo ug pagpatuman sa mga proactive nga mga lakang sa seguridad, sama sa pagpangayam sa hulga ug pagbansay sa kahibalo sa seguridad.

Paglalin sa SIEM

Busa nakahukom ka sa paghimo sa paglihok. Ang imong pamaagi sa paglalin hinungdanon sa pagsiguro nga imong mapadayon ang gikinahanglan nga mga kapabilidad ug magsugod sa pagkuha sa kantidad gikan sa bag-ong plataporma sa labing dali nga panahon. Kini moabut ngadto sa prioritization. Ang usa ka kasagaran nga trade off mao ang pag-ila nga samtang ang usa ka SIEM migration nagrepresentar sa usa ka oportunidad sa pag-modernize sa imong tibuok nga pamaagi sa imbestigasyon, pagtuki, ug pagtubag, daghang mga paglalin sa SIEM ang napakyas tungod kay ang mga organisasyon misulay sa "pagpabukal sa kadagatan."

Mao nga ania ang among labing kaayo nga mga tip sa pagplano ug pagpatuman sa imong malampuson nga paglalin sa SIEM:

• Ipasabot ang imong mga tumong sa paglalin. Morag klaro kini, apan ang imong paglalin sa SIEM usa ka taas nga proseso, mao nga ang pagtino sa imong gitinguha nga mga sangputanan (pananglitan, mas paspas nga pag-ila sa hulga, dali nga pagtaho sa pagsunod, gipaayo nga panan-aw, pagkunhod sa paghago sa analista, samtang gipaubos usab ang gasto) kusgan nga nalambigit sa kalampusan.
• Gamita ang paglalin isip oportunidad sa paglimpyo sa balay. Kini ang maayong panahon sa pagpanglimpyo imong detection rules ug log sources ug i-migrate lang ang mga tinuod nimong gigamit. Kini usab usa ka maayong panahon sa pag-usabview ang imong alerto nga triage ug mga proseso sa pag-tune ug siguruha nga kini labing bag-o.
• Ayaw pagbalhin sa matag tinubdan sa log. Ang pagbalhin sa usa ka bag-ong SIEM usa ka maayong oportunidad sa pagdesisyon kung unsa nga mga troso ang imong kinahanglan, para sa pagsunod o mga hinungdan sa seguridad. Daghang mga organisasyon ang nagtigum og daghang data sa log sa paglabay sa panahon, ug dili tanan niini kinahanglan nga bililhon o may kalabutan. Pinaagi sa paggahin ug panahon sa pagtimbang-timbang sa imong mga tinubdan sa log sa dili pa nimo kini ibalhin, mahimo nimong i-streamline ang imong SIEM ug ipunting ang mga datos nga labing hinungdanon sa imong mga panginahanglanon sa seguridad ug pagsunod.
• Ayaw ibalhin ang tanan nga sulud. Ang pagbalhin sa tanan nimong naa na nga sulud nga nakit-an, mga lagda, mga alerto, mga dashboard, visualization, ug mga playbook sa usa ka bag-ong SIEM dili kanunay kinahanglan. Paggahin ug panahon sa pagtimbang-timbang sa imong kasamtangan nga coverage sa detection ug unahon ang paglalin sa mga lagda nga imong gikinahanglan. Makapangita ka og mga oportunidad sa pagkonsolida sa mga lagda, aron mawagtang ang mga lagda nga dili gyud masunog tungod sa kakulang sa telemetry o sayup nga lohika, o mga lagda nga mas maayo nga gidumala sa gawas sa kahon nga sulud. Pangutan-a ang bisan kinsa nga vendor o kauban sa pagdeploy nga nagpasiugda alang sa usa-sa-usa nga paglalin sa lagda.
• Unaha ang sayo nga paglalin sa sulod. Sugdi dayon ang pag-detect content migration kon anaa na ang mga tinubdan sa log ug mga enrichment nga gikinahanglan para sa matag piho nga kaso sa paggamit. Kini nga pamaagi nga gipatuyok sa datos, nga nag-align sa mga tinubdan sa mga kaso sa paggamit, makapahimo sa parallel nga mga paningkamot sa paglalin alang sa labing maayo nga episyente ug mga resulta.
• Ang pag-detect sa content migration usa ka proseso nga gipangunahan sa tawo. Pag-andam sa pagtukod pag-usab sa sulod sa detection (mga lagda, mga alerto, mga dashboard, mga modelo, ug uban pa) (kasagaran) gikan sa wala, gamit ang imong daan nga sulod isip inspirasyon. Karong panahona, wala’y pamaagi nga wala’y kabuang aron awtomatiko nga mabag-o ang mga lagda gikan sa usa ka platform sa SIEM ngadto sa lain. Samtang ang ubang mga vendor nagtanyag og mga tighubad sa syntax, kasagaran sila moresulta sa usa ka maayo nga paglukso sa punto kaysa usa ka hingpit nga gihubad nga lagda, pagpangita, o dashboard. Kinahanglan nimo nga kuhaon ang maximum nga advantage niini nga mga himan, apan ilha nga kini dili usa ka panacea.
• Ang detection content naggikan sa daghang tinubdan. Analisaha ang imong mga panginahanglanon sa coverage sa detection, dayon sagop o paghimo sa imong detection use case kung gikinahanglan. Ang imong tigbaligya sa SIEM maghatag pipila nga wala sa kahon nga sulud nga kinahanglan nimo kanunay gamiton kung mahimo nimo. Ikonsiderar usab ang mga repositoryo sa lagda sa komunidad ug mga taghatag sa sulud nga nakit-an sa ikatulo nga partido. Kung gikinahanglan, isulat ang imong kaugalingon nga mga lagda ug hinumdomi ang kadaghanan sa mga lagda, bisan unsa pa ang ilang gigikanan, kinahanglan nga ipahiangay alang sa piho nga palibot sa imong organisasyon.
• Paghimo usa ka realistiko nga timeline sa paglalin. Naglakip kini sa accounting alang sa pagbalhin sa datos, pagsulay, pag-tune, pagbansay ug mga potensyal nga pagsabwag diin kinahanglan nimo nga ipadagan ang duha nga mga sistema nga managsama. Ang usa ka maayo nga gitakda nga plano sa paglalin makatabang kanimo sa pag-ila ug pagpagaan sa mga risgo, ug pagsiguro nga ang paglalin makompleto nga malampuson. Ang plano kinahanglan nga maglakip sa usa ka detalyado nga timeline, usa ka lista sa mga buluhaton, mga kapanguhaan, ug usa ka badyet. Ilha nga ang mga dagkong proyekto sama sa paglalin sa SIEM kinahanglan nga bungkagon sa mga hugna.
• Pagsulay. Among girekomendar ang praktis sa pagsulay sa imong SIEM ug detection content pinaagi sa regular nga pag-inject sa data nga mag-trigger sa imong detection, pagsusi sa parsing, ug pag-validate sa data flow gikan sa detection ngadto sa case to response playbook. Ang usa ka SIEM nga paglalin mao ang hingpit nga panahon sa pagsagop sa usa ka estrikto programa sa detection engineering nga naglakip sa pagsulay sama niini.
• Pag-andam alang sa usa ka panahon sa transisyon diin ikaw modagan sa daan ug bag-ong mga himan. Likayi ang usa ka makabalda nga “rip and replace” approach. Usa ka phased nga paglalin, diin imong ibalhin ang mga tinubdan sa log ug mga kaso sa paggamit nga hinayhinay nga makatabang sa pagkontrol sa proseso ug makunhuran ang peligro. Usab, hunahunaa kaduha bahin sa pagsulod pag-usab sa datos gikan sa imong daan nga SIEM ngadto sa bag-o. Sa pipila ka mga kaso, mahimo kang adunay katakus nga biyaan ang miaging SIEM nga nagdagan sa taas nga mga panahon aron tugutan ang pag-access sa makasaysayan nga datos.
• I-enable ang imong mga team. Mapakyas ang imong paglalin sa SIEM kung dili magamit sa imong mga analista ang bag-ong sistema. Ang usa ka maayo nga plano sa paglalin maglakip sa lawom nga pagpaarang sa imong mga koponan. Hunahunaa ang bahin sa pagbansay sa mga inhenyero sa data onboarding ug pag-parse, pagbansay sa mga analista sa pagdumala sa kaso / imbestigasyon / triage, mga mangangayam sa hulga sa pagtuki sa anomaliya / pagpangita, ug mga inhenyero sa detection sa pagsulat sa lagda. Ang oras hinungdanon alang sa pagpaandar. Labing maayo ang pagbansay sa mga kawani samtang nagsugod sila sa piho nga mga hugna sa paglalin, kaysa pagbansay sa wala pa kinahanglan ang mga kahanas.
• Pangayo ug tabang! Kung swerte ka (o tingali dili swerte?) Isip usa ka practitioner o lider, tingali nakaagi ka sa usa o duha nga paglalin sa SIEM sa imong karera. Ngano nga dili mangayo og tabang gikan sa mga espesyalista nga nakahimo niini sa dosena o gatusan ka beses? Ang mga grupo sa propesyonal nga serbisyo gikan sa vendor ug/o mga grupo sa pagkonsulta gikan sa mga kwalipikado nga mga kauban sa serbisyo usa ka maayong pagpili. Ang mga paglalin sa SIEM kasagarang mga paningkamot nga nakasentro sa tawo.

Pangunang Proseso: Pagpili og Kasosyo sa Pag-deploy
Wala'y desisyon nga adunay mas dako nga epekto sa katapusang kalampusan sa usa ka paglalin sa SIEM kaysa pagpili sa usa ka kauban sa pagdeploy. Ang mga plataporma sa SIEM kay dako, komplikado, mga sistema sa negosyo. Ayaw pagsulay nga mag-inusara; magpabilin sa usa ka kauban sa pagdeploy nga nakaagi sa daghang mga paglalin.

Ang deployment partner mahimo lamang nga propesyonal nga serbisyo nga bukton sa bag-ong SIEM vendor. Bisan pa, mas kasagaran ang pagpili sa usa ka ikatulo nga partido nga kauban nga modagan sa paglalin. Hinumdomi nga ang paglalin sa SIEM usa ka paningkamot nga gipangulohan sa tawo. Ang pagpili sa usa ka kauban nga adunay mga sertipikasyon sa bag-ong SIEM ug daghang mga reperensya nga kauban ang labing maayo. Makatabang usab kini kung sila adunay kahanas sa SIEM nga imong gigikanan. Labaw sa mga pakisayran, usa ka maalamon nga paagi aron mahibal-an ang lebel sa kasinatian sa usa ka kauban sa imong bag-ong SIEM mao ang pagsusi sa mga forum sa komunidad aron mahibal-an kung ang koponan usa ka aktibo nga kontribyutor. Sa opinyon sa mga tagsulat, ang highly engaged partner staff may kalabutan sa malampuson nga SIEM migrations.Labaw sa teknikal nga mga bits ug bytes sa SIEM migration, mahimo ka usab nga mopili og mga partner nga adunay piho nga kasinatian sa imong industriya nga vertical, o sa imong compliance environment, o sa imong rehiyon, o ang tanan nga tulo! Mahimo nimong pangitaon ang mga kahanas sa pinulongan ug mga kapanguhaan sa advantagmga time zone. Mahimo ka usab nga mangita alang sa mga kauban nga nag-operate sa imong SIEM alang kanimo, o kinsa naghatag parehas nga mga sangputanan ingon usa ka gidumala nga tighatag sa serbisyo sa seguridad nga mahimo’g partially o hingpit nga ma-outsource ang SIEM sa imong organisasyon.

Pangunang Proseso: Idokumento ang Kasamtangang Configuration ug Mga Kaso sa Paggamit
Ang mga pag-deploy sa SIEM kasagaran kay lapad, padayon nga nagtubo sa kasangkaran ug pagkakomplikado sulod sa mga katuigan sa paggamit. Pag-andam alang sa gamay o walay dokumentasyon. Paabuta nga ang mga personahe nga naghimo sa una nga pag-configure ug pag-customize sa SIEM kanunay nga wala na. Ang hingpit nga pagdokumento sa configuration ug mga kapabilidad sayo sa proseso sa paglalin mahimong magpasabot sa kalainan tali sa kalampusan ug kapakyasan.

• Idokumento ang identidad ug pagdumala sa pag-access nga gigamit sa SIEM. Kinahanglan gyud nimo nga mapreserbar ang pipila nga gibase sa papel nga pag-access sa datos ug mga bahin. Sa laing bahin ang paglalin usa ka oportunidad sa pag-analisar ug pagsulbad sa access sprawl nga natural nga mahitabo sa kadaghanan sa mga organisasyon. Mahimo usab nimong tan-awon ang proseso sa paglalin isip usa ka oportunidad sa pag-modernize sa mga pamaagi sa pag-authenticate/awtorisasyon lakip na ang pag-federate nga pagkatawo sa mga sumbanan sa korporasyon ug pag-implementar sa multi-factor authentication.
• Kuhaa ang mga ngalan sa mga tipo sa datos nga gikolekta. Timan-i nga ang ubang mga SIEM nagtawag niini nga mga ngalan nga "sourcetype" o "logtype". Kuhaa kung pila ka data sa matag tipo sa datos ang nag-agay gamit ang gigabytes/adlaw isip metric. Idokumento ang pipeline sa datos alang sa matag tinubdan sa datos (gibase sa ahente, pangutana sa API, web hook, cloud bucket ingestion, ingestion API, HTTP listener, ug uban pa), ug kuhaa ang parser configuration sa SIEM uban sa bisan unsang customizations.
• Tiguma ang mga gitipigan nga pagpangita, mga kahulugan sa dashboard, ug mga lagda sa pagtuki. Daghang mga SIEM usab adunay padayon nga mga mekanismo sa pagtipig sa datos sama sa mga talaan sa pagpangita. Siguruha nga masabtan ug idokumento kung giunsa kini gipuy-an ug gigamit.
• Paghimo usa ka imbentaryo sa mga panagsama sa mga eksternal nga sistema. Daghang mga SIEM ang nag-uban sa mga sistema sa pagdumala sa kaso, mga database sa relasyon, mga serbisyo sa pagpahibalo (email, SMS, ug uban pa), ug mga platform sa paniktik sa hulga.
• Pagkuha og tubag nga sulod sama sa mga playbook, mga template sa pagdumala sa kaso, ug bisan unsang aktibong mga integrasyon nga wala pa madokumento.

Gawas sa pagtigom niining importante nga teknikal nga mga detalye, importante nga mogahin og panahon sa interview tiggamit sa kasamtangan nga SIEM aron masabtan ang ilang mga workflow. Pangutan-a kung giunsa nila paggamit ang SIEM, unsa nga standard operating procedures ang nagsalig sa SIEM. Importante usab ang pagpangutana sa halapad nga mga pangutana sama sa kung unsang mga team sa gawas sa seguridad ang mahimong mogamit sa SIEM. Kay exampOo, kasagaran sa mga compliance team o IT operations staff nga mosalig sa SIEM. Ang pagkapakyas sa pagkuha niini nga mga kaso sa paggamit mahimong hinungdan sa wala'y paglaum nga mga gilauman sa ulahi sa proseso sa paglalin.

Pangunang Proseso: Log Source Migration
Ang log source migration naglakip sa pagbalhin sa mga tinubdan sa datos gikan sa karaang SIEM ngadto sa bag-ong SIEM. Kini nga proseso nagdepende sa dokumentasyon sa kasamtangang config nga natigom sa Proseso: Dokumento sa Kasamtangang Configuration ug Paggamit seksyon.

Ang mosunod nga mga lakang kasagarang nalangkit sa proseso sa paglalin sa tinubdan sa log:

1. Pagdiskobre ug imbentaryo: Ang una nga lakang mao ang pagdiskubre ug pag-imbentaryo sa tanan nga mga gigikanan sa log nga karon gisudlan sa daan nga SIEM. Mahimo kini gamit ang lainlaing mga pamaagi, sama sa reviewsa pag-configure sa SIEM files o paggamit sa mga API ug may kalabutan nga himan.
2. Pag-una: Sa higayon nga ang mga tinubdan sa log nadiskobrehan ug na-imbentaryo, sila kinahanglan nga unahon alang sa paglalin. Mahimo kini base sa ubay-ubay nga mga hinungdan, sama sa analytics nga gimaneho sa log source, ang gidaghanon sa datos, ang kritikal nga datos, mga kinahanglanon sa pagsunod, ug ang pagkakomplikado sa proseso sa paglalin.
3. Pagplano sa paglalin: Sa higayon nga ang mga tinubdan sa log na-prioritize, usa ka plano sa paglalin kinahanglan nga maugmad.
4. Pagpatuman sa paglalin: Ang proseso sa paglalin mahimo unya nga ipatuman sumala sa plano. Mahimong maglakip kini sa lainlaing mga buluhaton, sama sa pag-configure sa mga feed sa bag-ong SIEM, pag-install sa mga ahente, pag-configure sa mga API, ug uban pa.
5. Pagsulay ug pag-validate: Kung kompleto na ang paglalin, importante nga sulayan ug pamatud-an nga ang data sa log natulon sa hustong paagi. Gamita kini isip oportunidad sa pag-configure sa pag-alerto alang sa mga tinubdan sa datos nga nahilom.
6. Dokumentasyon: Sa katapusan, importante nga idokumento ang bag-ong log source configuration.

Pangunang Proseso: Pagbalhin sa Pagsusi ug Pagtubag sa Kontento
Ang SIEM detection ug response content naglangkob sa mga lagda, pagpangita, playbook, dashboard, ug uban pang mga configuration nga nagtino kung unsa ang mga alerto sa imong SIEM ug kung giunsa kini pagtabang sa mga analista sa pagdumala sa mga alerto. Kung wala’y husto nga pagka-configure nga sulud, ang SIEM usa ra ka nindot nga paagi sa pagpangita. Kini "mahal nga grep" - usa ka termino nga kauban sa mga tagsulat nga gimugna pipila ka tuig na ang milabay. Ang sulud sa SIEM adunay hinungdanon nga papel sa pagtino sa sakup sa pagkadiskobre sa imong organisasyon.

• Ang mga lagda sa pag-ila gigamit sa pag-ila sa mga insidente sa seguridad. Ang mga inhenyero sa pag-detect nga adunay lawom nga kahibalo sa mga aktor sa hulga sa seguridad ug ang mga taktika, teknik, ug pamaagi (TTPs) nga kasagaran kanila nagsulat niini. Ang mga lagda sa pag-detect mangita alang sa mga sumbanan nga nagrepresentar niini nga mga TTP sa data sa log. Ang mga lagda sa pag-detect kanunay nga nag-correlate sa lainlaing mga gigikanan sa log ug gigamit ang datos sa paniktik sa hulga.
• Ang mga playbook sa tubag gigamit aron ma-automate ang tubag sa mga alerto sa seguridad. Mahimong maglakip kini sa mga buluhaton sama sa pagpadala sa mga abiso, paglain sa mga nakompromiso nga mga host, pagpauswag sa mga alerto nga adunay data sa konteksto / paniktik sa hulga, ug pagpadagan sa mga script sa remediation.
• Ang mga dashboard gigamit sa paghanduraw sa datos sa seguridad ug pagsubay sa kahimtang sa mga insidente sa seguridad. Mahimo kining gamiton sa pagmonitor sa kinatibuk-ang postura sa seguridad sa organisasyon ug sa pag-ila sa mga uso ug mga sumbanan.
• Ang pagpalambo sa bag-ong detection ug response content kay usa ka iterative process. Importante ang padayon nga pagmonitor sa SIEM ug paghimog mga kausaban sa sulod kon gikinahanglan. Ang paglalin sa SIEM usa ka maayo nga panahon aron mapaayo ang imong mga proseso gamit ang mga pamaagi sama sa detection as code (DaC).

Pangunang Proseso: Paghanas ug Pag-enable
Ang kanunay nga wala matagad nga proseso sa panahon sa paglalin sa SIEM mao ang pagbansay sa tiggamit. Ang SIEM mao tingali ang labing importante nga himan nga gigamit sa usa ka security operations team. Ang ilang abilidad sa paggamit niini sa epektibo ug produktibo adunay dako nga papel sa kalampusan sa paglalin, ug ang ilang abilidad sa pagpanalipod sa imong organisasyon. Salig sa imong SIEM provider ug deployment partner sa paghatag ug training content ug delivery. Ania ang usa ka mubo nga lista sa mga hilisgutan diin ang imong mga team kinahanglan nga magamit.

• Log feed ingestion ug parsing
• Pagpangita / Pagsusi
• Pagdumala sa Kaso
• Pagsulat sa Lagda
• Pag-uswag sa Dashboard
• Playbook / Automation

Panapos

• Sa kadugayan, ang paglalin gikan sa usa ka kabilin nga SIEM ngadto sa usa ka modernong solusyon dili malikayan. Samtang ang mga hagit ingon og makahahadlok, ang usa ka maayo nga giplano ug gipatuman nga paglalin mahimong mosangpot sa mahinungdanong mga pag-uswag sa pagtuki sa hulga, mga kapabilidad sa pagtubag, ug sa kinatibuk-ang postura sa seguridad.
• Pinaagi sa mabinantayon nga pagkonsiderar sa pagpili sa usa ka bag-ong SIEM, pagpahimulos sa kusog sa cloud-native nga arkitektura, pag-apil sa advanced threat intelligence, ug paggamit sa AI-driven nga mga feature, ang mga organisasyon makahatag ug gahum sa ilang mga security team nga aktibong modepensa batok sa kanunay nga nag-uswag nga mga hulga. Ang malampuson nga proseso sa paglalin naglakip sa makuti nga pagplano, komprehensibong dokumentasyon, estratehikong tinubdan sa log ug paglalin sa sulod, bug-os nga pagsulay, ug komprehensibo nga pagbansay sa tiggamit.
• Ang pakigtambayayong sa mga eksperyensiyado nga mga espesyalista sa pagdeploy mahimong bililhon sa pag-navigate sa mga pagkakomplikado ug pagsiguro sa usa ka hapsay nga transisyon. Uban sa usa ka pasalig sa padayon nga pag-uswag ug usa ka pagtutok sa detection engineering, ang mga organisasyon makagamit sa hingpit
• potensyal sa ilang bag-ong SIEM ug pagpalig-on sa ilang mga depensa sa seguridad sa umaabot nga mga tuig.

Dugang nga Pagbasa

• "Sa Unsang Paagi Makatabang ang Google SecOps sa Pagpadako sa Imong SIEM Stack" nga papel
• "Kaugmaon sa SOC: Ebolusyon o Pag-optimize - Pilia ang Imong Dalan" papel
• Blog sa Komunidad sa Google Cloud Security
• Detection Engineering Weekly Newsletter
• detect.fyi - Mga tip nga nakasentro sa praktis sa detection engineering
• Pagsugod sa Detection-as-Code ug Google Security Operations – David French (Unang bahin, ikaduhang bahin)
• Pagpatuman sa usa ka modernong Detection Engineering Workflow - Dan Lussier (Unang bahin, ikaduhang bahin, ikatulo nga bahin)

Para sa dugang impormasyon bisitaha cloud.google.com

FAQ

P: Unsa ang katuyoan sa Dakong SIEM Migration nga giya?
A: Ang giya nagtumong sa pagtabang sa mga organisasyon sa pagbalhin gikan sa karaan nga mga solusyon sa SIEM ngadto sa mas bag-o, mas episyente nga mga kapilian alang sa pagtuki sa hulga ug pagtubag.

P: Sa unsang paagi ako makabenepisyo gikan sa usa ka cloud-native nga SIEM?
A: Ang Cloud-native SIEMs naghatag og scalability, cost-efficiency, ug epektibo nga seguridad alang sa cloud workloads tungod sa ilang arkitektura ug mga kapabilidad.

Mga Dokumento / Mga Kapanguhaan

Google Cloud SIEM Paglalin [pdf] Mga instruksiyon SIEM Paglalin, Paglalin

Mga pakisayran

• Manwal sa Gumagamit