Migration SIEM vers Google Cloud

Informations sur le produit

Caractéristiques:

• Nom du produit: Guide de migration SIEM
• Auteur: Inconnu
• Publié Année: Non spécifié

Instructions d'utilisation du produit

• Sélection d'un nouveau SIEM
  Commencez par poser à vous-même et à votre équipe quelques questions clés pour vous aider à découvrir les forces et les faiblesses de chaque offre. Identifiez rapidement les super pouvoirs de chaque SIEM et planifiez comment votre organisation peut progressertage d'entre eux.
• SIEM natif du cloud
  Déterminez si le SIEM est proposé par un fournisseur de services cloud (CSP) principal capable de fournir une infrastructure à l'échelle mondiale à des prix de gros. Les modèles de déploiement SIEM cloud natifs permettent l’évolutivité et la gestion dynamique des charges de travail cloud.
• SIEM avec intelligence
  Vérifiez si le fournisseur SIEM offre une veille continue sur les menaces de première ligne pour permettre une détection prête à l'emploi des menaces nouvelles et émergentes.

SIEM est mort, vive SIEM

Si vous êtes comme nous, vous serez peut-être surpris qu'en 2024, les systèmes de gestion des informations et des événements de sécurité (SIEM) constituent toujours l'épine dorsale de la plupart des centres d'opérations de sécurité (SOC). Les SIEM ont toujours été utilisés pour collecter et analyser les données de sécurité de l'ensemble de votre organisation afin de vous aider à identifier, enquêter et répondre aux menaces rapidement et efficacement. Mais la réalité est que les SIEM modernes d'aujourd'hui ont peu de ressemblance avec ceux construits il y a plus de 15 ans, avant l'essor de l'architecture cloud native, de l'analyse des entités et des comportements des utilisateurs (UEBA), de l'orchestration, de l'automatisation et de la réponse de la sécurité (SOAR) et de la gestion de la surface d'attaque. et bien sûr l’IA, pour n’en nommer que quelques-uns.
Les SIEM existants sont souvent lents, fastidieux et difficiles à utiliser. Leur architecture existante les empêche souvent d'évoluer pour ingérer des sources de journaux à volume élevé, et ils peuvent se trouver incapables de suivre les dernières menaces ou de prendre en charge les dernières fonctionnalités et capacités. Ils n'offrent peut-être pas la flexibilité nécessaire pour répondre aux besoins spécifiques de votre organisation ou ne sont pas adaptés à la stratégie multi-cloud qui est la réalité de la plupart des organisations aujourd'hui. Enfin, ils peuvent être mal placés pour progresser.tage des dernières évolutions technologiques, comme l'intelligence artificielle (IA).
Ainsi, même si un SIEM sous un autre nom peut sembler tout aussi intéressant, les équipes chargées des opérations de sécurité continueront de s'appuyer sur
des « plates-formes d’opérations de sécurité » (ou quel que soit leur nom) dans un avenir proche pour la détection, l’enquête et la réponse aux menaces.

La grande migration SIEM a commencé

La migration SIEM n’est pas nouvelle. Les organisations ne sont plus satisfaites de leur SIEM existant et recherchent depuis des années des options plus récentes et plus performantes. Peut-être plus souvent, les organisations ont supporté leur SIEM sous-performant et/ou trop coûteux plus longtemps qu'elles ne l'auraient souhaité, en partie à cause des inquiétudes concernant la complexité de devoir gérer la migration SIEM.
Mais ces derniers mois ont introduit des changements tectoniques dans l’espace SIEM qui ne peuvent être sous-estimés. Il ne fait aucun doute que le paysage SIEM sera complètement transformé dans quelques années à peine – donnant naissance à de nouveaux leaders du marché et voyant le déclin, voire peut-être même la disparition des « dinosaures » qui ont régné sur le pays SIEM pendant des décennies (ou « éons »en termes de cybersécurité). Ces développements accéléreront sans aucun doute la migration des anciennes plates-formes SIEM vers les plates-formes modernes, de nombreuses organisations étant désormais confrontées à la réalité de savoir quand elles doivent migrer plutôt que de savoir si elles doivent migrer.

Voici un résumé des mouvements majeurs au cours des 9 derniers mois seulement :

Identifier les lacunes de votre SIEM actuel est beaucoup plus facile que de sélectionner le meilleur remplacement et d'exécuter une migration réussie. Il est également important de noter que les échecs de déploiement SIEM peuvent également provenir de processus (et parfois de personnes), et pas seulement de la technologie. C'est là qu'intervient cet article. Les auteurs ont observé des centaines de migrations SIEM en tant que praticiens, analystes et fournisseurs sur plusieurs décennies. Faisons donc le point sur les meilleurs conseils de migration SIEM pour 2024. Nous diviserons cette liste en catégories et saupoudrerons les leçons que nous avons tirées des tranchées.

Sélection d'un nouveau SIEM

Commencez par poser à vous-même et à votre équipe quelques questions clés pour vous aider à découvrir les forces et les faiblesses de chaque offre. Nous vous recommandons d'identifier rapidement les « superpouvoirs » de chaque SIEM et de planifier comment votre organisation peut progresser.tage d'entre eux. Par exempleample:

• SIEM natif du cloud
  
  • Le SIEM est-il proposé par un fournisseur de services cloud (CSP) principal capable de fournir une infrastructure à l'échelle mondiale à des prix de gros ?
    Notre expérience montre que les fournisseurs SIEM qui opèrent dans des cloud qu'ils ne possèdent pas ont du mal à surmonter l'inévitable « empilement de marge » qui accompagne de tels modèles. Cette question est inextricablement liée au coût.
    Un modèle de déploiement SIEM cloud natif permet également au SIEM d'évoluer en réponse aux nouvelles menaces et également de gérer la nature dynamique des charges de travail cloud d'une organisation. L'infrastructure et les applications cloud peuvent croître considérablement en quelques minutes. Une architecture SIEM cloud native permet aux outils critiques des équipes de sécurité d'évoluer au même rythme que les besoins de l'organisation dans son ensemble.
    Les SIEM cloud natifs sont également bien placés pour sécuriser les charges de travail cloud. Ils fournissent une ingestion de données à faible latence à partir des services cloud et sont livrés avec un contenu de détection pour aider à identifier les attaques courantes dans le cloud.
• SIEM avec intelligence
  • Le fournisseur SIEM dispose-t-il d’un flux continu de renseignements de première ligne sur les menaces pour permettre une détection prête à l’emploi des menaces nouvelles et émergentes ?
    Ces sources privilégiées proviennent généralement de pratiques de réponse aux incidents de premier plan, de l'exploitation d'offres cloud grand public IaaS ou SaaS, ou de bases d'installation mondiales de produits logiciels de sécurité ou de systèmes d'exploitation.
    Les renseignements sur les menaces sont essentiels pour que les organisations puissent détecter, trier, enquêter et répondre efficacement aux incidents de sécurité. Les renseignements de première ligne sur les menaces, en particulier, sont précieux car ils fournissent des informations en temps réel sur les dernières menaces et vulnérabilités. Ces informations peuvent être utilisées pour identifier et hiérarchiser rapidement les incidents de sécurité, ainsi que pour développer et mettre en œuvre des stratégies de réponse efficaces.
    Pour améliorer les capacités de détection et de réponse aux menaces en temps réel, les organisations de sécurité recherchent une intégration transparente des renseignements sur les menaces et des flux de données associés dans leurs flux de travail et outils d’opérations de sécurité. Le fauteuil pivotant, le copier-coller et les intégrations fragiles entre le SIEM et les sources d'informations sur les menaces sont des pertes de productivité et ont un impact négatif sur l'efficacité de l'équipe et sur l'expérience des analystes.
• SIEM avec contenu organisé
  • Le SIEM propose-t-il une bibliothèque complète d'analyseurs, de règles de détection et d'actions de réponse pris en charge ?
    Conseil: Certains fournisseurs SIEM s'appuient presque exclusivement sur leur communauté d'utilisateurs ou leurs partenaires d'alliance technique pour créer des analyseurs pour les flux de données populaires. Bien qu’une communauté d’utilisateurs prospère soit essentielle, une dépendance excessive à son égard pour fournir des fonctionnalités fondamentales telles que l’analyse syntaxique constitue un problème. Les analyseurs pour les sources de données communes doivent être créés, maintenus et pris en charge directement par le fournisseur SIEM. Adoptez la même approche lorsque vous examinez le contenu des règles de détection. Les règles communautaires sont essentielles, mais vous devez vous attendre à ce que votre fournisseur crée et maintienne une solide bibliothèque de détections de base qui sont testées, prises en charge et améliorées régulièrement. Une détection des menaces organisée et de haute qualité est essentielle pour que les organisations puissent gérer efficacement leur posture de sécurité. Google SecOps fournit une détection prête à l'emploi des menaces nouvelles et émergentes, ce qui peut aider les organisations à identifier et à répondre rapidement aux incidents de sécurité.
• SIEM avec IA
  • Le SIEM intègre-t-il l’IA et est-il positionné pour continuer à innover ?
    Le rôle de l’intelligence artificielle dans le SIEM n’est encore entièrement compris (et encore moins mis en œuvre) par aucun fournisseur. Cependant, les principaux SIEM proposent déjà aujourd’hui des fonctionnalités tangibles basées sur l’IA. Ces fonctionnalités incluent le traitement du langage naturel pour exprimer les recherches et les règles, la synthèse automatisée des cas et les actions de réponse recommandées. La plupart des clients et des observateurs du secteur considèrent que des fonctionnalités telles que la détection des menaces et l’analyse prédictive des adversaires font partie du « Saint Graal » des fonctionnalités SIEM basées sur l’IA. Aucun SIEM n’offre aujourd’hui ces fonctionnalités de manière fiable. Lorsque vous choisissez un nouveau SIEM en 2024, demandez-vous si le fournisseur investit les ressources nécessaires pour réaliser des progrès significatifs dans ces capacités de transformation.

Google Security Operations (anciennement Chronicle) est une solution SIEM basée sur le cloud proposée par Google Cloud. Il est conçu pour aider les organisations à collecter de manière centralisée les journaux et autres données télémétriques de sécurité, puis à détecter, enquêter et répondre aux menaces de sécurité en temps réel. 

• Détecter et prioriser les menaces de sécurité: Les règles de détection prêtes à l'emploi de Google SecOps identifient et hiérarchisent les menaces de sécurité en temps réel. Cela aide les organisations à répondre rapidement et efficacement aux menaces les plus critiques.
• Enquêter sur les incidents de sécurité : Google SecOps fournit une plate-forme centralisée pour enquêter sur les incidents de sécurité. Cela aide les organisations à rassembler rapidement et efficacement des preuves et à déterminer la portée de l'incident.
• Répondre aux incidents de sécurité : Google SecOps fournit une variété d'outils pour aider les organisations à répondre aux incidents de sécurité, tels que la remédiation automatisée. Les chasseurs de menaces trouvent la vitesse, les capacités de recherche et les renseignements appliqués sur les menaces de la plateforme inestimables pour traquer les attaquants qui auraient pu passer entre les mailles du filet. Cela aide les organisations à contenir et à atténuer rapidement et efficacement l’impact des incidents de sécurité.
  Google SecOps présente de nombreux avantagestages par rapport aux solutions SIEM traditionnelles, notamment :
• Intelligence artificielle: Google SecOps utilise la technologie Gemini AI de Google pour permettre aux défenseurs de rechercher de grandes quantités de données en quelques secondes en utilisant un langage naturel et de prendre des décisions plus rapides en répondant aux questions, en résumant les événements, en recherchant les menaces, en créant des règles et en proposant des actions recommandées en fonction du contexte des enquêtes. Les équipes de sécurité peuvent également utiliser Gemini dans les opérations de sécurité pour créer facilement des playbooks de réponse, personnaliser les configurations et intégrer les meilleures pratiques, contribuant ainsi à simplifier les tâches fastidieuses qui nécessitent une expertise approfondie.
• Renseignements appliqués sur les menaces: Google SecOps s'intègre nativement à Google Threat Intelligence (GTI), qui englobe les renseignements combinés de VirusTotal, Mandiant Threat Intelligence et des sources internes de renseignements sur les menaces de Google, pour aider les clients à détecter davantage de menaces avec moins d'effort.
• Évolutivité: Google SecOps est une solution basée sur le cloud, elle peut donc exploiter l'infrastructure cloud hyperscale fournie par Google Cloud pour répondre aux besoins de capacité et de performances de toute organisation, quelle que soit sa taille.
• Intégration avec Google Cloud : Google SecOps est étroitement intégré à d'autres produits et services Google Cloud, tels que Google Cloud Security Command Center Enterprise (SCCE). Cette intégration permet aux organisations de gérer facilement leurs opérations de sécurité sur une plateforme unique et unifiée. Google SecOps est le meilleur SIEM pour la télémétrie des services GCP et comprend également un contenu de détection prêt à l'emploi pour d'autres grands fournisseurs de cloud comme AWS et Azure.

Intelligence appliquée sur les menaces dans Google SecOps
Google SecOps permet aux équipes de sécurité de gérer et d'analyser les données de sécurité qui sont automatiquement corrélées et enrichies avec les données sur les menaces. En intégrant les renseignements sur les menaces directement dans votre SIEM, les organisations peuvent :

• Améliorer la détection et le tri : Les données sur les menaces peuvent être utilisées directement pour créer des règles permettant d’identifier les activités malveillantes en temps réel. Ces données sont également utilisées pour ajouter du contexte à d'autres alertes et ajuster automatiquement la confiance dans l'alerte. Cela aide les organisations à détecter et trier rapidement les incidents de sécurité et à concentrer leurs ressources sur les menaces les plus critiques.
• Améliorer l’enquête et la réponse : Les renseignements sur les menaces peuvent être utilisés pour fournir du contexte et des informations lors des enquêtes de sécurité. Cela peut aider les analystes à identifier rapidement la cause profonde d'un incident et à développer et mettre en œuvre des stratégies de réponse efficaces.
• Gardez une longueur d’avance sur le paysage des menaces : Les renseignements sur les menaces peuvent aider les organisations à garder une longueur d'avance sur le paysage des menaces en fournissant des informations sur les dernières menaces et vulnérabilités. Ces informations peuvent être utilisées pour développer et mettre en œuvre des mesures de sécurité proactives, telles que la chasse aux menaces et la formation de sensibilisation à la sécurité.

Détection des menaces dans Google SecOps
La détection des menaces Google SecOps s'appuie sur un flux continu de renseignements sur les menaces de première ligne provenant des équipes de sécurité de Google. Cette intelligence est utilisée pour créer des règles et des alertes permettant d'identifier les activités malveillantes en temps réel. Google SecOps utilise également l'analyse du comportement et l'évaluation des risques pour identifier les modèles suspects dans les données de sécurité. Cela permet à Google SecOps de détecter les menaces qui ne peuvent pas être détectées par les règles de détection traditionnelles.

La valeur d’une détection des menaces organisée et de haute qualité est claire. Les organisations qui utilisent Google SecOps peuvent bénéficier de :

• Détection et tri améliorés : Google SecOps peut aider les organisations à identifier et à trier rapidement les incidents de sécurité. Cela permet aux organisations de concentrer leurs ressources sur les menaces les plus critiques.
• Enquête et réponse améliorées : Google SecOps peut fournir du contexte et des informations lors des enquêtes de sécurité. Cela peut aider les analystes à identifier rapidement la cause profonde d'un incident et à développer et mettre en œuvre des stratégies de réponse efficaces.
• Gardez une longueur d'avance sur le paysage des menaces : Google SecOps peut aider les organisations à garder une longueur d'avance sur le paysage des menaces en fournissant des informations sur les dernières menaces et vulnérabilités. Ces informations peuvent être utilisées pour développer et mettre en œuvre des mesures de sécurité proactives, telles que la chasse aux menaces et la formation de sensibilisation à la sécurité.

Migration SIEM

Vous avez donc décidé de franchir le pas. Votre approche de la migration est essentielle pour garantir que vous maintenez les fonctionnalités requises et que vous commencez à extraire de la valeur de la nouvelle plateforme dès que possible. Cela se résume à la priorisation. Un compromis typique consiste à reconnaître que même si une migration SIEM représente une opportunité de moderniser l’ensemble de votre approche en matière d’investigation, de détection et de réponse, de nombreuses migrations SIEM échouent parce que les organisations tentent de « faire bouillir l’océan ».

Voici donc nos meilleurs conseils pour planifier et exécuter avec succès votre migration SIEM :

• Définissez vos objectifs de migration. Cela semble évident, mais votre migration SIEM est un processus long, donc définir les résultats souhaités (par exemple, une détection plus rapide des menaces, des rapports de conformité plus faciles, une visibilité améliorée, une charge de travail réduite des analystes, tout en réduisant également les coûts) est fortement corrélé au succès.
• Utilisez la migration comme une opportunité de faire le ménage. C'est le bon moment pour faire le ménage vos règles de détection et vos sources de log et migrez uniquement ceux que vous utilisez réellement. C'est aussi le bon moment pour refaireview vos processus de tri et de réglage des alertes et assurez-vous qu’ils sont à jour.
• Ne migrez pas toutes les sources de journaux. Passer à un nouveau SIEM est une excellente opportunité de décider de quels journaux vous avez besoin, que ce soit pour des raisons de conformité ou de sécurité. De nombreuses organisations accumulent une grande quantité de données de journaux au fil du temps, et toutes ne sont pas nécessairement précieuses ou pertinentes. En prenant le temps d'évaluer vos sources de journaux avant de les migrer, vous pouvez rationaliser votre SIEM et vous concentrer sur les données les plus importantes pour vos besoins de sécurité et de conformité.
• Ne migrez pas tout le contenu. La migration de tout votre contenu de détection, règles, alertes, tableaux de bord, visualisations et playbooks existants vers un nouveau SIEM n'est pas toujours nécessaire. Prenez le temps d'évaluer votre couverture de détection actuelle et de prioriser la migration des règles dont vous avez besoin. Vous trouverez des opportunités de consolider les règles, d'éliminer les règles qui ne pourraient jamais se déclencher en raison d'un manque de télémétrie ou d'une logique défectueuse, ou encore des règles qui sont mieux gérées par un contenu prêt à l'emploi. Interrogez tout fournisseur ou partenaire de déploiement qui préconise une migration de règles individuelle.
• Donnez la priorité à la migration précoce du contenu. Lancez la migration du contenu de détection dès la disponibilité des sources de journaux et des enrichissements requis pour chaque cas d'utilisation spécifique. Cette approche basée sur les données, alignant les sources sur les cas d'utilisation, permet des efforts de migration parallèles pour une efficacité et des résultats optimaux.
• La migration du contenu de détection est un processus dirigé par l’homme. Préparez-vous à reconstruire le contenu de détection (règles, alertes, tableaux de bord, modèles, etc.) (principalement) à partir de zéro, en vous inspirant de votre ancien contenu. Aujourd’hui, il n’existe pas de méthode infaillible pour convertir automatiquement les règles d’une plateforme SIEM à une autre. Bien que certains fournisseurs proposent des traducteurs de syntaxe, ils constituent généralement un bon point de départ plutôt qu'une règle, une recherche ou un tableau de bord parfaitement traduit. Vous devriez prendre le maximum d'avancetage de ces outils, mais reconnaissons qu’ils ne sont pas une panacée.
• Le contenu de détection provient de nombreuses sources. Analysez vos besoins en matière de couverture de détection, puis adoptez ou créez vos cas d'utilisation de détection selon vos besoins. Votre fournisseur SIEM fournira du contenu prêt à l’emploi que vous devriez toujours exploiter si vous le pouvez. Pensez également aux référentiels de règles communautaires et aux fournisseurs de contenu de détection tiers. Si nécessaire, rédigez vos propres règles et rappelez-vous que la plupart des règles, quelle que soit leur origine, doivent être adaptées à l'environnement spécifique de votre organisation.
• Élaborez un calendrier de migration réaliste. Cela inclut la prise en compte du transfert de données, des tests, du réglage, de la formation et des chevauchements potentiels où vous devrez peut-être exécuter les deux systèmes en parallèle. Un plan de migration bien défini vous aidera à identifier et à atténuer les risques, et à garantir que la migration se déroule avec succès. Le plan doit inclure un calendrier détaillé, une liste de tâches, de ressources et un budget. Reconnaissez que les projets majeurs comme une migration SIEM doivent être divisés en phases.
• Essai. Nous vous recommandons de tester votre SIEM et votre contenu de détection en injectant régulièrement des données qui déclencheront vos détections, en vérifiant l'analyse et en validant le flux de données de la détection au cas en passant par le playbook de réponse. Une migration SIEM est le moment idéal pour adopter une approche rigoureuse programme d'ingénierie de détection cela inclut des tests comme celui-ci.
• Préparez-vous à une période de transition pendant laquelle vous exécuterez à la fois des anciens et des nouveaux outils. Évitez une approche perturbatrice de type « extraire et remplacer ». Une migration par étapes, dans laquelle vous migrez progressivement les sources de journaux et les cas d'utilisation, permet de contrôler le processus et de réduire les risques. Réfléchissez également à deux fois avant de réingérer les données de votre ancien SIEM vers le nouveau. Dans certains cas, vous pouvez avoir la possibilité de laisser le SIEM précédent fonctionner pendant des périodes prolongées pour autoriser l'accès aux données historiques.
• Activez vos équipes. Votre migration SIEM échouera si vos analystes ne peuvent pas utiliser le nouveau système. Un bon plan de migration inclura une habilitation approfondie pour vos équipes. Pensez à former des ingénieurs sur l'intégration et l'analyse des données, des analystes sur la gestion/enquête/triage des cas, des chasseurs de menaces sur la détection/recherche d'anomalies et des ingénieurs de détection sur la rédaction de règles. Le timing est essentiel pour l’habilitation. Il est préférable de former le personnel au moment où il se lance dans des phases spécifiques de migration, plutôt que de le former avant que ces compétences ne soient requises.
• Obtenir de l'aide! Si vous avez de la chance (ou peut-être pas de chance ?) en tant que praticien ou leader, vous aurez peut-être vécu une ou deux migrations SIEM au cours de votre carrière. Pourquoi ne pas demander l’aide de spécialistes qui l’ont fait des dizaines ou des centaines de fois ? Les équipes de services professionnels du fournisseur et/ou les équipes de consultants de partenaires de services qualifiés constituent un excellent choix. Les migrations SIEM sont des efforts largement centrés sur l’humain.

Processus clé : choisir un partenaire de déploiement
Aucune décision n'aura plus d'impact sur le succès final d'une migration SIEM que le choix d'un partenaire de déploiement. Les plates-formes SIEM sont des systèmes d’entreprise complexes et à grande échelle. N'essayez pas de faire cavalier seul ; restez fidèle à un partenaire de déploiement qui a traversé de nombreuses migrations.

Le partenaire de déploiement pourrait simplement être la branche de services professionnels du nouveau fournisseur SIEM. Cependant, il est plus courant de choisir un partenaire tiers pour effectuer la migration. N'oubliez pas que la migration SIEM est une entreprise dirigée par l'homme. Il est préférable de choisir un partenaire certifié dans le nouveau SIEM et de nombreux partenaires référençables. Il est également utile qu’ils possèdent une expertise dans le SIEM à partir duquel vous migrez. Au-delà des références, un moyen intelligent de déterminer le niveau d'expérience d'un partenaire avec votre nouveau SIEM consiste à consulter les forums communautaires pour voir si l'équipe a été un contributeur actif. De l'avis des auteurs, un personnel partenaire très engagé est en corrélation avec des migrations SIEM réussies. Au-delà des éléments techniques de la migration SIEM, vous pouvez également choisir des partenaires qui ont une expérience spécifique dans votre secteur d'activité, ou dans votre environnement de conformité, ou dans votre région, ou les trois ! Vous pouvez rechercher des compétences et des ressources linguistiques à l'avance.tagdifférents fuseaux horaires. Vous pouvez également rechercher des partenaires qui exploitent votre SIEM pour vous ou qui fournissent des résultats similaires en tant que fournisseur de services de sécurité gérés pouvant externaliser partiellement ou totalement le SIEM de votre organisation.

Processus clé : documenter la configuration actuelle et les cas d'utilisation
Les déploiements SIEM sont généralement étendus, et leur portée et leur complexité augmentent régulièrement au fil des années d'utilisation. Préparez-vous à peu ou pas de documentation. Attendez-vous à ce que le personnel chargé de la configuration initiale et de la personnalisation du SIEM soit souvent parti depuis longtemps. Documenter minutieusement la configuration et les fonctionnalités dès le début du processus de migration peut faire la différence entre le succès et l'échec.

• Documenter la gestion des identités et des accès utilisée par le SIEM. Vous devrez certainement conserver un certain accès aux données et fonctionnalités basé sur les rôles. D’un autre côté, la migration est une opportunité d’analyser et de remédier à la prolifération des accès qui se produit naturellement dans la plupart des organisations. Vous pouvez également considérer le processus de migration comme une opportunité de moderniser les méthodes d’authentification/autorisation, notamment en fédérant l’identité avec les normes de l’entreprise et en mettant en œuvre une authentification multifacteur.
• Capturez les noms des types de données collectés. Notez que certains SIEM appellent ces noms « sourcetype » ou « logtype ». Capturez la quantité de données de chaque type de données qui circulent en utilisant les gigaoctets/jour comme métrique. Documentez le pipeline de données pour chaque source de données (basé sur un agent, requête API, web hook, ingestion de bucket cloud, API d'ingestion, écouteur HTTP, etc.) et capturez la configuration de l'analyseur SIEM ainsi que toutes les personnalisations.
• Rassemblez les recherches enregistrées, les définitions de tableaux de bord et les règles de détection. De nombreux SIEM disposent également de mécanismes de stockage de données persistants tels que des tables de recherche. Assurez-vous de comprendre et de documenter comment ceux-ci sont remplis et utilisés.
• Faire un inventaire des intégrations avec des systèmes externes. De nombreux SIEM s'intègrent aux systèmes de gestion de cas, aux bases de données relationnelles, aux services de notification (e-mail, SMS, etc.) et aux plateformes de renseignement sur les menaces.
• Capturez le contenu des réponses, tel que les playbooks, les modèles de gestion de cas et toutes les intégrations actives qui n'ont pas encore été documentées.

Au-delà de la collecte de ces détails techniques importants, il est essentiel de prendre le temps d'examinerview aux utilisateurs du SIEM existant de comprendre leurs workflows. Demandez-leur comment ils utilisent le SIEM, quelles procédures opérationnelles standard s'appuient sur le SIEM. Il est également important de poser des questions générales, telles que celles qui pourraient utiliser le SIEM en dehors du secteur de la sécurité. Par exempleample, il n'est pas rare que les équipes de conformité ou le personnel des opérations informatiques s'appuient sur le SIEM. Ne pas capturer ces cas d’utilisation peut entraîner des attentes manquées plus tard dans le processus de migration.

Processus clé : migration de la source de journal
La migration des sources de journaux implique le déplacement des sources de données de l'ancien SIEM vers le nouveau SIEM. Ce processus dépend de la documentation de la configuration actuelle rassemblée dans le Processus : Documenter la configuration et l'utilisation actuelles section.

Les étapes suivantes sont généralement impliquées dans le processus de migration de la source de journal :

1. Découverte et inventaire : La première étape consiste à découvrir et inventorier toutes les sources de journaux actuellement ingérées par l'ancien SIEM. Cela peut être fait en utilisant diverses méthodes, telles que reviewla configuration du SIEM files ou en utilisant des API et des outils associés.
2. Priorisation: Une fois les sources de journaux découvertes et inventoriées, elles doivent être priorisées pour la migration. Cela peut être effectué en fonction d'un certain nombre de facteurs, tels que les analyses pilotées par la source du journal, le volume des données, le caractère critique des données, les exigences de conformité et la complexité du processus de migration.
3. Planification de la migration : Une fois les sources de logs priorisées, un plan de migration doit être élaboré.
4. Exécution de la migration : Le processus de migration peut alors être exécuté conformément au plan. Cela peut impliquer diverses tâches, telles que la configuration des flux dans le nouveau SIEM, l'installation d'agents, la configuration des API, etc.
5. Tests et validation : Une fois la migration terminée, il est important de tester et de valider que les données du journal sont correctement ingérées. Profitez-en pour configurer des alertes pour les sources de données devenues silencieuses.
6. Documentation: Enfin, il est important de documenter la nouvelle configuration de la source de journal.

Processus clé : migrer le contenu de détection et de réponse
Le contenu de détection et de réponse SIEM comprend des règles, des recherches, des playbooks, des tableaux de bord et d'autres configurations qui définissent sur quoi votre SIEM alerte et comment il aide les analystes à gérer ces alertes. Sans contenu correctement configuré, le SIEM n’est qu’un moyen sophistiqué de recherche. Il s'agit de « grep coûteux » – un terme inventé par un collègue des auteurs il y a plusieurs années. Le contenu SIEM joue un rôle clé dans la définition de la couverture de découverte de votre organisation.

• Les règles de détection sont utilisées pour identifier les incidents de sécurité. Les ingénieurs de détection qui ont une connaissance approfondie des acteurs des menaces de sécurité et des tactiques, techniques et procédures (TTP) qui leur sont communes les rédigent. Les règles de détection recherchent des modèles qui représentent ces TTP dans les données du journal. Les règles de détection mettent souvent en corrélation différentes sources de journaux et utilisent des données de renseignement sur les menaces.
• Les playbooks de réponse sont utilisés pour automatiser la réponse aux alertes de sécurité. Elles peuvent inclure des tâches telles que l'envoi de notifications, l'isolation des hôtes compromis, l'enrichissement des alertes avec des données contextuelles/intelligence sur les menaces et l'exécution de scripts de remédiation.
• Les tableaux de bord sont utilisés pour visualiser les données de sécurité et suivre l'état des incidents de sécurité. Ils peuvent être utilisés pour surveiller la situation de sécurité globale de l’organisation et pour identifier les tendances et les modèles.
• Le développement de nouveaux contenus de détection et de réponse est un processus itératif. Il est important de surveiller en permanence le SIEM et d’apporter des ajustements au contenu si nécessaire. La migration SIEM est le moment idéal pour améliorer vos processus en utilisant des approches telles que la détection en tant que code (DaC).

Processus clé : formation et habilitation
Un processus souvent négligé lors de la migration SIEM est la formation des utilisateurs. Le SIEM est peut-être l’outil le plus important utilisé par une équipe d’opérations de sécurité. Leur capacité à l’utiliser de manière efficace et productive jouera un rôle important dans la réussite de la migration et dans leur capacité à protéger votre organisation. Faites confiance à votre fournisseur SIEM et à votre partenaire de déploiement pour fournir le contenu et la diffusion de la formation. Voici une brève liste de sujets sur lesquels vos équipes devraient être activées.

• Ingestion et analyse du flux de journaux
• Recherche / Enquête
• Gestion des cas
• Création de règles
• Développement du tableau de bord
• Playbook / Automatisation

Conclusion

• À terme, la migration d’un SIEM existant vers une solution moderne est inévitable. Même si les défis peuvent sembler intimidants, une migration bien planifiée et exécutée peut conduire à des améliorations significatives en matière de détection des menaces, de capacités de réponse et de sécurité globale.
• En examinant attentivement le choix d'un nouveau SIEM, en tirant parti des atouts de l'architecture cloud native, en intégrant des renseignements avancés sur les menaces et en utilisant des fonctionnalités basées sur l'IA, les organisations peuvent permettre à leurs équipes de sécurité de se défendre de manière proactive contre les menaces en constante évolution. Le processus de migration réussi implique une planification méticuleuse, une documentation complète, une migration stratégique des sources de journaux et du contenu, des tests approfondis et une formation complète des utilisateurs.
• Un partenariat avec des spécialistes du déploiement expérimentés peut s’avérer inestimable pour gérer les complexités et assurer une transition en douceur. En s'engageant en faveur d'une amélioration continue et en mettant l'accent sur l'ingénierie de détection, les organisations peuvent exploiter pleinement
• potentiel de leur nouveau SIEM et renforcer leurs défenses de sécurité pour les années à venir.

Lectures complémentaires

• Document « Comment Google SecOps peut vous aider à augmenter votre pile SIEM »
• « L'avenir du SOC : évolution ou optimisation – Choisissez votre voie » papier
• Blog de la communauté de sécurité Google Cloud
• Newsletter hebdomadaire sur l'ingénierie de détection
• détecter.pour info – Conseils destinés aux praticiens sur l’ingénierie de détection
• Premiers pas avec la détection en tant que code et les opérations de sécurité de Google – David French (Partie un, deuxième partie)
• Implantation d’un workflow d’ingénierie de détection moderne – Dan Lussier (Partie un, deuxième partie, troisième partie)

Pour plus d'informations, visitez cloud.google.com

FAQ

Q : Quel est l’objectif du guide Great SIEM Migration ?
R : Le guide vise à aider les organisations à passer de solutions SIEM obsolètes à des options plus récentes et plus efficaces en matière de détection et de réponse aux menaces.

Q : Comment puis-je bénéficier d’un SIEM cloud natif ?
R : Les SIEM cloud natifs offrent une évolutivité, une rentabilité et une sécurité efficace pour les charges de travail cloud grâce à leur architecture et leurs capacités.

Documents / Ressources

Migration SIEM vers Google Cloud [pdf] Instructions Migration SIEM, Migration

Références

• Manuel d'utilisation