従来の SIEM から Azure Sentinel へのサイド バイ サイドの移行を管理する方法

壊滅的なサイバー攻撃に関するニュースが毎週のように報道され、組織の分散化が進む中、セキュリティ チームはより少ないリソースでより多くのことを行うよう常に求められています。クラウドネイティブのセキュリティ情報およびイベント管理 (SIEM) に移行すると、セキュリティ チームはクラウドの規模でデータを分析し、インフラストラクチャの管理ではなく、組織の保護に集中できるようになります。業界初のクラウド ネイティブなセキュリティ運用と自動応答 (SIEM+SOAR) であるAzure Sentinelは、今日の高度なサイバー脅威と戦うために、組織全体にセキュリティ分析を提供します。これは、オンプレミス システム、サービスとしてのソフトウェア (SaaS) アプリケーション、およびアマゾン ウェブ サービス (AWS)、Linux、またはファイアウォールなどの Microsoft 以外のクラウド環境を含むデジタル資産全体でデータを収集し、相互相関することによって行われます。 AI と機械学習を使用して、セキュリティ オペレーション (SecOps) チームが損害を与える前に脅威を阻止できるようにします。

この 3 部構成のシリーズの第 1 部では、Azure Sentinel への移行を確実に成功させるために、すべての SecOps チームが実行する必要がある最初の 3 つのステップについて説明しました。パート 2 では、移行の移行フェーズを管理する方法について説明します。具体的には、短期的なサイド バイ サイド デプロイと長期的なサイド バイ サイド デプロイの長所と短所を比較します。これには、5 種類のサイド バイ サイド構成の検証と、Azure Sentinel の両方からの価値を最大化するものはどれかが含まれます。そしてあなたの従来のSIEM。

クラウドネイティブ SIEM 移行の移行フェーズとは?

オンプレミスの SIEM を使用している組織の場合、クラウドへの移行には通常、次の 3 段階のプロセスが必要です。

1. 移行の計画と開始。
2. Azure Sentinel をオンプレミスの SIEM と並行して実行する (移行フェーズ)。
3. 移行の完了 (オンプレミス SIEM から完全に移行)。

ステップ 2 の移行フェーズでは、短期的なソリューションとして、または中長期的な運用モデルとして、サイド バイ サイド構成で Azure Sentinel を実行します。どちらのアプローチも、完全にクラウドでホストされる SIEM アーキテクチャで最高潮に達します。違いは、従来の SIEM に接続されたままにしておくことが、どのくらいの期間あなたの利益に役立つかということです。

トランジショナル サイド バイ サイド (推奨)

このアプローチでは、Azure Sentinel への移行が完了するまでの間、Azure Sentinel を従来の SIEM と並行して実行します。

長所:ワークロードと分析の移行に伴い、スタッフが新しいプロセスに適応する時間を確保できます。ハンティング シナリオのすべてのデータ ソース間で深い相関関係を取得します。 SIEM 間で回転椅子分析を行ったり、2 つの場所で転送ルールを作成したり (および詳細な調査を行ったり) する必要がなくなります。また、SecOps チームが従来の SIEM ソリューションを迅速にダウングレードできるようにし、インフラストラクチャとライセンスのコストを削減します。

短所: SecOps スタッフの学習曲線を短縮する必要がある場合があります。

中長期的に並べて

データの異なるサブセットを無期限に分析するために、両方の SIEM を並べて活用する必要があります。このモデルでは、一部の組織は長期間にわたって拡張されたサイド バイ サイド アプローチを採用することを選択したり、永続的にサイド バイ サイドを実行することを計画したりすることさえあります。

長所:従来の SIEM から完全に移行することなく、AI、機械学習、調査機能などの Azure Sentinel の主な利点を活用できます。 Azure Sentinel でクラウドまたは Microsoft データを分析することにより、従来の SIEM と比較してコストを節約できます。

短所: 2 つの異なるデータベース間で分析を分離すると、複雑さが増します (たとえば、ケース管理とマルチ環境インシデントの調査を分割するなど)。スタッフとインフラストラクチャのコストが増加します。スタッフは 2 つの異なる SIEM ソリューションに精通している必要があります。また、最終的に単一の SIEM に移行することを意図している場合、Azure Sentinel の普遍的な価値を得るまでの時間が大幅に長くなります。

サイド バイ サイドの SIEM 展開に最適なアプローチは何ですか?

移行プロセスのサイド バイ サイド フェーズには、5 つの基本的な展開モデルがあります。これらのアプローチのいくつかは、実装が簡単に見えるかもしれませんが、長期的には望ましくない複雑さをもたらす可能性があります.それぞれの長所と短所を見てみましょう。

アプローチ 1: ログを Azure Sentinel から従来の SIEM に移動する

この構成では、組織は Azure Sentinel をログ リレーとしてのみ使用し、ログを既存のオンプレミス SIEM に転送します。 Azure Sentinel をログ リレーとして厳密に実行すると、オンプレミスの SIEM と同じコストとスケールの課題が引き続き発生するため、このアプローチはお勧めしません。さらに、Azure Sentinel でのデータ インジェストと、従来の SIEM でのストレージ コストに料金が発生します。もう 1 つの欠点: Azure Sentinel を単にログ リレーとして使用すると、検出、分析、AI、調査、自動化ツールなど、Azure Sentinel の完全な SIEM+SOAR 機能を利用できなくなります。

アプローチ 2: 従来の SIEM から Azure Sentinel にログを移動する

このアプローチでは、SecOps チームが従来の SIEM から Azure Sentinel にログを転送します。上記と同様の理由から、このアプローチはお勧めしません。オンプレミス SIEM の容量制限なしで Azure Sentinel のすべての機能を利用できますが、組織は 2 つの異なるベンダーへのデータ インジェストに対して引き続き料金を支払うことになります。このモデルでは、アーキテクチャが複雑になるだけでなく、ビジネスのコストが高くなる可能性があります。

アプローチ 3: Azure Sentinel と従来の SIEM を別々のソリューションとして使用する

このモデルでは、チームは Azure Sentinel を使用してクラウド データを分析しながら、引き続きオンプレミスの SIEM を使用して他のデータ ソースを分析します。このセットアップにより、どのソリューションをいつ使用するかに関する明確な境界が可能になり、コストの重複が回避されます。ただし、2 つの間の相互相関は困難になります。したがって、このシナリオは推奨されません。脅威が組織全体で横方向に移動することが多い今日の状況では、このような可視性のギャップは重大なリスクをもたらします。

アプローチ 4: Azure Sentinel から従来の SIEM にアラートと強化されたインシデントを送信する

このアプローチでは、Azure Sentinel でクラウド データを分析し、生成されたアラートを従来の SIEM に送信します。そこでは、従来の SIEM を単一の画面として引き続き使用し、Azure Sentinel によって生成されたアラートに対して相互相関を行うことができます。自分のペースで移行する自由を与えながらコストの重複を回避できますが、この構成はまだ最適ではありません.強化されたインシデントを従来の SIEM に転送するだけでは、Azure Sentinel の調査、ハンティング、および自動化機能から得られる価値が制限されます。

アプローチ 5: 従来の SIEM から Azure Sentinel にアラートを送信する

この構成では、SecOps チームは Azure Sentinel 内でクラウド データを取り込んで分析し、従来の SIEM を使用してオンプレミス データを分析し、Azure Sentinel にアラートを生成します。このようにして、チームは Azure Sentinel 内で相互相関と調査を自由に行うことができ、必要に応じて従来の SIEM にアクセスしてより詳細な調査を行うことができます。これは、組織に適したペースでデータを移行しながら、Azure Sentinel から最大限の価値を引き出すことができるため、サイド バイ サイド移行の推奨方法です。

パート 3 で近日公開: ユースケースの移行

このシリーズの 3 回目で最後の投稿では、Azure Sentinel の強力な自動化機能を最大限に活用する方法など、データ ソースと検出を移行するためのベスト プラクティスについて検討します。また、移行を完了し、従来の SIEM から完全に移行するためのヒントもいくつか提供します。移行プロセスの完全な概要については、ホワイト ペーパーをダウンロードしてください: Azure Sentinel Migration Fundamentals .

Microsoft セキュリティ ソリューションの詳細については、 当社の Web サイト を参照してください。セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。