Google Cloud SIEM 移行手順

Google Cloud SIEM 移行

製品情報

仕様:

• 製品名: SIEM 移行ガイド
• 著者： 未知
• 公開済み 年： 指定されていない

製品使用説明書

• 新しいSIEMの選択
  まず、自分自身とチームにいくつかの重要な質問をして、各製品の長所と短所を明らかにします。各SIEMの優れた点を素早く特定し、組織がそれらをどのように活用できるかを計画します。tagそれらのe。
• クラウドネイティブSIEM
  SIEM が、世界規模のインフラストラクチャを卸売価格で提供できる主要なクラウド サービス プロバイダー (CSP) によって提供されているかどうかを検討してください。クラウド ネイティブの SIEM 展開モデルにより、クラウド ワークロードのスケーラビリティと動的な管理が可能になります。
• インテリジェンスを備えたSIEM
  SIEM ベンダーが、新しい脅威や出現する脅威をすぐに検出できるように、継続的な最前線の脅威インテリジェンスを提供しているかどうかを確認します。

SIEMは死んだ、SIEM万歳

あなたも私たちと同じなら、2024 年になってもセキュリティ情報およびイベント管理 (SIEM) システムがほとんどのセキュリティ オペレーション センター (SOC) のバックボーンになっていることに驚かれるかもしれません。SIEM はこれまで、組織全体からセキュリティ データを収集して分析し、脅威を迅速かつ効果的に特定、調査、対応するために使用されてきました。しかし現実には、今日の最新の SIEM は、クラウド ネイティブ アーキテクチャ、ユーザー エンティティおよび動作分析 (UEBA)、セキュリティ オーケストレーション、自動化、対応 (SOAR)、攻撃対象領域管理、そしてもちろん AI などが台頭する前の 15 年以上前に構築された SIEM とはほとんど似ていません。
レガシー SIEM は、多くの場合、速度が遅く、扱いにくく、使いにくいものです。レガシー アーキテクチャでは、大量のログ ソースを取り込むための拡張ができないことが多く、最新の脅威に追いつくことも、最新の機能や性能をサポートすることもできない場合があります。組織の特定の要件をサポートする柔軟性がなかったり、今日のほとんどの組織が直面しているマルチクラウド戦略に適していない場合があります。最後に、先進的な取り組みを行うには不十分な場合があります。tag人工知能（AI）などの最新の技術開発のe。
SIEMはどんな名前で呼ばれても同じように魅力的に聞こえるかもしれませんが、セキュリティ運用チームは引き続きSIEMに依存します。
近い将来、脅威の検出、調査、対応のために「セキュリティ運用プラットフォーム」（またはどのような名前で呼ばれることもあります）が登場します。

SIEM の大規模な移行が始まりました

SIEM の移行は目新しいものではありません。組織は既存の SIEM に愛着がなくなり、何年もの間、より新しく優れたオプションを求めてきました。おそらく多くの場合、組織は、SIEM の移行に対処する複雑さに対する懸念から、パフォーマンスが低い SIEM や過度に高価な SIEM を望んだよりも長い間我慢してきました。
しかし、ここ数か月で SIEM 分野に重大な変化が起こり、その影響は軽視できません。今後数年のうちに SIEM の状況は完全に変わることは間違いありません。新たな市場リーダーが誕生し、数十年 (サイバーセキュリティ用語では「永劫」) にわたって SIEM 界を支配してきた「恐竜」が衰退し、場合によっては消滅するでしょう。これらの進展により、レガシー SIEM プラットフォームから最新のプラットフォームへの移行が加速することは間違いありません。現在、多くの組織は移行すべきかどうかではなく、いつ移行すべきかという現実に直面しています。

過去 9 か月間の主な動きを以下にまとめます。

現在の SIEM の欠点を特定することは、最適な代替品を選択して移行を成功させるよりもはるかに簡単です。また、SIEM の導入の失敗は、テクノロジーだけでなく、プロセス (場合によっては人) に起因する場合もあることにも留意する必要があります。ここで、このホワイト ペーパーが役立ちます。著者は、数十年にわたって実務者、アナリスト、ベンダーとして何百もの SIEM 移行を見てきました。それでは、2024 年に向けた SIEM 移行の重要なヒントをまとめてみましょう。このリストをカテゴリに分け、現場で学んだ教訓を散りばめていきます。

新しいSIEMの選択

まず、自分自身とチームにいくつかの重要な質問をして、各製品の長所と短所を明らかにします。各SIEMの「スーパーパワー」を素早く特定し、組織がそれらをどのように活用できるかを計画することをお勧めします。tagそれらのe。例えばamp上：

• クラウドネイティブSIEM
  
  • SIEM は、世界規模のインフラストラクチャを卸売価格で提供できる主要なクラウド サービス プロバイダー (CSP) によって提供されていますか?
    私たちの経験から、自社所有ではないクラウドで運用する SIEM プロバイダーは、そのようなモデルに伴う避けられない「マージンスタッキング」を克服するのが難しいことがわかっています。この問題はコストと密接に関連しています。
    クラウドネイティブ SIEM 導入モデルでは、新たな脅威に応じて SIEM をスケールアップおよびスケールダウンしたり、組織のクラウド ワークロードの動的な性質を管理したりすることもできます。クラウド インフラストラクチャとアプリケーションは、数分で劇的に拡張できます。クラウドネイティブ SIEM アーキテクチャでは、セキュリティ チームの重要なツールを、大規模な組織のニーズに合わせて同じ速度で拡張できます。
    クラウドネイティブ SIEM は、クラウド ワークロードのセキュリティ保護にも最適です。クラウド サービスからの低遅延データ取り込みを提供し、クラウドでよく見られる攻撃の特定に役立つ検出コンテンツが付属しています。
• インテリジェンスを備えたSIEM
  • SIEM ベンダーは、新たな脅威や出現する脅威をすぐに検出できるように、最前線の脅威インテリジェンスを継続的に提供していますか?
    これらの貴重な情報源は、通常、最高レベルのインシデント対応の実践、大規模な消費者向け IaaS または SaaS クラウド サービスの運用、またはセキュリティ ソフトウェア製品やオペレーティング システムのグローバルなインストール ベースから生まれます。
    脅威インテリジェンスは、組織がセキュリティ インシデントを効果的に検出、トリアージ、調査、および対応するために不可欠です。特に、最前線の脅威インテリジェンスは、最新の脅威と脆弱性に関するリアルタイムの情報を提供するため、貴重です。この情報を使用して、セキュリティ インシデントを迅速に特定して優先順位を付け、効果的な対応戦略を開発して実装できます。
    セキュリティ組織は、リアルタイムの脅威検出および対応機能を向上させるために、脅威インテリジェンスと関連データ フィードをセキュリティ運用ワークフローおよびツールにシームレスに統合することを目指しています。SIEM と脅威インテリジェンス ソース間の回転椅子、コピー アンド ペースト、不安定な統合は生産性を低下させ、チームの効率性とアナリストの経験に悪影響を及ぼします。
• 厳選されたコンテンツを備えたSIEM
  • SIEM は、サポートされているパーサー、検出ルール、および応答アクションの広範なライブラリを提供していますか?
    ヒント： 一部の SIEM ベンダーは、一般的なデータ フィード用のパーサーの作成を、ほぼ自社のユーザー コミュニティや技術提携パートナーに全面的に依存しています。活発なユーザー コミュニティは不可欠ですが、解析などの基本的な機能の提供をコミュニティに過度に依存するのは問題です。一般的なデータ ソース用のパーサーは、SIEM ベンダーが直接作成、保守、サポートする必要があります。検出ルールの内容を確認する場合も同じアプローチをとってください。コミュニティ ルールは不可欠ですが、ベンダーには、定期的にテスト、サポート、改善されるコア検出の堅牢なライブラリを作成、保守することを期待する必要があります。組織がセキュリティ体制を効果的に管理するには、高品質で厳選された脅威検出が不可欠です。Google SecOps は、新しい脅威や出現しつつある脅威をすぐに検出できる機能を提供しており、組織がセキュリティ インシデントを迅速に特定して対応するのに役立ちます。
• AI を活用した SIEM
  • SIEM には AI が組み込まれており、今後も革新を続ける体制が整っていますか?
    SIEM における人工知能の役割は、どのベンダーもまだ十分に理解していません (ましてや実装されていません)。しかし、主要な SIEM にはすでに具体的な AI 駆動機能が今日出荷されています。これらの機能には、検索とルールを表現するための自然言語処理、自動化されたケース要約、推奨される対応アクションなどがあります。ほとんどの顧客と業界観測者は、脅威検出や予測的敵対者分析などの機能を AI 駆動 SIEM 機能の「聖杯」の一部と考えています。現在、これらの機能を確実に提供できる SIEM はありません。2024 年に新しい SIEM を選択する際には、ベンダーがこれらの変革機能で意味のある進歩を遂げるために必要なリソースを投資しているかどうかを検討してください。

Google Security Operations（旧称 Chronicle）は、Google Cloud が提供するクラウドベースの SIEM ソリューションです。組織がログやその他のセキュリティ テレメトリを一元的に収集し、セキュリティの脅威をリアルタイムで検出、調査、対応できるように設計されています。 

• セキュリティ脅威を検出し優先順位を付けるGoogle SecOps のすぐに使用できる検出ルールは、セキュリティの脅威をリアルタイムで特定し、優先順位を付けます。これにより、組織は最も重大な脅威に迅速かつ効果的に対応できるようになります。
• セキュリティ インシデントの調査: Google SecOps は、セキュリティ インシデントを調査するための一元化されたプラットフォームを提供します。これにより、組織は迅速かつ効率的に証拠を収集し、インシデントの範囲を特定できます。
• セキュリティインシデントへの対応: Google SecOps は、自動修復など、組織がセキュリティ インシデントに対応するのに役立つさまざまなツールを提供します。脅威ハンターは、このプラットフォームの速度、検索機能、および応用脅威インテリジェンスが、隙間をすり抜けた可能性のある攻撃者を追跡する上で非常に貴重であると考えています。これにより、組織はセキュリティ インシデントの影響を迅速かつ効果的に封じ込め、軽減することができます。
  Google SecOpsには多くの利点がありますtag従来の SIEM ソリューションよりも優れた機能:
• 人工知能： Google SecOps は Google の Gemini AI テクノロジーを使用して、防御側が自然言語を使用して膨大な量のデータを数秒で検索し、質問に答え、イベントを要約し、脅威を探し、ルールを作成し、調査のコンテキストに基づいて推奨アクションを提供することで、より迅速な意思決定を行えるようにします。セキュリティ チームは、セキュリティ オペレーションで Gemini を使用して、対応プレイブックを簡単に作成し、構成をカスタマイズし、ベスト プラクティスを組み込むこともできます。これにより、深い専門知識を必要とする時間のかかるタスクが簡素化されます。
• 応用脅威インテリジェンスGoogle SecOps は、VirusTotal、Mandiant Threat Intelligence、Google 内部の Threat Intelligence ソースからの統合されたインテリジェンスを網羅する Google Threat Intelligence (GTI) とネイティブに統合されており、お客様がより少ない労力でより多くの脅威を検出できるようにします。
• スケーラビリティGoogle SecOps はクラウドベースのソリューションであるため、Google Cloud が提供するハイパースケール クラウド インフラストラクチャを活用して、規模に関係なくあらゆる組織の容量とパフォーマンスのニーズを満たすことができます。
• Google Cloud との統合: Google SecOps は、Google Cloud Security Command Center Enterprise（SCCE）などの他の Google Cloud 製品やサービスと緊密に統合されています。この統合により、組織は単一の統合プラットフォームでセキュリティ運用を簡単に管理できます。Google SecOps は、GCP サービス テレメトリに最適な SIEM であり、AWS や Azure などの他の主要なクラウド プロバイダ向けのすぐに使用できる検出コンテンツも含まれています。

Google SecOps における脅威インテリジェンスの応用
Google SecOps を使用すると、セキュリティ チームは、脅威データと自動的に相関して強化されたセキュリティ データを管理および分析できます。脅威インテリジェンスを SIEM に直接統合することで、組織は次のことが可能になります。

• 検出とトリアージの改善: 脅威データは、悪意のあるアクティビティをリアルタイムで特定するのに役立つルールを作成するために直接使用できます。このデータは、他のアラートにコンテキストを追加したり、アラートの信頼度を自動的に調整したりするためにも使用されます。これにより、組織はセキュリティ インシデントを迅速に検出してトリアージし、最も重要な脅威にリソースを集中させることができます。
• 調査と対応の強化: 脅威インテリジェンスは、セキュリティ調査中にコンテキストと洞察を提供するために使用できます。これにより、アナリストはインシデントの根本原因を迅速に特定し、効果的な対応戦略を策定して実装できるようになります。
• 脅威の状況に先手を打つ: 脅威インテリジェンスは、最新の脅威と脆弱性に関する情報を提供することで、組織が脅威の状況に先手を打つのに役立ちます。この情報は、脅威ハンティングやセキュリティ意識向上トレーニングなどのプロアクティブなセキュリティ対策を開発および実装するために使用できます。

Google SecOps における脅威検出
Google SecOps の脅威検出は、Google のセキュリティ チームから継続的に提供される最前線の脅威インテリジェンスに基づいています。このインテリジェンスは、悪意のあるアクティビティをリアルタイムで識別できるルールとアラートを作成するために使用されます。また、Google SecOps は、行動分析とリスク スコアリングを使用して、セキュリティ データ内の疑わしいパターンを特定します。これにより、Google SecOps は従来の検出ルールでは検出できない脅威を検出できます。

高品質で厳選された脅威検出の価値は明らかです。Google SecOps を使用する組織は次のようなメリットを得ることができます。

• 検出とトリアージの改善: Google SecOps は、組織がセキュリティ インシデントを迅速に特定してトリアージするのに役立ちます。これにより、組織は最も重要な脅威にリソースを集中させることができます。
• 強化された調査と対応: Google SecOps は、セキュリティ調査中にコンテキストと分析情報を提供できます。これにより、アナリストはインシデントの根本原因を迅速に特定し、効果的な対応戦略を策定して実装できるようになります。
• 脅威の状況に先手を打つ: Google SecOps は、最新の脅威と脆弱性に関する情報を提供することで、組織が脅威の状況に先手を打つことを支援します。この情報は、脅威ハンティングやセキュリティ意識向上トレーニングなどのプロアクティブなセキュリティ対策を開発および実装するために使用できます。

SIEM 移行

移行を決意しました。移行へのアプローチは、必要な機能を維持し、できるだけ早く新しいプラットフォームから価値を引き出すために重要です。それは優先順位付けに帰着します。典型的なトレードオフは、SIEM の移行は調査、検出、対応へのアプローチ全体を最新化する機会である一方で、組織が「大海を沸騰させよう」とするため、多くの SIEM 移行が失敗することを認識することです。

そこで、SIEM 移行を成功に導くための計画と実行に関する最良のヒントをご紹介します。

• 移行の目標を定義します。これは当然のことのように聞こえますが、SIEM の移行は長いプロセスであるため、望ましい結果 (脅威の検出の高速化、コンプライアンス レポートの簡素化、可視性の向上、アナリストの労力の削減、コストの削減など) を定義することは、成功と密接に関連しています。
• 移住を機会に家を掃除しましょう。これは掃除するのに良い時期です 検出ルールとログソース 実際に使用するものだけを移行してください。また、view アラートのトリアージと調整のプロセスを確認し、最新の状態であることを確認します。
• すべてのログ ソースを移行しないでください。新しい SIEM への移行は、コンプライアンスやセキュリティ上の理由から、必要なログを決定する絶好の機会です。多くの組織では、時間の経過とともに膨大な量のログ データが蓄積されますが、そのすべてが必ずしも価値がある、または関連性があるわけではありません。移行する前に時間をかけてログ ソースを評価することで、SIEM を合理化し、セキュリティとコンプライアンスのニーズにとって最も重要なデータに集中できます。
• すべてのコンテンツを移行しないでください。既存の検出コンテンツ、ルール、アラート、ダッシュボード、視覚化、プレイブックをすべて新しい SIEM に移行する必要は必ずしもありません。時間をかけて現在の検出範囲を評価し、必要なルールの移行を優先してください。ルールを統合する機会が見つかり、テレメトリの不足やロジックの誤りにより実行できないルールや、すぐに使用できるコンテンツの方が適切に処理されるルールが排除されます。1 対 1 のルール移行を推奨するベンダーや展開パートナーには質問してください。
• 早期のコンテンツ移行を優先します。特定のユースケースごとに必要なログ ソースとエンリッチメントが利用可能になったら、すぐに検出コンテンツの移行を開始します。このデータ主導のアプローチでは、ソースをユースケースに合わせて調整することで、並行して移行作業を実行し、最適な効率と結果を得ることができます。
• 検出コンテンツの移行は、人間が主導するプロセスです。古いコンテンツを参考にして、検出コンテンツ (ルール、アラート、ダッシュボード、モデルなど) を (ほとんど) ゼロから再構築する準備をしてください。現在、SIEM プラットフォーム間でルールを自動的に変換する確実な方法はありません。一部のベンダーは構文トランスレータを提供していますが、それらは通常、完璧に翻訳されたルール、検索、ダッシュボードではなく、良い出発点になります。最大限のアドバンテージを取る必要があります。tagこれらのツールは役立ちますが、万能薬ではないことを認識してください。
• 検出コンテンツはさまざまなソースから提供されます。検出範囲のニーズを分析し、必要に応じて検出ユースケースを採用または作成してください。SIEM ベンダーはすぐに使用できるコンテンツをいくつか提供しており、可能であれば常に活用してください。また、コミュニティ ルール リポジトリやサードパーティの検出コンテンツ プロバイダーも検討してください。必要に応じて独自のルールを作成し、ほとんどのルールは、その出所に関係なく、組織の特定の環境に合わせて調整する必要があることに注意してください。
• 現実的な移行タイムラインを作成します。これには、データ転送、テスト、チューニング、トレーニング、および両方のシステムを並行して実行する必要がある場合の潜在的な重複を考慮することが含まれます。明確に定義された移行計画は、リスクを特定して軽減し、移行が正常に完了することを保証する上で役立ちます。計画には、詳細なタイムライン、タスクのリスト、リソース、および予算を含める必要があります。SIEM 移行のような大規模なプロジェクトは、フェーズに分割する必要があることを認識してください。
• テスト。検出をトリガーするデータを定期的に挿入し、解析をチェックし、検出からケース、対応プレイブックへのデータフローを検証することで、SIEMと検出コンテンツをテストすることをお勧めします。SIEMの移行は、厳格なテストを実施するのに最適な時期です。 検出工学プログラム これにはこのようなテストが含まれます。
• 古いツールと新しいツールの両方を実行する移行期間に備えてください。混乱を招く「総入れ替え」アプローチは避けてください。ログ ソースとユース ケースを段階的に移行することで、プロセスを制御してリスクを軽減できます。また、古い SIEM から新しい SIEM にデータを再取り込みすることについても慎重に検討してください。場合によっては、履歴データにアクセスできるように、以前の SIEM を長期間実行したままにできることがあります。
• チームを支援します。アナリストが新しいシステムを使用できない場合、SIEM の移行は失敗します。優れた移行計画には、チームを徹底的に支援することが含まれます。データのオンボーディングと解析に関するエンジニアのトレーニング、ケース管理/調査/トリアージに関するアナリストのトレーニング、異常検出/検索に関する脅威ハンターのトレーニング、ルール作成に関する検出エンジニアのトレーニングを検討してください。支援にはタイミングが重要です。スキルが必要になる前にトレーニングするのではなく、移行の特定のフェーズに着手するときにスタッフをトレーニングするのが最適です。
• 支援を受けましょう! 実務者またはリーダーとして幸運であれば (あるいは不運であれば)、おそらくキャリアの中で SIEM 移行を 1 回か 2 回は経験しているでしょう。何十回、何百回も経験した専門家に支援を求めてみてはいかがでしょうか。ベンダーのプロフェッショナル サービス チームや認定サービス パートナーのコンサルティング チームは最適な選択肢です。SIEM 移行は主に人間中心の取り組みです。

主要プロセス: 導入パートナーの選択
SIEM 移行の最終的な成功に最も大きな影響を与える決定は、導入パートナーの選択です。SIEM プラットフォームは、大規模で複雑なエンタープライズ システムです。単独で進めようとせず、数多くの移行を経験した導入パートナーと連携してください。

導入パートナーは、新しい SIEM ベンダーの専門サービス部門だけである場合もあります。ただし、移行を実行するためにサードパーティ パートナーを選択する方が一般的です。SIEM の移行は人間主導の取り組みであることを忘れないでください。新しい SIEM の認定を受けており、参照可能なパートナーを多数持つパートナーを選択するのが最善です。移行元の SIEM の専門知識を持っていることも役立ちます。参照以外に、新しい SIEM に関するパートナーの経験レベルを判断する賢い方法は、コミュニティ フォーラムをチェックして、チームが積極的に貢献しているかどうかを確認することです。著者の意見では、パートナー スタッフの積極的な関与は、SIEM 移行の成功と相関関係があります。SIEM 移行の技術的な部分だけでなく、業界、コンプライアンス環境、地域、またはそのすべてで特定の経験を持つパートナーを選択することもできます。事前に言語スキルとリソースを探すことができます。tagさまざまなタイムゾーンに対応しています。また、SIEM を運用してくれるパートナーや、組織の SIEM を部分的または完全にアウトソーシングできるマネージド セキュリティ サービス プロバイダーと同様の成果を提供するパートナーを探すこともできます。

主要プロセス: 現在の構成とユースケースを文書化する
SIEM の導入は、通常、大規模で、長年の使用で範囲と複雑さが着実に増大します。ドキュメントはほとんどまたはまったく作成されないことを覚悟してください。SIEM の初期構成とカスタマイズを実行した担当者は、すでに退職していることが多いと想定してください。移行プロセスの早い段階で構成と機能を徹底的にドキュメント化することが、成功と失敗の違いを意味する場合があります。

• SIEM が使用する ID およびアクセス管理を文書化します。データと機能へのロールベースのアクセスは確実に維持する必要があります。一方、移行は、ほとんどの組織で自然に発生するアクセスの拡散を分析して対処する機会です。移行プロセスを、ID を企業標準と連携させ、多要素認証を実装するなど、認証/承認方法を最新化する機会と見なすこともできます。
• 収集されるデータタイプの名前をキャプチャします。一部のSIEMでは、これらの名前を「ソースタイプ」または「ログタイプ」と呼ぶことに注意してください。ギガバイト/日を指標として使用して、各データタイプのデータフロー量を取得します。各データソースのデータパイプライン（エージェントベース、APIクエリ、 web フック、クラウド バケット取り込み、取り込み API、HTTP リスナーなど) をキャプチャし、SIEM のパーサー構成をカスタマイズとともにキャプチャします。
• 保存された検索、ダッシュボードの定義、検出ルールを収集します。多くの SIEM には、ルックアップ テーブルなどの永続的なデータ ストレージ メカニズムもあります。これらがどのように入力され、使用されるかを必ず理解し、文書化してください。
• 外部システムとの統合のインベントリを作成します。多くの SIEM は、ケース管理システム、リレーショナル データベース、通知サービス (電子メール、SMS など)、脅威インテリジェンス プラットフォームと統合されます。
• プレイブック、ケース管理テンプレート、まだ文書化されていないアクティブな統合などの応答コンテンツをキャプチャします。

これらの重要な技術的詳細を収集するだけでなく、時間をかけてインターンシップを行うことも重要です。view 既存のSIEMのユーザーに、彼らのワークフローを理解するよう依頼します。SIEMをどのように使用しているか、どのような標準操作手順がSIEMに依存しているかを尋ねます。また、セキュリティ以外のどのチームがSIEMを使用する可能性があるかなど、幅広い質問をすることも重要です。たとえば、ampつまり、コンプライアンス チームや IT 運用スタッフが SIEM に依存することは珍しくありません。これらのユース ケースを把握しないと、移行プロセスの後半で期待どおりの結果が得られない可能性があります。

主要プロセス: ログソースの移行
ログソースの移行には、古いSIEMから新しいSIEMへのデータソースの移動が含まれます。このプロセスは、 プロセス: 現在の構成と使用状況を文書化する セクション。

ログ ソース移行プロセスには通常、次の手順が含まれます。

1. 検出とインベントリ: 最初のステップは、古いSIEMによって現在取り込まれているすべてのログソースを検出してインベントリを作成することです。これは、再viewSIEMの構成 fileまたは API や関連ツールを使用します。
2. 優先順位: ログ ソースが検出され、インベントリが作成されたら、移行の優先順位を付ける必要があります。これは、ログ ソースによって実行される分析、データの量、データの重要度、コンプライアンス要件、移行プロセスの複雑さなど、さまざまな要素に基づいて行うことができます。
3. 移行計画: ログ ソースの優先順位が決まったら、移行計画を作成する必要があります。
4. 移行実行: その後、移行プロセスは計画に従って実行できます。これには、新しい SIEM でのフィード構成、エージェントのインストール、API の構成など、さまざまなタスクが含まれる場合があります。
5. テストと検証: 移行が完了したら、ログ データが適切に取り込まれているかどうかをテストして検証することが重要です。これを機会に、ログ データが少なくなったデータ ソースに対するアラートを構成してください。
6. ドキュメント: 最後に、新しいログ ソース構成を文書化することが重要です。

主要プロセス: 検出と対応コンテンツの移行
SIEM の検出と対応のコンテンツは、ルール、検索、プレイブック、ダッシュボード、その他の構成で構成され、SIEM がアラートを発するものと、アナリストがそれらのアラートを処理する方法を定義します。コンテンツが適切に構成されていない場合、SIEM は単なる検索の派手な方法に過ぎません。これは「高価な grep」です。これは、著者の同僚が数年前に作った言葉です。SIEM コンテンツは、組織の検出範囲を定義する上で重要な役割を果たします。

• 検出ルールは、セキュリティ インシデントを識別するために使用されます。セキュリティ脅威の主体と、それらに共通する戦術、技術、手順 (TTP) について深い知識を持つ検出エンジニアが、検出ルールを作成します。検出ルールは、ログ データ内でこれらの TTP を表すパターンを探します。検出ルールは、多くの場合、さまざまなログ ソースを相互に関連付け、脅威インテリジェンス データを活用します。
• レスポンス プレイブックは、セキュリティ アラートへの対応を自動化するために使用されます。通知の送信、侵害されたホストの隔離、コンテキスト データ/脅威インテリジェンスによるアラートの強化、修復スクリプトの実行などのタスクを含めることができます。
• ダッシュボードは、セキュリティ データを視覚化し、セキュリティ インシデントのステータスを追跡するために使用されます。ダッシュボードを使用して、組織の全体的なセキュリティ体制を監視し、傾向とパターンを特定できます。
• 新しい検出および対応コンテンツの開発は反復的なプロセスです。SIEM を継続的に監視し、必要に応じてコンテンツを調整することが重要です。SIEM の移行は、コードとしての検出 (DaC) などのアプローチを使用してプロセスを改善する絶好の機会です。

主要プロセス: トレーニングと有効化
SIEM 移行中に見落とされがちなプロセスは、ユーザー トレーニングです。SIEM は、セキュリティ運用チームが使用する最も重要なツールの 1 つです。SIEM を効果的かつ生産的に使用できるかどうかが、移行の成功と組織を保護する能力に大きな役割を果たします。トレーニング コンテンツと配信の提供については、SIEM プロバイダーと展開パートナーに依頼してください。チームで対応する必要があるトピックの簡単なリストを以下に示します。

• ログフィードの取り込みと解析
• 捜索・調査
• ケースマネジメント
• ルール作成
• ダッシュボード開発
• プレイブック / 自動化

結論

• 最終的には、従来の SIEM から最新のソリューションへの移行は避けられません。課題は困難に思えるかもしれませんが、適切に計画され実行された移行により、脅威の検出、対応能力、および全体的なセキュリティ体制が大幅に改善されます。
• 新しい SIEM の選択を慎重に検討し、クラウドネイティブ アーキテクチャの強みを活用し、高度な脅威インテリジェンスを組み込み、AI 主導の機能を利用することで、組織はセキュリティ チームが進化し続ける脅威に対して積極的に防御できるようにすることができます。移行プロセスを成功させるには、綿密な計画、包括的なドキュメント、戦略的なログ ソースとコンテンツの移行、徹底したテスト、包括的なユーザー トレーニングが必要です。
• 経験豊富な導入スペシャリストと提携することは、複雑な状況を乗り越えてスムーズな移行を実現する上で非常に有益です。継続的な改善と検出エンジニアリングへの注力により、組織は
• 新しい SIEM の可能性を活用し、今後何年にもわたってセキュリティ防御を強化します。

追加資料

• 「Google SecOps が SIEM スタックの強化にどのように役立つか」論文
• 「SOC の未来: 進化か最適化か - 道を選ぶ」 紙
• Google Cloud セキュリティ コミュニティ ブログ
• 検出エンジニアリング週刊ニュースレター
• 検出.fyi – 検出エンジニアリングに関する実践者中心のヒント
• コード検出と Google セキュリティ運用の入門 – David French (パート1、 パート2)
• 最新の検出エンジニアリングワークフローの実装 – Dan Lussier （パート１, パート2, パート3)

詳細については、 クラウド

よくある質問

Q: SIEM 移行ガイドの目的は何ですか?
A: このガイドは、組織が古い SIEM ソリューションから、脅威の検出と対応のための新しい、より効率的なオプションに移行できるように支援することを目的としています。

Q: クラウドネイティブ SIEM からどのようなメリットが得られますか?
A: クラウドネイティブ SIEM は、そのアーキテクチャと機能により、クラウド ワークロードにスケーラビリティ、コスト効率、効果的なセキュリティを提供します。