Для любой организации миграция на новый SIEM является стратегическим решением. Прежде чем определять этапы и сроки их выполнения, вам следует прописать приоритеты, что нужно сделать прежде всего.

Приоритеты должны основываться на последней оценке рисков, чтобы избежать действий, имеющих высокий уровень риска и существенное влияние на бизнес-операции. Также следует определить заинтересованные стороны и получить взаимное согласие относительно приоритетов в миграции на новую SIEM.

После определения приоритетов необходимо задокументировать проблемы, которые вы пытаетесь решить с помощью изменения SIEM и сформировать на их основе юзкейсы. В них должна быть информация о людях, процессах и технологиях, а также они должны соответствовать бизнес-целям вашей организации.

Чтобы эти юзкейсы действительно работали, определите различные источники данных, из которых будут собираться логи вашего нового решения SIEM. Лучше всего спросить вашего поставщика услуг о встроенных юзкейсах и доступных источниках данных для его платформы.

SIEM-решения имеют успех благодаря данным для логов, и именно поэтому неправильная конфигурация может сделать их неэффективными.

Вам следует тесно координировать свои действия с поставщиком услуг SIEM, чтобы точно настроить источники данных для вашего нового решения. Хорошая SIEM имеет встроенную поддержку множества источников данных для логов и требует минимальной ручной работы.

Logsign SIEM поддерживает множество источников данных, чтобы помочь клиентам быстро настроить решение. Вы можете попросить у команды поддержки создать новые парсеры или получить помощь в создании индивидуальных парсеров в соответствии с вашими требованиями.

В качестве подпроцесса выполнения вашего плана вам может потребоваться обучить вашу команду SOC работе с новым решением SIEM и его эффективному использованию. Хотя новый SIEM повысит производительность команды, вы должны убедиться, что переход займет как можно меньше времени. Продолжительность этого этапа прямо пропорциональна количеству юзкейсов и источников данных для логов.

Миграция на новое решение SIEM не завершается сразу после того, как ваша команда начнет его использовать.

Организация должна убедиться, что новый SIEM работает должным образом и обнаруживает угрозы и подозрительное поведение. Мы рекомендуем иметь определенный переходный период, прежде чем вы полностью прекратите использование устаревшего SIEM. На этом этапе вам нужно установить базовые значения для оценки производительности нового решения SIEM. Они зависят от таких факторов, как комплаенс, процент ложных срабатываний, объем корреляции событий и т.д.

Чем больше данных поступает в вашу новую SIEM-платформу, тем качественнее она самонастраивается и дает лучшие результаты.

Используя алгоритмы машинного обучения и аналитику поведения, SIEM минимизирует процент ложных срабатываний. Однако перед тем, как согласовать план миграции на новую SIEM, ваша организация должна определить конкретную периодичность пересмотра эффективности работы решения.

Эти просмотры должны быть сосредоточены на имеющихся юзкейсах и создании новых в соответствии с бизнес-требованиями. Мы рекомендуем делать это ежеквартально.

На этом этапе идеально использовать «красные команды», чтобы проверить, как реагирует ваше решение SIEM. Если в вашей организации нет специальной команды для проведения испытаний, вам следует рассмотреть возможность привлечения независимой третьей стороны.

С этого момента совершенствование вашего SIEM с помощью регулярных проверок должно стать частью непрерывного процесса.