Для будь-якої організації міграція на новий SIEM є стратегічним рішенням. Перш ніж визначати етапи та терміни їх виконання, вам слід прописати пріоритети, що потрібно зробити насамперед.

Пріоритети повинні ґрунтуватися на останній оцінці ризиків, щоб уникнути дій, що мають високий рівень ризику та суттєвий вплив на бізнес-операції. Також слід визначити зацікавлені сторони та отримати взаємну згоду щодо пріоритетів у міграції на нову SIEM.

Після визначення пріоритетів необхідно задокументувати проблеми, які ви намагаєтеся розвʼязати за допомогою зміни SIEM і сформувати на їх основі юзкейси. У них повинна бути інформація про людей, процеси та технології, а також вони мають відповідати бізнес-цілям вашої організації.

Щоб ці юзкейси справді працювали, визначте різні джерела даних, з яких збиратимуться логи вашого нового рішення SIEM. Найкраще запитати вашого постачальника послуг про вбудовані юзкейси та доступні джерела даних для його платформи.

SIEM-рішення мають успіх завдяки даним для логів, і саме тому неправильна конфігурація може зробити їх неефективними.

Вам слід тісно координувати свої дії з постачальником послуг SIEM, щоб точно налаштувати джерела даних для вашого нового рішення. Хороша SIEM має вбудовану підтримку безлічі джерел даних для логів і вимагає мінімальної ручної роботи.

Logsign SIEM підтримує безліч джерел даних, щоб допомогти клієнтам швидко налаштувати рішення. Ви можете попросити у команди підтримки створити нові парсери або отримати допомогу у створенні індивідуальних парсерів відповідно до ваших вимог.

Як підпроцес виконання вашого плану вам може знадобитися навчити вашу команду SOC роботи з новим рішенням SIEM та його ефективного використання. Хоча новий SIEM підвищить продуктивність команди, ви повинні переконатися, що перехід займе якомога менше часу. Тривалість цього етапу прямо пропорційна кількості юзкейсів та джерел даних для логів.

Міграція на нове рішення SIEM не завершується одразу після того, як ваша команда почне його використовувати.

Організація повинна переконатися, що новий SIEM працює належним чином і виявляє загрози та підозрілу поведінку. Ми рекомендуємо мати певний перехідний період, перш ніж ви повністю припините використання застарілого SIEM. На цьому етапі вам потрібно встановити базові значення для оцінки продуктивності нового рішення SIEM. Вони залежать від таких чинників, як комплаєнс, відсоток помилкових спрацьовувань, обсяг кореляції подій тощо.

Чим більше даних надходить до вашої нової SIEM-платформи, тим якісніше вона самоналаштовується і дає кращі результати.

Використовуючи алгоритми машинного навчання та аналітику поведінки, SIEM мінімізує відсоток помилкових спрацьовувань. Однак перед тим, як погодити план міграції на нову SIEM, ваша організація повинна визначити конкретну періодичність перегляду ефективності роботи рішення.

Ці перегляди повинні бути зосереджені на наявних юзкейсах і створенні нових відповідно до бізнес-вимог. Ми рекомендуємо робити це щоквартально.

На цьому етапі ідеально використати «червоні команди», щоб перевірити, як реагує ваше рішення SIEM. Якщо у вашій організації немає спеціальної команди для проведення випробувань, вам слід розглянути залучення незалежної третьої сторони.

З цього моменту вдосконалення вашого SIEM за допомогою регулярних перевірок має стати частиною безперервного процесу.