Migrar a una nueva solución de gestión de eventos e información de seguridad (SIEM) puede parecer una tarea desalentadora, como mudarse a una nueva casa. A lo largo de los años, se acumula mucho y, a veces, se olvida hasta que se encuentra en un rincón. 

Este blog identifica los pasos que puede seguir para reducir el dolor asociado típicamente con una migración, las herramientas que pueden ayudar en el camino y las preguntas que debe hacer durante cada fase de una migración.

¿Por qué migrar?

Los SIEM son una inversión importante y, una vez implementados, las organizaciones suelen utilizar la misma tecnología durante muchos años. Las soluciones requieren mucho tiempo para mantenerse y ajustarse para satisfacer las necesidades de una organización, cubrir todos los casos de uso de seguridad necesarios, ingerir todas las fuentes de datos requeridas y satisfacer cualquier otra necesidad empresarial.

Sin embargo, con el tiempo, puede comenzar a identificar limitaciones dentro de su SIEM que dificultan el rendimiento de su equipo de operaciones de seguridad, restringen los casos de uso o la cobertura debido a los desafíos de escalamiento, o le impiden cumplir con nuevos requisitos o iniciativas comerciales. 

[Artículo relacionado: Por qué casi la mitad de las organizaciones quieren reemplazar su SIEM ]

Fases de migración

1. Planeando y diseñando
2. Ejecución e Implementación
3. Operacionalizar y Refinar

Planeando y diseñando

Para facilitar la migración, es crucial invertir en una planificación exhaustiva. Puede sentirse tentado a "elevar y cambiar" todo en su SIEM existente a uno nuevo, ya que este puede parecer el enfoque más sencillo. Pero este no es el plan correcto, por varias razones:

1. Cada sistema SIEM es diferente. No hay dos SIEM iguales. Tienen diferentes arquitecturas, modelos de licencias, almacenes de datos, características y técnicas de detección. Por ejemplo, intentar copiar casos de uso a ciegas de un SIEM a otro puede causar frustración, ya que su nuevo SIEM podría ofrecer mejores formas de lograr lo que se necesita hacer.

2. Los requisitos cambian con el tiempo. Es normal que algunos casos de uso, fuentes de datos, paneles e informes pierdan relevancia o valor con el tiempo. Migrarlos por migrar “todo” puede ser un desperdicio de recursos.

3. Los miembros del equipo trabajan y piensan de manera diferente. Lo que solía funcionar en el pasado puede no ser la mejor solución para abordar las necesidades de la organización o brindar la mejor experiencia para los equipos de hoy. Su gente es el activo más importante que tiene y le dará forma al éxito de su próximo SIEM. Durante la planificación, recuerde siempre las necesidades y habilidades del equipo.

Las siguientes son algunas maneras de evitar las trampas anteriores:

1. Familiarícese con su nuevo SIEM. No todos los equipos que adoptan un nuevo SIEM pasan suficiente tiempo aprendiendo sus pormenores. Puede haber un caso de uso que se hizo de una manera en su antiguo SIEM que se puede hacer de manera diferente, y más eficiente, en su nuevo SIEM. Es posible que haya ingerido previamente una fuente de datos utilizando un método específico, pero su nuevo SIEM puede ofrecer una mejor manera. Dedique tiempo durante la fase de planificación para examinar de cerca lo que ofrece su nuevo SIEM. Marque la página de documentación y trabaje con el proveedor para comprender los recursos disponibles para el aprendizaje y dónde puede ir para hacer preguntas.

2. Revise los casos de uso existentes, las fuentes de datos, las detecciones, los tableros y los informes. Si no ha utilizado un conjunto de datos durante un tiempo o no proporciona valor, tal vez no valga la pena migrarlo a su nuevo SIEM. Esto también se aplica a sus paneles, informes y detecciones. Lo mismo ocurre con cualquier otro caso de uso existente. Si no mejora los procesos del centro de operaciones de seguridad (SOC) o no se alinea con nuevas estrategias, probablemente no valga la pena migrar.

3. Capacite a los miembros de su equipo. ¿Le ha preguntado a su equipo qué es importante para ellos o qué necesitan para sentirse exitosos? Desafortunadamente, esto a menudo se pasa por alto, cuando en realidad es el paso más crucial para garantizar una migración exitosa. Cada practicante tiene sus propias fortalezas y diferentes formas de trabajar que les permiten sentirse empoderados y capaces de hacer el trabajo. Una migración a un nuevo SIEM es la oportunidad perfecta para revisar los procesos y metodologías existentes y adaptarlos para que se adapten mejor a las necesidades y fortalezas de su equipo, o quizás adoptar nuevos marcos y herramientas de la industria para la respuesta a incidentes.

Ejecución e Implementación

Esta fase de la migración suele ser la más larga, pero debería ser sencilla si se realizó una planificación adecuada. 

Al implementar las fuentes de datos, los casos de uso y otros elementos identificados durante la fase de planificación, utilice las herramientas que ofrece su nuevo proveedor de SIEM, especialmente para cualquier trabajo que deba realizarse en masa.

A continuación se presentan algunas preguntas para hacer al comenzar su implementación:

• ¿Existen API o scripts para automatizar ciertas tareas?
• ¿Su nuevo proveedor de SIEM proporciona perfiles reutilizables para herramientas de implementación de software como JAMF, SCCM o Intune?
• Si su nuevo SIEM está basado en la nube , ¿existen integraciones nativas del mercado de proveedores de servicios en la nube que puedan optimizar la ingesta de datos y simplificar la configuración?
• ¿Hay paneles o informes predeterminados disponibles para realizar un seguimiento de la ingestión de datos correcta, la calidad de los datos o el cumplimiento del esquema de datos?
• Para cualquier regla de detección personalizada o casos de uso que se migren, ¿existen herramientas de prueba para confirmar que se ejecutan como se esperaba?

Además, su nuevo proveedor de SIEM podría tener una comunidad próspera con recursos que puede utilizar. No tenga miedo de comunicarse y hacer preguntas a otros usuarios; es probable que alguien ya haya resuelto un desafío que podría enfrentar.

Operacionalizar y Refinar

Esta fase cubre la fusión de cualquier procedimiento operativo con los flujos de trabajo y procesos proporcionados por su nuevo SIEM. Esta fase está en curso, ya que los procedimientos deben revisarse y actualizarse regularmente para permitir la adopción de cualquier característica nueva de SIEM introducida con las actualizaciones de versión, o si se introduce cualquier otra herramienta de terceros en los flujos de trabajo de su equipo.

Aquí hay algunos consejos a tener en cuenta:

• Para mantenerse al día con las funciones más recientes, conozca cómo su nuevo proveedor de SIEM anuncia los lanzamientos. Si no lo hace, es posible que se pierda una nueva característica que podría resolver un desafío al que se ha enfrentado. Use cualquier fuente y notificación por correo electrónico disponible. Si su proveedor tiene una base de código abierto, puede configurar notificaciones para solicitudes de extracción o problemas relevantes.
• Como se mencionó anteriormente, si se ha familiarizado con su nuevo SIEM, puede identificar flujos de trabajo, acciones y funciones más eficientes disponibles de forma nativa que anteriormente habrían requerido otras herramientas, lo que podría permitirle consolidar.
• Si están abiertos a ello, proporcione comentarios regulares a su proveedor de SIEM, especialmente si está utilizando una función relativamente nueva o se ha encontrado con un desafío que logró resolver de una manera única. La mayoría de los proveedores escucharán con gusto su opinión. Esto fortalecerá su asociación con su proveedor de SIEM, respaldando una migración e implementación exitosas.

Próximos pasos

Consulta nuestra guía de migración para conocer las funciones que ofrece Elastic para ayudarte a migrar a Elastic Security, así como varios otros recursos para descubrir más sobre la plataforma.

Esperamos que este material ayude a desmitificar algunos de los desafíos y puntos débiles típicos de una migración SIEM. Si podemos brindarle más ayuda, lo invitamos a unirse a nuestro espacio de trabajo público de Slack o a hacer cualquier pregunta que pueda tener en nuestro Foro de discusión .