SecOps

Guia da migração de SIEM: quando e como se preparar

porMarketing

Na DataRunk, como provedores de serviços gerenciados em segurança, fizemos inúmeros processos de migração de SIEM

O SIEM é a ferramenta core de um SOC. Ele tem os recursos que formam a base da detecção e resposta a ameaças, sem a dependência de sistemas de detecção pontuais e isolados, que leva a um nível insustentável de trabalho manual.

Sendo o core do SOC ele também parece ser o grande destinatário dos dados. Como mostra o SANS 2024 SOC Survey, os SOCs parecem estar se esforçando menos para filtrar dados. Em vez disso, eles enviam tudo para o SIEM. Embora pareça uma decisão contra-intuitiva, para muitos ela está sendo mais econômica do que o investimento de engenharia para determinar antecipadamente quais dados são realmente necessários antes de coletá-los.

Se o SIEM é tão essencial, por que substituí-lo? E como se prepara para iniciar a migração de SIEM?

Quando fazer uma migração de SIEM para outro?

Várias razões podem levar uma organização a decidir migrar de SIEM, e a maioria delas está relacionada ao valor, isto é, ao retorno obtido ao usar uma tecnologia, com base no investimento realizado

Pensou em dinheiro? Normalmente, valor se diz dessa forma, mas há uma combinação de fatores que levam o custo de propriedade de um SIEM se tornar insustentável. Vejamos abaixo:

1. Funcionalidades limitadas do produto 

É possível que o fornecedor não garanta que a tecnologia acompanha o ritmo da inovação e a evolução do cenário de ameaças. Ele pode não fornecer mais o que você precisa para mitigar os riscos a seu negócio.

No caso de uma solução interna, pode ser que ela funcionava bem quando sua empresa era uma startup. Com o crescimento, ela pode ter começado a perder sua utilidade, com limitações técnicas.

2. Custo total de propriedade (TCO)

Se o custo de propriedade (TCO) de um SIEM for maior do que o valor que você considera razoável pagar, você tem basicamente duas opções:

  • Aumentar o valor que o SIEM proporciona (geralmente na forma de mitigação de risco financeiro)
  • Reduzir o custo de propriedade do seu SIEM.

Quando se fala de “reduzir o custo de propriedade” não se fala apenas de reduzir o custo da licença. Isso, porque o custo de propriedade envolve mais fatores que apenas o custo da solução. A forma como você calcula esse custo dependerá da sua organização, mas os fatores geralmente incluem:

  • Custo da tecnologia
  • Custo com pessoal
  • Custo dos processos.

Vamos explorar esses conceitos rapidamente para entender melhor.

Custo da tecnologia

Certamente, o custo da licença do seu SIEM atual parece alto, mas o mesmo vale para as soluções adicionais — firewalls, proteção de endpoint, gateways de e-mail seguro e outros — que podem ser necessárias caso faltem funcionalidades no SIEM.

Além disso, há o custo dos outages, que ocorrem quando a tecnologia não funciona como esperado. Outro fator é o custo de engenharia e integrações, especialmente relacionado à integração de novas fontes de dados ou à configuração de novas correlações. Se elas forem excessivamente demoradas e complexas — ou pior ainda, tão simples a ponto de comprometer a precisão e o valor da solução — mais alto esse custo.

Para reduzir o custo da tecnologia, muitas organizações consolidam diferentes tecnologias. Consolidação significa pegar duas ferramentas — Ferramenta A e Ferramenta B, cada uma cobrindo 50% de um caso de uso — e substituí-las por uma única ferramenta que ofereça 100% de cobertura para esse caso de uso. Isso pode ser feito de três maneiras:

  1. Expandindo a cobertura da Ferramenta A para 100%
  2. Expandindo a cobertura da Ferramenta B para 100%
  3. Adotando uma nova Ferramenta C, que ofereça algo novo e melhor.

Essa abordagem quase sempre se traduz em uma economia substancial de custos. Pois, embora a mudança envolva um custo (TCC), o CapEx pode se pagar facilmente ao longo do tempo por meio da redução de OpEx no longo prazo.

Custo com pessoas e processos

Os custos com pessoas e processos estão fortemente interligados, por isso estão combinados em uma única seção: o custo total do tempo de um profissional está diretamente relacionado ao tempo necessário para concluir um processo, como a triagem de alertas.

Vamos analisar o seguinte cenário:

  • Um SIEM gera 1.000 alertas por dia
  • Um analista demora 10 minutos para fazer a triagem de um alerta
  • Um analista tem 8 horas disponíveis por dia, ou seja, 480 minutos.

Podemos expressar esse cálculo de forma simplificada:

 

1.000 alertas x 10 minutos por alerta = 10.000 minutos necessários

 

Se isso for verdade, significa que são necessários:

 

10.000 minutos / 480 minutos por analista = ~21 analistas por dia

 

Se precisamos de 21 analistas em tempo integral por dia e o custo diário total de um analista for de R$ 500, isso significa que devemos gastar, para manter a triagem de alertas em dia:

 

R$ 500 x 21 analistas = R$ 10.500 por dia

 

Agora, vamos considerar o impacto dos falsos positivos e outros fatores que podem afetar esses números. Suponha que, dos 10.000 alertas diários, 80% (8.000 alertas) sejam de baixa fidelidade — um número comum para a maioria das organizações.

Detecções de baixa fidelidade costumam gerar ruído e possuem altas taxas de falso positivo (FP). Se a taxa de FP dessas detecções for de 50%, isso significa que 4.000 dos 8.000 alertas são falsos positivos, representando 40% de todos os alertas diários.

Agora, refazendo os cálculos:

  • 40% de 10.000 alertas = 4.000 alertas FP
  • 4.000 minutos / 480 minutos por analista = ~9 analistas por dia
  • R$ 500 x 9 analistas = R$ 4.500 por dia.

Isso mostra como falsos positivos impactam diretamente os custos operacionais do SOC, tornando essencial a otimização das regras de detecção e a automação para reduzir alertas desnecessários.

Se 40% dos seus alertas forem falsos positivos de baixa fidelidade, você acabaria gastando R$ 4.500 por dia apenas para triá-los. 

Na prática, calcular o custo de um analista é mais complexo do que esse exemplo simplificado. No entanto, esse exemplo ilustra como gerenciar o custo com processos e pessoas é um fator essencial para otimizar o custo de propriedade.

3. Custo total de mudança (TCC) 

O Custo Total de Mudança (TCC) abrange todos os custos envolvidos na migração para uma nova tecnologia. O custo de implementação é apenas um dos elementos dele; treinamento e valor percebido também são fatores críticos e devem ser considerados.

Quando falamos em valor percebido, estamos nos referindo ao tempo necessário para atingir os casos de uso que motivaram a aquisição da tecnologia, como a implementação de processos de detecção e resposta contra ameaças definidas.

Se sua empresa decidir que a melhor maneira de reduzir o custo propriedade é consolidar casos de uso ou substituir um SIEM, essa transição terá um custo.

O tempo necessário para que a redução do custo de propriedade seja igual ou maior que o custo de migração é o período necessário para alcançar um ROI positivo.

Observações:

  • Um custo de migração mais baixo é positivo, mas apenas se avaliado em relação ao custo de propriedade. Não faz sentido reduzir o custo de migração apenas para aumentar o custo de propriedade na mesma proporção, pois a propriedade é um custo contínuo, enquanto a migração é um custo único.
  • Reduzir o custo de propriedade é vantajoso, mas se o custo da migração for muito alto, o tempo para atingir um ROI positivo pode ser inaceitavelmente longo para o negócio. 

Relacionamento com o fornecedor

Ao escolher um fornecedor de SIEM, a capacidade do produto e o custo são fatores essenciais. No entanto, um aspecto frequentemente negligenciado é o tipo de relacionamento que sua empresa construirá com esse fornecedor.

Ao avaliar diferentes soluções de SIEM, verifique se o fornecedor possui uma metodologia para percepção de valor baseada nas necessidades da sua organização. Esse fator será fundamental para garantir um ROI positivo e maximizar o valor obtido com a solução.

Como se preparar para a migração de SIEM

Seja na sua RFP de SIEM ou em conversas com fornecedores, você precisará articular claramente o que precisa para atender aos objetivos do seu negócio.

Aqui está um checklist para ajudar a definir seus requisitos para um SIEM:

Quais são os requisitos funcionais?
Quais problemas de negócio você precisa resolver? O que o novo SIEM deve oferecer que o atual não consegue?

Quais são os requisitos não funcionais?
Disponibilidade, confiabilidade, escalabilidade, etc., que garantam uma solução resiliente alinhada ao apetite de risco da sua empresa.

Qual é o seu cronograma?
Quando o novo SIEM precisa estar operando? Sua licença atual está expirando ou há um MSP (Managed Service Provider) do qual você precisa se desvincular?

Quais casos de uso de negócio você deseja abordar?
Você pretende migrar os casos de uso técnicos do SIEM antigo ou adotar uma abordagem do zero (green field)? Criar um inventário dos casos de uso atuais ajudará a mapear as necessidades futuras.

Você precisará de outras tecnologias de segurança no futuro, como SOAR?
Considere não apenas os requisitos atuais, mas também as necessidades futuras do seu negócio. A escolha do SIEM pode impactar sua capacidade de integrar novas soluções.

Quais são suas principais fontes de dados?
O fornecedor precisará conhecer suas principais fontes de dados junto com seus casos de uso de negócio, para otimizar a estratégia de ingestão.

Qual é o seu volume de dados?
Compartilhar essa informação com os fornecedores com a maior precisão possível garantirá estimativas de licenciamento mais exatas e oportunas.

Quais requisitos regulatórios precisam ser atendidos?
Alguma regulamentação exige retenção de dados por um período específico? Seu novo SIEM precisa estar em conformidade com requisitos como LGPD, GDPR ou PCI-DSS?

Quais integrações são necessárias com outras tecnologias?
Seu fornecedor precisará entender suas integrações para planejar a implementação com precisão.

✔ Quais são os stakeholders?
Alguns são óbvios, como o compras/financeiro e o líder de segurança. No entanto, outras equipes podem querer utilizar o SIEM para diferentes casos de uso, ajudando a reduzir o custo de propriedade e otimizar os gastos da empresa. Se outros stakeholders forem usuários conjuntos da plataforma, é importante começar a definir como o uso será compartilhado e priorizado.

✔ Qual é o orçamento?

Após reunir os requisitos e alinhar os stakeholders, o próximo passo é definir o orçamento. Isso ajudará a:

  • Definir uma estratégia eficiente de hierarquização, roteamento e filtragem de dados
  • Permitir que o fornecedor proponha a solução mais econômica para o seu negócio.

Migrando para o SIEM Splunk

Independentemente da forma como você calcula o custo da tecnologia, os seguintes princípios podem orientar sua tomada de decisão:

  • Custos do produto de forma holística, em vez de focar apenas no custo da licença
  • Impacto do custo da tecnologia no custo com pessoal
  • Poder da consolidação para otimizar investimentos. 

Como dissemos no começo, realizamos inúmeras migrações e implantações completas do Splunk SIEM ao longo de 5 anos de DataRunk.

Se você deseja conhecer mais do SIEM Splunk, fale conosco!

mãos digital em teclado de computador representando a migração de siem
DataRunk SOC

Some nossa experiência e conhecimento técnico a cinco frentes do seu SOC

SIEM

SOAR

Detecção e resposta

Threat hunting

Cyber threat intelligence

Quero reforços

Explore conteúdos relacionados:

SecOps

Como ganhar visibilidade sobre um ambiente tecnológico complexo

Leia mais →
SecOps

SIEM: por que os times de segurança escolhem o Splunk Enterprise?

Leia mais →

Endereço: Rua Elesbão Pinto, 460 - sala 705, Mont Blanc Office, Blumenau - SC

Política de Privacidade

Política de Cookies

Termos de uso

trasso

Some nossa experiência e conhecimento técnico a seu SOC em:

SIEM

SOAR

Detecção e resposta

Threat hunting

Cyber threat intelligence

Quero reforços para o SOC