مشاركة عبر

الترحيل إلى Microsoft Sentinel باستخدام تجربة ترحيل SIEM

  • ينطبق على: Microsoft Sentinel in the Microsoft Defender portal

تقوم أداة ترحيل SIEM بتحليل اكتشافات Splunk، بما في ذلك الاكتشافات المخصصة، وتوصي بقواعد اكتشاف Microsoft Sentinel الأنسب. كما يوفر توصيات لموصلات البيانات، سواء من مايكروسوفت أو موصلات الطرف الثالث المتوفرة في Content Hub لتمكين الاكتشافات الموصى بها. يمكن للعملاء تتبع الهجرة من خلال تعيين الحالة الصحيحة لكل بطاقة توصية.

إشعار

أداة الهجرة القديمة أصبحت مهجورة. تصف هذه المقالة تجربة الهجرة الحالية ل SIEM.

تتضمن تجربة ترحيل SIEM الميزات التالية:

  • تركز التجربة على ترحيل مراقبة أمان Splunk إلى Microsoft Sentinel وتعيين قواعد التحليلات الجاهزة (OOTB) كلما أمكن ذلك.
  • تدعم هذه التجربة ترحيل اكتشافات Splunk إلى قواعد تحليلات Microsoft Sentinel.

المتطلبات الأساسية

إشعار

رغم أنك تحتاج إلى تفعيل Security Copilot في المستأجر، إلا أنه لا يستهلك أي SCU وبالتالي لا يتحمل تكاليف إضافية. للتأكد من عدم تكبد أي تكاليف غير مقصودة بعد إعدادها، اذهب إلى إدارةمراقبة استخداممساحة العمل>، وقم بتعيين وحدات SCU على الصفر، وتأكد من تعطيل استخدام وحدات الزيادة العمرية.

لقطة شاشة لإعدادات مراقبة استخدام Security Copilot.

تصدير قواعد الكشف من SIEM الحالي الخاص بك

في تطبيق البحث والتقارير في Splunk، قم بتشغيل الاستعلام التالي:

| rest splunk_server=local count=0 /servicesNS/-/-/saved/searches | search disabled=0 | search alert_threshold != "" | table title, search, description, cron_schedule, dispatch.earliest_time, alert.severity, alert_comparator, alert_threshold, alert.suppress.period, id, eai:acl.app, actions, action.correlationsearch.annotations, action.correlationsearch.enabled | tojson | table _raw | rename _raw as alertrules | mvcombine delim=", " alertrules | append [ | rest splunk_server=local count=0 /servicesNS/-/-/admin/macros | table title,definition,args,iseval | tojson | table _raw | rename _raw as macros | mvcombine delim=", " macros ] | filldown alertrules |tail 1

تحتاج إلى دور مسؤول في Splunk لتصدير جميع تنبيهات Splunk. لمزيد من المعلومات، راجع وصول المستخدم المستند إلى الدور Splunk.

بدء تجربة ترحيل SIEM

بعد تصدير القواعد، قم بما يلي:

  1. انتقال إلى security.microsoft.com.

  2. من تبويب تحسين SOC ، اختر إعداد SIEM الجديد.

    لقطة شاشة لخيار إعداد SIEM الجديد في الزاوية العلوية اليمنى من شاشة تحسين SOC.

  3. اختر الهجرة من Splunk:

    لقطة شاشة لخيار الانتقال من SIEM الحالي.

  4. قم بتحميل بيانات التكوين التي صدرتها من SIEM الحالي واخترالتالي.

    لقطة شاشة لزر رفع الملف لرفع بيانات التكوين المصدرة.

    تقوم أداة الترحيل بتحليل التصدير وتحدد عدد مصادر البيانات وقواعد الكشف في الملف الذي قدمته. استخدم هذه المعلومات للتأكد من أن لديك التصدير الصحيح.

    إذا لم تكن البيانات صحيحة، اختر استبدال الملف من الزاوية العلوية اليمنى ورفع تصدير جديد. عند رفع الملف الصحيح، اختر التالي.

    لقطة شاشة لشاشة التأكيد تظهر عدد مصادر البيانات وقواعد الكشف.

  5. اختر مساحة عمل، ثم اختر بدء التحليل.

    لقطة شاشة لواجهة المستخدم تطلب من المستخدم اختيار مساحة عمل.

    تقوم أداة الترحيل بربط قواعد الكشف بمصادر بيانات Microsoft Sentinel وقواعد الكشف. إذا لم تكن هناك توصيات في مساحة العمل، يتم إنشاء التوصيات. إذا كانت هناك توصيات موجودة، تقوم الأداة بحذفها واستبدالها بتوصيات جديدة.

    لقطة شاشة لأداة الترحيل وهي تستعد لتحليل القواعد.

  6. قم بتحديث الصفحة واختر حالة تحليل إعداد SIEM لعرض تقدم التحليل:

    لقطة شاشة لحالة تحليل إعداد SIEM تظهر تقدم التحليل.

    هذه الصفحة لا تجدد تلقائيا. لرؤية آخر حالة، أغلق الصفحة وأعد فتحها.

    يكتمل التحليل عندما تكون علامات الحفظ الثلاث خضراء. إذا كانت العلامات الثلاث خضراء ولكن لا توجد توصيات، فهذا يعني أنه لم يتم العثور على أي تطابق لقواعدك.

    لقطة شاشة تظهر جميع علامات التحقق الثلاث باللون الأخضر تشير إلى اكتمال التحليل.

    عند اكتمال التحليل، تولد أداة الترحيل توصيات قائمة على حالات الاستخدام، مجمعة حسب حلول Content Hub. يمكنك أيضا تحميل تقرير مفصل عن التحليل. يحتوي التقرير على تحليل مفصل لوظائف الهجرة الموصى بها، بما في ذلك قواعد Splunk التي لم نجد لها حلا جيدا، أو لم يتم اكتشافها، أو لم تكن قابلة للتطبيق.

    لقطة شاشة للتوصيات التي تولدها أداة الترحيل.

    قم بتصفية نوع التوصية حسب إعداد SIEM لرؤية توصيات الترحيل.

  7. اختر إحدى بطاقات التوصية لعرض مصادر البيانات والقواعد التي تم رسمها لاحقا.

    لقطة شاشة لبطاقة توصية.

    تطابق الأداة قواعد Splunk مع موصلات بيانات Microsoft Sentinel الجاهزة وقواعد كشف Microsoft Sentinel الجاهزة. تبويب الموصلات يعرض موصلات البيانات المتطابقة مع قواعد SIEM الخاصة بك والحالة (متصل أو غير مفصول). إذا أردت استخدام موصل غير موصول، يمكنك الاتصال من تبويب الموصل. إذا لم يتم تثبيت الموصل، اذهب إلى مركز المحتوى وثبت الحل الذي يحتوي على الموصل الذي تريد استخدامه.

    لقطة شاشة لموصلات بيانات Microsoft Sentinel متطابقة مع قواعد Splunk أو QRadar.

    تظهر علامة تبويب الاكتشافات المعلومات التالية:

    • توصيات من أداة ترحيل SIEM.
    • قاعدة اكتشاف Splunk الحالية من ملفك المرفوع.
    • حالة قاعدة الكشف في مايكروسوفت سينتينل. يمكن أن تكون الحالة:
      • مفعل: يتم إنشاء قاعدة الكشف من قالب القاعدة، مفعلة، ونشطة (من إجراء سابق)
      • تم تعطيله: يتم تثبيت قاعدة الكشف من Content Hub ولكن غير مفعلة في مساحة عمل Microsoft Sentinel
      • غير مستخدم: تم تثبيت قاعدة الكشف من Content Hub وهي متاحة كقالب يمكن تفعيله
      • غير مثبت: قاعدة الكشف لم يتم تثبيتها من Content Hub
    • الموصلات المطلوبة التي يجب تهيئتها لجلب السجلات المطلوبة لقاعدة الكشف الموصى بها. إذا لم يكن هناك موصل مطلوب متوفر، هناك لوحة جانبية بها معالج لتثبيته من Content Hub. إذا كانت جميع الموصلات المطلوبة متصلة، تظهر علامة تحقق خضراء.

    لقطة شاشة لقواعد اكتشاف مايكروسوفت سينتينل مطابقة لقواعد Splunk أو QRadar.

تمكين قواعد الكشف

عند اختيار قاعدة، يفتح الجانب الخاص بتفاصيل القواعد ويمكنك عرض تفاصيل قالب القواعد.

لقطة شاشة لتفاصيل القاعدة على الجانب الجانبي.

  • إذا تم تثبيت وتكوين موصل البيانات المرتبط، اختر تمكين الكشف لتفعيل قاعدة الكشف.

    لقطة شاشة لزر تفعيل الكشف في لوحة جانبية لتفاصيل القواعد.

  • اختر المزيد من الإجراءات>أنشئ يدويا لفتح معالج قواعد التحليلات حتى تتمكن من مراجعة وتعديل القاعدة قبل تفعيلها.

  • إذا كانت القاعدة مفعلة بالفعل، اختر تعديل لفتح معالج قواعد التحليلات لمراجعة وتعديل القاعدة.

    لقطة شاشة لزر المزيد من الإجراءات في ساحر القواعد.

    الساحر يعرض قاعدة SPL في Splunk ويمكنك مقارنتها مع Microsoft Sentinel KQL.

    لقطة شاشة للمقارنة بين قاعدة SPL في سبلانك ومايكروسوفت سينتينل KQL.

Tip

بدلا من إنشاء القواعد يدويا من الصفر، يمكن أن يكون من الأسرع والأبسط تفعيل القاعدة من القالب ثم تعديلها حسب الحاجة.

إذا لم يكن موصل البيانات مثبتا ومكونا لبث السجلات، يتم تعطيل ميزة الكشف عن تفعيل .

  • يمكنك تفعيل عدة قواعد في نفس الوقت عن طريق اختيار مربعات الاختيار بجانب كل قاعدة تريد تفعيلها ثم اختيار تمكين الاكتشافات المحددة في أعلى الصفحة.

    لقطة شاشة لقائمة القواعد في تبويب الكشف مع مربعات اختيار بجانبها.

أداة ترحيل SIEM لا تقوم بتثبيت أي موصلات أو تمكين قواعد الكشف بشكل صريح.

القيود

  • تقوم أداة الترحيل بتعيين تصدير القواعد إلى موصلات البيانات وقواعد الكشف الجاهزة من مايكروسوفت سينتينل.
  • Last updated on