الترحيل إلى Microsoft Sentinel باستخدام تجربة ترحيل SIEM

• ينطبق على:

  Microsoft Sentinel in the Azure portal

قم بترحيل SIEM إلى Microsoft Sentinel لجميع حالات استخدام مراقبة الأمان. تعمل المساعدة التلقائية من تجربة ترحيل SIEM على تبسيط عملية الترحيل.

يتم تضمين هذه الميزات حاليا في تجربة ترحيل SIEM:

Splunk

• تركز التجربة على ترحيل مراقبة أمان Splunk إلى Microsoft Sentinel وتعيين قواعد التحليلات الجاهزة (OOTB) كلما أمكن ذلك.
• تدعم التجربة ترحيل اكتشافات Splunk إلى قواعد تحليلات Microsoft Sentinel، بما في ذلك تعيين مصادر بيانات Splunk والبحثات.

المتطلبات الأساسية

تحتاج إلى ما يلي من مصدر SIEM:

Splunk

• تتوافق تجربة الترحيل مع كل من إصدارات Splunk Enterprise وSplunk Cloud.
• مطلوب دور مسؤول Splunk لتصدير جميع تنبيهات Splunk. لمزيد من المعلومات، راجع وصول المستخدم المستند إلى الدور Splunk.
• تصدير البيانات التاريخية من Splunk إلى الجداول ذات الصلة في مساحة عمل Log Analytics. لمزيد من المعلومات، راجع تصدير البيانات التاريخية من Splunk.

تحتاج إلى ما يلي على الهدف، Microsoft Sentinel:

• تنشر تجربة ترحيل SIEM قواعد التحليلات. تتطلب هذه الإمكانية دور مساهم Microsoft Sentinel. لمزيد من المعلومات، راجعالأذونات في Microsoft Azure Sentinel.

• استيعاب بيانات الأمان المستخدمة مسبقا في SIEM المصدر الخاص بك في Microsoft Sentinel. قبل ترجمة قاعدة التحليلات وتمكينها، يجب أن يكون مصدر بيانات القاعدة موجودا في مساحة عمل Log Analytics. قم بتثبيت وتمكين موصلات البيانات الجاهزة (OOTB) في مركز المحتوى لمطابقة ملكية مراقبة الأمان من SIEM المصدر. إذا لم يكن هناك موصل بيانات، قم بإنشاء مسار استيعاب مخصص.

  لمزيد من المعلومات، راجع المقالات التالية:

  • اكتشاف المحتوى الجاهز من Microsoft Sentinel وإدارته
  • استيعاب البيانات المخصصة وتحويلها

• إنشاء قوائم مشاهدة Microsoft Sentinel من عمليات البحث Splunk بحيث يتم تعيين الحقول المستخدمة لقواعد التحليلات المترجمة.

ترجمة قواعد الكشف عن Splunk

في جوهر قواعد الكشف Splunk، توجد لغة معالجة البحث (SPL). تترجم تجربة ترحيل SIEM بشكل منهجي SPL إلى لغة استعلام Kusto (KQL) لكل قاعدة Splunk. راجع الترجمات بعناية وأدخل تعديلات للتأكد من أن القواعد التي تم ترحيلها تعمل كما هو مقصود في مساحة عمل Microsoft Sentinel. لمزيد من المعلومات حول المفاهيم المهمة في ترجمة قواعد الكشف، راجع ترحيل قواعد الكشف Splunk.

القدرات الحالية:

• تعيين اكتشافات Splunk إلى قواعد تحليلات OOTB Microsoft Sentinel.
• ترجمة الاستعلامات البسيطة باستخدام مصدر بيانات واحد.
• الترجمات التلقائية ل SPL إلى KQL للت تعيينات المدرجة في المقالة، Splunk إلى ورقة المعلومات المرجعية Kusto.
• ينشئ مخطط التعيين (معاينة) ارتباطات منطقية للقواعد المترجمة عن طريق تعيين مصادر بيانات Splunk إلى جداول Microsoft Sentinel، وبحث Splunk إلى قوائم المشاهدة.
• توفر مراجعة الاستعلام المترجم ملاحظات حول الخطأ مع إمكانية التحرير لتوفير الوقت في عملية ترجمة قاعدة الكشف.
• حالة الترجمة التي تشير إلى كيفية ترجمة بناء جملة SPL بالكامل إلى KQL على المستوى النحوي.
• دعم ترجمة وحدات الماكرو Splunk باستخدام تعريف الماكرو الاستبدال المضمن داخل استعلامات SPL.
• دعم ترجمة نموذج المعلومات العامة (CIM) لنموذج معلومات الأمان المتقدمة (ASIM) من Microsoft Sentinel.
• ملخص ما قبل الترحيل وما بعد الترحيل القابل للتنزيل.

بدء تجربة ترحيل SIEM

1. ابحث عن تجربة ترحيل SIEM في Microsoft Sentinel من مدخل Microsoft Azure أو مدخل Defender، ضمن مركز محتوى إدارة>المحتوى.

2. حدد SIEM Migration.

تحميل اكتشافات Splunk

1. من Splunk Web، حدد Search and Reporting في لوحة Apps .

2. قم بتشغيل الاستعلام التالي:

   |rest splunk_server=local count=0 /servicesNS/-/-/saved/searches
   |search disabled=0 
   |search alert_threshold != ""
   |table title,search,description,cron_schedule,dispatch.earliest_time,alert.severity,alert_comparator,alert_threshold,alert.suppress.period,id
   |tojson|table _raw
   |rename _raw as alertrules|mvcombine delim=", " alertrules
   |append [| rest splunk_server=local count=0 /servicesNS/-/-/admin/macros|table title,definition,args,iseval|tojson|table _raw |rename _raw as macros|mvcombine delim=", " macros]
   |filldown alertrules
   |tail 1
   

3. حدد زر التصدير واختر JSON كتهيئة.

4. حفظ الملف.

5. تحميل ملف Splunk JSON الذي تم تصديره.

إشعار

يجب أن يكون تصدير Splunk ملف JSON صالحا ويقتصر حجم التحميل على 50 ميغابايت.

تعيين المخطط

استخدم تعيين المخطط لتحديد كيفية تعيين أنواع البيانات والحقول في منطق قاعدة التحليلات استنادا إلى المصادر المستخرجة من استعلامات SPL إلى جداول Microsoft Sentinel.

مصادر البيانات

يتم تعيين المصادر المعروفة مثل مخططات Splunk CIM ونماذج البيانات تلقائيا إلى مخططات ASIM عند الاقتضاء. يجب تعيين المصادر الأخرى المستخدمة في الكشف عن Splunk يدويا إلى جداول Microsoft Sentinel أو Log Analytics. مخططات التعيين هرمية بحيث تقوم مصادر Splunk بتعيين 1:1 مع جداول Microsoft Sentinel والحقول داخل تلك المصادر.

بمجرد اكتمال تعيين المخطط، تنعكس أي تحديثات يدوية في حالة التعيين على أنها "معينة يدويا". يتم أخذ التغييرات في الاعتبار في الخطوة التالية عند ترجمة القواعد. يتم حفظ التعيين لكل مساحة عمل، لذلك لا يتعين عليك تكراره.

عمليات بحث.

مقارنة عمليات البحث Splunk بقائمة مشاهدة Microsoft Sentinel، وهي قوائم بمجموعات قيم الحقول المنسقة لربطها بالأحداث في بيئة Microsoft Sentinel. نظرا لأن عمليات البحث Splunk محددة ومتاحة خارج حدود استعلامات SPL، يجب إنشاء قائمة مشاهدة Microsoft Sentinel المكافئة كشرط أساسي. ثم يقوم تعيين المخطط بأخذ عمليات البحث التي تم تعريفها تلقائيا من استعلامات Splunk التي تم تحميلها وتعيينها إلى Sentinel Watchlists.

لمزيد من المعلومات، راجع إنشاء قائمة مشاهدة.

يستعلم SPL عن عمليات البحث المرجعية باستخدام lookupinputlookupالكلمات الأساسية و وoutputlookup. outputlookup تكتب العملية البيانات إلى بحث ولا يتم دعمها في الترجمة. يستخدم محرك ترجمة ترحيل SIEM دالة _GetWatchlist() KQL لتعيين قائمة مراقبة Sentinel الصحيحة جنبا إلى جنب مع وظائف KQL الأخرى لإكمال منطق القاعدة.

عندما لا يحتوي بحث Splunk على قائمة مشاهدة مقابلة معينة، يحتفظ محرك الترجمة بنفس الاسم لكل من قائمة المشاهدة وحقولها مثل بحث Splunk وحقوله.

تكوين القواعد

1. حدد تكوين القواعد.

2. راجع تحليل تصدير Splunk.

   • الاسم هو اسم قاعدة الكشف Splunk الأصلية.
   • يشير نوع الترجمة إلى ما إذا كانت قاعدة تحليلات Sentinel OOTB تطابق منطق الكشف Splunk.
   • تقدم حالة الترجمة ملاحظات حول كيفية ترجمة بناء جملة الكشف عن Splunk بالكامل إلى KQL. لا تختبر حالة الترجمة القاعدة أو تتحقق من مصدر البيانات.
     • مترجمة بالكامل - تمت ترجمة الاستعلامات في هذه القاعدة بالكامل إلى KQL ولكن لم يتم التحقق من صحة منطق القاعدة ومصدر البيانات.
     • مترجم جزئيا - لم تتم ترجمة الاستعلامات في هذه القاعدة بشكل كامل إلى KQL.
     • Not Translationed - يشير إلى خطأ في الترجمة.
     • ترجمة يدوية - يتم تعيين هذه الحالة عند تحرير أي قاعدة وحفظها.

   

3. قم بتمييز قاعدة لحل الترجمة وحدد تحرير. عندما تكون راضيا عن النتائج، حدد حفظ التغييرات.

4. قم بتشغيل تبديل Deploy لقواعد التحليلات التي تريد نشرها.

5. عند اكتمال المراجعة، حدد Review and migrate.

نشر قواعد التحليلات

1. حدد نشر.

   نوع الترجمة	المورد الذي تم نشره
   خارج الصندوق	يتم تثبيت الحلول المقابلة من مركز المحتوى التي تحتوي على قوالب قواعد التحليلات المتطابقة. يتم نشر القواعد المتطابقة كقواني تحليلات نشطة في حالة التعطيل. لمزيد من المعلومات، راجع إدارة قوالب قواعد التحليلات.
   مخصص	يتم نشر القواعد كقواني تحليلات نشطة في حالة التعطيل.

2. (اختياري) حدد تصدير القوالب لتنزيل جميع القواعد المترجمة كقوالب ARM لاستخدامها في CI/CD أو عمليات النشر المخصصة.

   

3. قبل الخروج من تجربة ترحيل SIEM، حدد تنزيل ملخص الترحيل للاحتفاظ بملخص لنشر التحليلات.

   

التحقق من صحة القواعد وتمكينها

1. عرض خصائص القواعد المنشورة من Microsoft Sentinel Analytics.

   • يتم نشر كافة القواعد التي تم ترحيلها مع البادئة [Splunk Migrated].
   • يتم تعيين كافة القواعد التي تم ترحيلها إلى معطل.
   • يتم الاحتفاظ بالخصائص التالية من تصدير Splunk كلما أمكن ذلك:
     Severity
queryFrequency
queryPeriod
triggerOperator
triggerThreshold
suppressionDuration

2. تمكين القواعد بعد مراجعتها والتحقق منها.

   

المحتوى ذو الصلة

في هذه المقالة، تعلمت كيفية استخدام تجربة ترحيل SIEM.

لمزيد من المعلومات حول تجربة ترحيل SIEM، راجع المقالات التالية:

• كن Microsoft Sentinel ninja - قسم الترحيل
• تحديث ترحيل SIEM - مدونة Microsoft Sentinel
• تجربة ترحيل SIEM متاحة بشكل عام - مدونة Microsoft Sentinel