Sdílet prostřednictvím

Migrace do Microsoft Sentinelu pomocí prostředí migrace SIEM

  • Platí pro: Microsoft Sentinel in the Microsoft Defender portal

Nástroj pro migraci SIEM analyzuje detekce Splunk, včetně vlastních detekcí, a doporučuje pravidla detekce v Microsoft Sentinel, která nejlépe odpovídají. Poskytuje také doporučení pro datové konektory, zahrnující jak konektory Microsoft, tak konektory třetích stran dostupné v Centru obsahu, aby bylo možné povolit doporučené detekce. Zákazníci můžou migraci sledovat přiřazením správného stavu ke každé kartě doporučení.

Poznámka:

Starý nástroj pro migraci je zastaralý. Tento článek popisuje aktuální prostředí migrace SIEM.

Prostředí migrace SIEM zahrnuje následující funkce:

  • Prostředí se zaměřuje na migraci monitorování zabezpečení Splunk do Služby Microsoft Sentinel a namapování pravidel analýzy OOTB (out-of-the-box), kdykoli je to možné.
  • Funkce podporuje migraci detekcí Splunk do analytických pravidel Microsoft Sentinel.

Požadavky

Poznámka:

I když musíte mít ve svém tenantovi povolenou službu Security Copilot, nevyžaduje žádné SCUs, takže nevznikají žádné dodatečné náklady. Pokud chcete mít jistotu, že po nastavení nedojde k žádným neúmyslným nákladům, přejděte do části Správamonitorování využití>, nastavte SCU na nulu a ujistěte se, že jsou zakázané jednotky nadlimitního využití.

Snímek obrazovky nastavení sledování využití Security Copilot.

Export pravidel detekce z aktuálního systému SIEM

V aplikaci Prohledat a hlásit v Splunku spusťte následující dotaz:

| rest splunk_server=local count=0 /servicesNS/-/-/saved/searches | search disabled=0 | search alert_threshold != "" | table title, search, description, cron_schedule, dispatch.earliest_time, alert.severity, alert_comparator, alert_threshold, alert.suppress.period, id, eai:acl.app, actions, action.correlationsearch.annotations, action.correlationsearch.enabled | tojson | table _raw | rename _raw as alertrules | mvcombine delim=", " alertrules | append [ | rest splunk_server=local count=0 /servicesNS/-/-/admin/macros | table title,definition,args,iseval | tojson | table _raw | rename _raw as macros | mvcombine delim=", " macros ] | filldown alertrules |tail 1

K exportu všech výstrah Splunku potřebujete roli správce Splunk. Další informace najdete v tématu Přístup uživatele na základě role Splunk.

Spuštění prostředí migrace SIEM

Po exportu pravidel postupujte takto:

  1. Přejděte na security.microsoft.com .

  2. Na kartě Optimalizace SOC vyberte Nastavit nový SIEM.

    Snímek obrazovky s nastavením nové možnosti SIEM v pravém horním rohu obrazovky Optimalizace SOC

  3. Vyberte Migrujte ze Splunku:

    Snímek obrazovky s možností Migrace z aktuální možnosti SIEM

  4. Nahrajte konfigurační data, která jste vyexportovali z aktuálního SIEM , a vyberte Další.

    Snímek obrazovky s tlačítkem Nahrát soubor pro nahrání exportovaných konfiguračních dat

    Nástroj pro migraci analyzuje export a identifikuje počet zdrojů dat a pravidla detekce v zadaném souboru. Pomocí těchto informací potvrďte, že máte správný export.

    Pokud data nevypadají správně, vyberte v pravém horním rohu nahradit soubor a nahrajte nový export. Po nahrání správného souboru vyberte Další.

    Snímek obrazovky s potvrzením zobrazující počet zdrojů dat a pravidla detekce

  5. Vyberte pracovní prostor a pak vyberte Zahájit analýzu.

    Snímek obrazovky s uživatelským rozhraním s výzvou, aby uživatel vybral pracovní prostor

    Nástroj pro migraci mapuje pravidla detekce ke zdrojům dat a pravidlům detekce v Microsoft Sentinel. Pokud v pracovním prostoru nejsou žádná doporučení, vytvoří se doporučení. Pokud existují doporučení, nástroj je odstraní a nahradí novými.

    Snímek obrazovky s nástrojem pro migraci, který se připravuje k analýze pravidel

  6. Aktualizujte stránku a výběrem stavu analýzy nastavení SIEM zobrazte průběh analýzy:

    Snímek obrazovky se stavem analýzy nastavení SIEM zobrazující průběh analýzy

    Tato stránka se neaktualizuje automaticky. Pokud chcete zobrazit nejnovější stav, zavřete a znovu otevřete stránku.

    Analýza se dokončí, když jsou všechny tři značky zaškrtnutí zelené. Pokud jsou tři značky zaškrtnutí zelené, ale neexistují žádná doporučení, znamená to, že pro vaše pravidla nebyly nalezeny žádné shody.

    Snímek obrazovky zobrazující všechny tři značky zaškrtnutí zeleně označující dokončení analýzy

    Po dokončení analýzy nástroj pro migraci vygeneruje doporučení založená na použití seskupených podle řešení centra obsahu. Můžete si také stáhnout podrobnou sestavu analýzy. Tato sestava obsahuje podrobnou analýzu doporučených úloh migrace, včetně pravidel Splunk, pro která jsme nenašli vhodné řešení, nebyla zjištěna nebo nebyla použitelná.

    Snímek obrazovky s doporučeními vygenerovaným nástrojem pro migraci

    Pokud chcete zobrazit doporučení k migraci, můžete filtrovat typ doporučení podle nastavení SIEM .

  7. Vyberte jednu z karet doporučení, abyste zobrazili mapované zdroje dat a pravidla.

    Snímek obrazovky s kartou doporučení

    Nástroj odpovídá pravidlům Splunk k zastaralým datovým konektorům Microsoft Sentinelu a k zastaralým pravidlům detekce Microsoft Sentinelu. Na kartě Konektory se zobrazují datové konektory odpovídající pravidlům z vašeho SYSTÉMU SIEM a stav (připojený nebo odpojený). Pokud chcete použít konektor, který není připojený, můžete se připojit z karty konektoru. Pokud konektor není nainstalovaný, přejděte do centra obsahu a nainstalujte řešení obsahující konektor, který chcete použít.

    Snímek obrazovky datových konektorů Microsoft Sentinelu odpovídajících pravidlům Splunk nebo QRadar

    Na kartě Detekce se zobrazují následující informace:

    • Doporučení z nástroje pro migraci SIEM
    • Aktuální pravidlo detekce Splunk z nahraného souboru.
    • Stav pravidla detekce v Microsoft Sentinelu Stav může být následující:
      • Povoleno: Pravidlo detekce se vytvoří ze šablony pravidla, povolené a aktivní (z předchozí akce).
      • Zakázáno: Pravidlo detekce se nainstaluje z centra obsahu, ale není povolené v pracovním prostoru Služby Microsoft Sentinel.
      • Nepoužívá se: Pravidlo detekce se nainstalovalo z centra obsahu a je k dispozici jako šablona, která se má povolit.
      • Nenainstalováno: Pravidlo detekce se nenainstalovalo z centra obsahu.
    • Požadované konektory, které je potřeba nakonfigurovat tak, aby přenesly protokoly požadované pro doporučené pravidlo detekce. Pokud požadovaný konektor není k dispozici, je k dispozici boční panel s průvodcem, který ho nainstaluje z centra obsahu. Pokud jsou všechny požadované spojnice připojené, zobrazí se zelená značka zaškrtnutí.

    Snímek obrazovky s pravidly detekce Služby Microsoft Sentinel, která odpovídají pravidlům Splunk nebo QRadar

Povolení pravidel detekce

Když vyberete pravidlo, otevře se boční panel podrobností pravidel a zobrazí se podrobnosti šablony pravidel.

Snímek obrazovky s bočním panelem podrobností pravidla

  • Pokud je přidružený datový konektor nainstalovaný a nakonfigurovaný, vyberte Povolit detekci a povolte pravidlo detekce.

    Snímek obrazovky s tlačítkem Povolit detekci na bočním panelu podrobností pravidla

  • Výběrem Další možnosti>Vytvořit ručně otevřete průvodce analytickými pravidly pro kontrolu a úpravu před povolením.

  • Pokud je pravidlo už povolené, otevřete průvodce analytickými pravidly výběrem možnosti Upravit a pravidlo zkontrolujte a upravte.

    Snímek obrazovky s tlačítkem Další akce v průvodci pravidly

    Průvodce zobrazí pravidlo Splunk SPL a můžete ho porovnat s KQL služby Microsoft Sentinel.

    Snímek obrazovky s porovnáním mezi pravidlem Splunk SPL a Microsoft Sentinel KQL.

Návod

Místo ručního vytváření pravidel může být rychlejší a jednodušší povolit pravidlo ze šablony a pak ho podle potřeby upravit.

Pokud datový konektor není nainstalovaný a nakonfigurovaný pro streamování protokolů, povolení detekce je zakázané.

  • Několik pravidel najednou můžete povolit zaškrtnutím políček vedle každého pravidla, které chcete povolit, a následným výběrem možnosti Povolit vybrané detekce v horní části stránky.

    Snímek obrazovky se seznamem pravidel na kartě Detekce se zaškrtávacími políčky vedle nich

Nástroj pro migraci SIEM explicitně nenainstaluje žádné konektory ani neumožňuje pravidla detekce.

Omezení

  • Nástroj pro migraci mapuje export pravidel na předdefinované datové konektory a pravidla detekce Microsoft Sentinelu.
  • Last updated on