Migrace do Microsoft Sentinelu pomocí prostředí migrace SIEM

• Platí pro:

  Microsoft Sentinel in the Azure portal

Migrujte SIEM do Microsoft Sentinelu pro všechny případy použití monitorování zabezpečení. Automatizovaná pomoc z prostředí migrace SIEM zjednodušuje migraci.

V současné době jsou součástí prostředí migrace SIEM tyto funkce:

Splunk

• Prostředí se zaměřuje na migraci monitorování zabezpečení Splunk do Microsoft Sentinelu.
• Prostředí podporuje pouze migraci detekcí Splunku do analytických pravidel služby Microsoft Sentinel.

Požadavky

Ze zdrojového SIEM potřebujete následující:

Splunk

• Prostředí migrace je kompatibilní s edicemi Splunk Enterprise i Splunk Cloud.
• K exportu všech výstrah Splunku se vyžaduje role správce Splunk. Další informace najdete v tématu Přístup uživatele na základě role Splunk.
• Exportujte historická data ze splunku do relevantních tabulek v pracovním prostoru služby Log Analytics. Další informace najdete v tématu Export historických dat ze splunku.

V cíli potřebujete následující: Microsoft Sentinel:

• Prostředí migrace SIEM nasazuje analytická pravidla. Tato funkce vyžaduje roli Přispěvatel Microsoft Sentinelu. Další informace najdete v tématu Oprávnění v Microsoft Sentinelu.
• Ingestování dat zabezpečení dříve používaných ve vašem zdroji SIEM do Microsoft Sentinelu Nainstalujte a povolte integrované datové konektory (OOTB) tak, aby odpovídaly stavu monitorování zabezpečení ze zdrojového SYSTÉMU SIEM.
  • Pokud datové konektory ještě nejsou nainstalované, vyhledejte příslušná řešení v centru obsahu.
  • Pokud žádný datový konektor neexistuje, vytvořte vlastní kanál příjmu dat.
    Další informace najdete v tématu Zjišťování a správa zastaralého obsahu microsoft Sentinelu nebo vlastního příjmu a transformace dat.

Pravidla detekce překladu splunku

Jádrem pravidel detekce Splunk je SPL (Search Processing Language). Prostředí pro migraci SIEM systematicky překládá SPL na dotazovací jazyk Kusto (KQL) pro každé pravidlo Splunk. Pečlivě zkontrolujte překlady a proveďte úpravy, abyste měli jistotu, že migrovaná pravidla fungují podle očekávání v pracovním prostoru Microsoft Sentinelu. Další informace o konceptech důležitých při překladu pravidel detekce najdete v tématu migrace pravidel detekce Splunk.

Aktuální možnosti:

• Překlad jednoduchých dotazů s jedním zdrojem dat
• Přímé překlady uvedené v článku, Splunk na Kusto tahák
• Kontrola zpětné vazby k chybám přeloženého dotazu s možností úprav, která šetří čas v procesu překladu pravidel detekce
• Přeložené dotazy mají stav úplnosti se stavy překladu.

Tady jsou některé z priorit, které jsou pro nás důležité, protože neustále vyvíjíme technologii překladu:

• Podpora překladu modelu CIM (Splunk Common Information Model) do nástroje Microsoft Sentinel Advanced Security Information Model (ASIM)
• Podpora maker Splunk
• Podpora vyhledávání Splunk
• Překlad komplexní logiky korelace, která dotazuje a koreluje události napříč několika zdroji dat

Spuštění prostředí migrace SIEM

1. Na webu Azure Portal přejděte na Microsoft Sentinel v části Správa obsahu a vyberte Centrum obsahu.

2. Vyberte migraci SIEM.

Nahrání detekcí splunku

1. Na webu Splunk vyberte na panelu Aplikace vyhledávání a vytváření sestav.

2. Spusťte tento dotaz:

   | rest splunk_server=local count=0 /services/saved/searches | search disabled=0 | table title,search ,*

3. Vyberte tlačítko exportu a jako formát zvolte JSON.

4. Uložte soubor.

5. Nahrajte exportovaný soubor JSON Splunk.

Poznámka:

Export Splunk musí být platný soubor JSON a velikost nahrávání je omezená na 50 MB.

Konfigurace pravidel

1. Vyberte Konfigurovat pravidla.

2. Projděte si analýzu exportu Splunk.

   • Název je původní název pravidla detekce Splunk.
   • Typ překladu označuje, jestli analytické pravidlo OOTB sentinelu odpovídá logice detekce Splunk.
   • Stav překladu má následující hodnoty:
     • Plně přeložené dotazy v tomto pravidle byly plně přeloženy do KQL.
     • Částečně přeložené dotazy v tomto pravidle nebyly plně přeloženy do KQL.
     • Nepřeložit znamená chybu v překladu.
     • Ručně přeloženo při kontrole a uložení libovolného pravidla

   

   Poznámka:

   Zkontrolujte schéma datových typů a polí používaných v logice pravidla. Služba Microsoft Sentinel Analytics vyžaduje, aby datový typ byl v pracovním prostoru služby Log Analytics, aby se povolilo pravidlo. Je také důležité, aby pole použitá v dotazu byla pro definované schéma datového typu přesná.

3. Zvýrazněte pravidlo pro překlad a vyberte Upravit. Až budete s výsledky spokojeni, vyberte Uložit změny.

4. Přepněte přepínač Připraveno k nasazení pro pravidla analýzy, která chcete nasadit.

5. Po dokončení kontroly vyberte Zkontrolovat a migrovat.

Nasazení analytických pravidel

1. Vyberte Nasadit.

   Typ překladu	Nasazený prostředek
   Out of the box	Nainstalují se odpovídající řešení z centra obsahu, která obsahují odpovídající šablony analytických pravidel. Odpovídající pravidla se nasadí jako aktivní analytická pravidla v zakázaném stavu. Další informace najdete v tématu Správa šablon pravidel analýzy.
   Vlastní	Pravidla se nasazují jako aktivní analytická pravidla v zakázaném stavu.

2. (Volitelné) Zvolte Analytická pravidla a vyberte Exportovat šablony, abyste je stáhli jako šablony ARM pro použití v procesech CI/CD nebo vlastního nasazení.

   

3. Před ukončením prostředí migrace SIEM vyberte Stáhnout souhrn migrace, abyste si zachovali souhrn nasazení Analýzy.

   

Ověření a povolení pravidel

1. Umožňuje zobrazit vlastnosti nasazených pravidel z Analýzy Microsoft Sentinelu.

   • Všechna migrovaná pravidla se nasazují s předponou [Splunk Migrated].
   • Všechna migrovaná pravidla jsou nastavená na zakázáno.
   • Pokud je to možné, zachovají se z exportu Splunk následující vlastnosti:
     Severity
queryFrequency
queryPeriod
triggerOperator
triggerThreshold
suppressionDuration

2. Po kontrole a ověření pravidel povolte pravidla.

   

Další krok

V tomto článku jste se dozvěděli, jak používat prostředí migrace SIEM.

Migrace pravidel detekce splunku