Migración a Microsoft Sentinel con la experiencia de migración de SIEM

  • Artículo
  • Se aplica a:
    Microsoft Sentinel in the Azure portal

Migre SIEM a Microsoft Sentinel para todos los casos de uso de supervisión de seguridad. La asistencia automatizada de la experiencia de migración de SIEM simplifica la migración.

Estas características se incluyen actualmente en la experiencia de migración de SIEM:

Splunk

  • La experiencia se centra en migrar la supervisión de seguridad de Splunk a Microsoft Sentinel.
  • La experiencia solo admite la migración de detecciones de Splunk a reglas de análisis de Microsoft Sentinel.

Requisitos previos

Necesita lo siguiente en SIEM de origen:

Splunk

  • La experiencia de migración es compatible con las versiones Splunk Enterprise y Splunk Cloud.
  • Se requiere un rol de administrador de Splunk para exportar todas las alertas de Splunk. Para obtener más información, consulte Acceso de usuario basado en rol de Splunk.
  • Exporte los datos históricos de Splunk a las tablas pertinentes del área de trabajo de Log Analytics. Para obtener más información, consulte Exportación de datos históricos de Splunk

Necesita lo siguiente en el destino, Microsoft Sentinel:

  • La experiencia de migración de SIEM implementa reglas de análisis. Esta funcionalidad requiere el rol de Colaborador de Microsoft Sentinel. Para más información, consulte Permisos de Microsoft Sentinel.
  • Ingerir en Microsoft Sentinel datos de seguridad usados anteriormente en la instancia de SIEM de origen. Instale y habilite conectores de datos integrados para que coincidan con el estado de supervisión de seguridad de la instancia de SIEM de origen.

Traducción de reglas de detección de Splunk

En el núcleo de las reglas de detección de Splunk se encuentra el lenguaje de procesamiento de búsqueda (SPL). La experiencia de migración de SIEM traduce sistemáticamente SPL al lenguaje de consulta Kusto (KQL) para cada regla de Splunk. Revise detenidamente las traducciones y realice ajustes para garantizar que las reglas migradas funcionen según lo previsto en el área de trabajo de Microsoft Sentinel. Para obtener más información sobre los conceptos importantes en la traducción de reglas de detección, consulte Migración de reglas de detección de Splunk.

Capacidades actuales:

  • Traducción de consultas sencillas con un único origen de datos
  • Traducciones directas indicadas en el artículo, Hoja de referencia rápida de Splunk a Kusto
  • Revise los comentarios sobre los errores de consulta traducidos con la funcionalidad de edición para ahorrar tiempo en el proceso de traducción de reglas de detección
  • Las consultas traducidas presentan un estado de integridad con estados de traducción

Estas son algunas de las prioridades que son importantes para nosotros a medida que seguimos desarrollando la tecnología de traducción:

  • Compatibilidad de traducción del Modelo de información común (CIM) de Splunk con el Modelo avanzado de información de seguridad (ASIM) de Microsoft Sentinel
  • Compatibilidad con macros de Splunk
  • Compatibilidad con búsquedas de Splunk
  • Traducción de una lógica de correlación compleja que consulta y correlaciona eventos entre varios orígenes de datos

Inicio de la experiencia de migración de SIEM

  1. Vaya a Microsoft Sentinel en Azure Portal y, en Administración de contenido, seleccione Centro de contenido.

  2. Seleccione Migración de SIEM.

Captura de pantalla que muestra el centro de contenido con el elemento de menú para la experiencia de migración de SIEM.

Carga de detecciones de Splunk

  1. En Splunk Web, seleccione Búsqueda e informes en el panel Aplicaciones.

  2. Ejecute la siguiente consulta:

    | rest splunk_server=local count=0 /services/saved/searches | search disabled=0 | table title,search ,*

  3. Seleccione el botón para exportar y elija JSON como formato.

  4. Guarde el archivo.

  5. Cargue el archivo JSON de Splunk exportado.

Nota:

La exportación de Splunk debe ser un archivo JSON válido y el tamaño de carga está limitado a 50 MB.

Captura de pantalla que muestra la pestaña Cargar archivos.

Configuración de reglas

  1. Seleccione Configurar reglas.

  2. Revise el análisis de la exportación de Splunk.

    • Nombre es el nombre original de la regla de detección de Splunk.
    • Tipo de traducción indica si una regla de análisis integrada de Sentinel coincide con la lógica de detección de Splunk.
    • Estado de traducción tiene los siguientes valores:
      • Las consultas totalmente traducidas de esta regla se han traducido completamente a KQL
      • Las consultas traducidas parcialmente de esta regla no se han traducido completamente a KQL
      • No traducido indica un error en la traducción
      • Traducido manualmente cuando se revisa y guarda cualquier regla

    Captura de pantalla que muestra los resultados de la asignación automática de reglas.

    Nota:

    Compruebe el esquema de los tipos de datos y los campos usados en la lógica de la regla. El análisis de Microsoft Sentinel requiere que el tipo de datos esté presente en el área de trabajo de Log Analytics antes de habilitar la regla. También es importante que los campos usados en la consulta sean precisos para el esquema de tipo de datos definido.

  3. Resalte una regla para resolver la traducción y seleccione Editar. Cuando esté satisfecho con los resultados, seleccione Guardar cambios.

  4. Active el botón Listo para implementar para las reglas de Analytics que desea implementar.

  5. Una vez completada la revisión, seleccione Revisar y migrar.

Implementación de las reglas de análisis

  1. Seleccione Implementar.

    Tipo de traducción Recurso implementado
    De serie Se instalan las soluciones correspondientes del centro de contenido que contienen las plantillas de reglas de análisis coincidentes. Las reglas coincidentes se implementan como reglas de análisis activas en estado deshabilitado.

    Para obtener más información, consulte Administración de plantillas de reglas de análisis.
    Personalizado Las reglas se implementan como reglas de análisis activas en estado deshabilitado.

  2. (Opcional) Seleccione Reglas de análisis y elija Exportar plantillas para descargarlas como plantillas de ARM para usarlas en los procesos de implementación de CI/CD o personalizados.

    Captura de pantalla que muestra la pestaña Revisar y migrar resaltando el botón Exportar plantillas.

  3. Antes de salir de la experiencia de migración de SIEM, seleccione Descargar resumen de la migración para mantener un resumen de la implementación de Analytics.

    Captura de pantalla que muestra el botón Descargar resumen de la migración desde la pestaña Revisar y migrar.

Validación y habilitación de reglas

  1. Vea las propiedades de las reglas implementadas de Análisis de Microsoft Sentinel.

    • Todas las reglas migradas se implementan con el prefijo [Migrado por Splunk].
    • Todas las reglas migradas se establecen en deshabilitadas.
    • Las siguientes propiedades se conservan tras la exportación de Splunk siempre que sea posible:
      Severity
      queryFrequency
      queryPeriod
      triggerOperator
      triggerThreshold
      suppressionDuration

  2. Habilite las reglas después de haberlas revisado y comprobado.

    Captura de pantalla en la que se muestran las reglas de análisis con reglas de Splunk implementadas resaltadas y listas para habilitarse.

Paso siguiente

En este artículo, ha aprendido a usar la experiencia de migración de SIEM.

Migración de reglas de detección de Splunk