Eseguire la migrazione a Microsoft Sentinel con l'esperienza di migrazione SIEM
Eseguire la migrazione di SIEM a Microsoft Sentinel per tutti i casi d'uso del monitoraggio della sicurezza. L'assistenza automatizzata fornita dall'esperienza di migrazione SIEM semplifica la migrazione.
Queste funzionalità sono attualmente incluse nell'esperienza di migrazione SIEM:
Splunk
- L'esperienza è incentrata sulla migrazione del monitoraggio della sicurezza di Splunk a Microsoft Sentinel e sul mapping delle regole di analisi predefinite (OOTB) laddove possibile.
- L'esperienza supporta la migrazione dei rilevamenti di Splunk alle regole di analisi di Microsoft Sentinel, tra cui il mapping di origini dati e ricerche di Splunk.
Prerequisiti
Di seguito è riportato il codice SIEM di origine:
Splunk
- L'esperienza di migrazione è compatibile con le edizioni Splunk Enterprise e Splunk Cloud.
- Per esportare tutti gli avvisi di Splunk, è necessario un ruolo di amministratore di Splunk. Per altre informazioni, vedere Accesso utente basato su ruoli di Splunk.
- Esportare i dati cronologici da Splunk alle tabelle pertinenti nell'area di lavoro Log Analytics. Per altre informazioni, vedere Esportare dati cronologici da Splunk.
È necessario quanto segue nella destinazione, Microsoft Sentinel:
L'esperienza di migrazione SIEM distribuisce le regole di analisi. Questa funzionalità richiede il ruolo Collaboratore di Microsoft Sentinel. Per altre informazioni, vedere Autorizzazioni in Microsoft Sentinel.
Inserire i dati di sicurezza usati in precedenza nel sistema SIEM di origine in Microsoft Sentinel. Prima che una regola di analisi venga convertita e abilitata, l'origine dati della regola deve essere presente nell'area di lavoro Log Analytics. Installare e abilitare connettori dati predefiniti (OOTB) nell'hub del contenuto in modo che corrispondano al patrimonio di monitoraggio della sicurezza dal siem di origine. Se non esiste alcun connettore dati, creare una pipeline di inserimento personalizzata.
Per altre informazioni, vedere gli articoli seguenti:
Creare elenchi di controllo di Microsoft Sentinel dalle ricerche di Splunk in modo che i campi usati vengano mappati per le regole di analisi tradotte.
Tradurre le regole di rilevamento di Splunk
Al centro delle regole di rilevamento di Splunk, è il linguaggio di elaborazione della ricerca (SPL). L'esperienza di migrazione SIEM converte sistematicamente SPL in linguaggio di query Kusto (KQL) per ogni regola Splunk. Esaminare attentamente le traduzioni e apportare modifiche per garantire che le regole migrate funzionino come previsto nell'area di lavoro di Microsoft Sentinel. Per altre informazioni sui concetti importanti nella conversione delle regole di rilevamento, vedere Eseguire la migrazione delle regole di rilevamento di Splunk.
Funzionalità correnti:
- Eseguire il mapping dei rilevamenti di Splunk alle regole di analisi di Microsoft Sentinel OOTB.
- Tradurre query semplici con una singola origine dati.
- Traduzioni automatiche di SPL in KQL per i mapping elencati nell'articolo Splunk to Kusto cheat sheet (Splunk to Kusto).
- Il mapping dello schema (anteprima) crea collegamenti logici per le regole tradotte eseguendo il mapping delle origini dati splunk alle tabelle di Microsoft Sentinel e alle ricerche di Splunk per gli elenchi di controllo.
- La revisione delle query tradotte fornisce commenti e suggerimenti sugli errori con funzionalità di modifica per risparmiare tempo nel processo di traduzione delle regole di rilevamento.
- Stato di traduzione che indica il modo in cui la sintassi SPL viene convertita completamente in KQL a livello grammaticale.
- Supporto per la conversione di macro Splunk usando la definizione di macro di sostituzione inline all'interno di query SPL.
- Splunk Common Information Model (CIM) al supporto per la traduzione advanced security information model (ASIM) di Microsoft Sentinel.
- Riepilogo della pre-migrazione scaricabile e post-migrazione.
Avviare l'esperienza di migrazione SIEM
Trovare l'esperienza di migrazione SIEM in Microsoft Sentinel dal portale di Azure o dal portale di Defender, in Hub del contenuto di gestione>del contenuto.
Selezionare Migrazione SIEM.
Caricare rilevamenti splunk
In Splunk Web selezionare Cerca e creazione di report nel pannello App .
Eseguire la query riportata di seguito:
|rest splunk_server=local count=0 /servicesNS/-/-/saved/searches |search disabled=0 |search alert_threshold != "" |table title,search,description,cron_schedule,dispatch.earliest_time,alert.severity,alert_comparator,alert_threshold,alert.suppress.period,id |tojson|table _raw |rename _raw as alertrules|mvcombine delim=", " alertrules |append [| rest splunk_server=local count=0 /servicesNS/-/-/admin/macros|table title,definition,args,iseval|tojson|table _raw |rename _raw as macros|mvcombine delim=", " macros] |filldown alertrules |tail 1Selezionare il pulsante esporta e scegliere JSON come formato.
Salvare il file.
Caricare il file JSON Splunk esportato.
Nota
L'esportazione di Splunk deve essere un file JSON valido e le dimensioni di caricamento sono limitate a 50 MB.
Mapping dello schema
Usare il mapping dello schema per definire con precisione il mapping dei tipi di dati e dei campi nella logica delle regole di analisi in base alle origini estratte dalle query SPL alle tabelle di Microsoft Sentinel.
Origini dati
Le origini note, ad esempio schemi CIM splunk e modelli di dati, vengono mappate automaticamente agli schemi ASIM, se applicabile. È necessario eseguire manualmente il mapping di altre origini usate nel rilevamento di Splunk alle tabelle di Microsoft Sentinel o Log Analytics. Gli schemi di mapping sono gerarchici, quindi le origini Splunk eseguono il mapping 1:1 con le tabelle di Microsoft Sentinel e i campi all'interno di tali origini.
Una volta completato il mapping dello schema, tutti gli aggiornamenti manuali vengono visualizzati nello stato del mapping come "Mappato manualmente". Le modifiche vengono prese in considerazione nel passaggio successivo quando le regole vengono convertite. Il mapping viene salvato per area di lavoro, quindi non è necessario ripeterlo.
Campi di tipo lookup
Le ricerche di Splunk vengono confrontate con le watchlist di Microsoft Sentinel, che sono elenchi di combinazioni di valori di campo curate da correlare con gli eventi nell'ambiente di Microsoft Sentinel. Poiché le ricerche di Splunk sono definite e disponibili al di fuori dei limiti delle query SPL, l'elenco di controllo di Microsoft Sentinel equivalente deve essere creato come prerequisito. Il mapping dello schema accetta quindi le ricerche identificate automaticamente dalle query Splunk caricate e le esegue il mapping agli elenchi di controllo di Sentinel.
Per altre informazioni, vedere Creare watchlist.
Le query SPL fanno riferimento alle ricerche con le lookupparole chiave , inputlookupe outputlookup . L'operazione outputlookup scrive i dati in una ricerca e non è supportato nella traduzione. Il motore di traduzione della migrazione SIEM usa la funzione KQL per eseguire il _GetWatchlist() mapping all'elenco di controllo di Sentinel corretto insieme ad altre funzioni KQL per completare la logica della regola.
Quando una ricerca di Splunk non ha un watchlist corrispondente mappato, il motore di traduzione mantiene lo stesso nome sia per l'elenco di controllo che per i relativi campi come ricerca e campi splunk.
Configurare le regole
Selezionare Configura regole.
Esaminare l'analisi dell'esportazione di Splunk.
- Name è il nome originale della regola di rilevamento di Splunk.
- Translation Type indica se una regola di analisi OOTB di Sentinel corrisponde alla logica di rilevamento di Splunk.
- Lo stato della traduzione fornisce feedback sul modo in cui la sintassi di un rilevamento Splunk è stata convertita in KQL. Lo stato di conversione non testa la regola o verifica l'origine dati.
- Traduzione completa: le query in questa regola sono state convertite completamente in KQL, ma la logica della regola e l'origine dati non sono state convalidate.
- Traduzione parziale: le query in questa regola non sono state tradotte completamente in KQL.
- Non tradotto : indica un errore nella traduzione.
- Traduzione manuale: questo stato viene impostato quando una regola viene modificata e salvata.
Evidenziare una regola per risolvere la traduzione e selezionare Modifica. Quando si è soddisfatti dei risultati, selezionare Salva modifiche.
Attivare l'interruttore Distribuisci per le regole di analisi da distribuire.
Al termine della revisione, selezionare Rivedi ed esegui la migrazione.
Distribuire le regole di Analisi
Seleziona Distribuisci.
Tipo di traduzione Risorsa distribuita Out-of-box Vengono installate le soluzioni corrispondenti dell'hub contenuto che contengono i modelli di regola di analisi corrispondenti. Le regole corrispondenti vengono distribuite come regole di analisi attive nello stato disabilitato.
Per altre informazioni, vedere Gestire i modelli di regola di Analisi.Personalizzazione Le regole vengono distribuite come regole di analisi attive nello stato disabilitato. (Facoltativo) Selezionare Esporta modelli per scaricare tutte le regole tradotte come modelli arm da usare nei processi di distribuzione ci/CD o personalizzati.
Prima di uscire dall'esperienza di migrazione SIEM, selezionare Scarica riepilogo migrazione per mantenere un riepilogo della distribuzione di Analytics.
Convalidare e abilitare le regole
Visualizzare le proprietà delle regole distribuite da Microsoft Sentinel Analytics.
- Tutte le regole migrate vengono distribuite con il prefisso [Splunk Migrated].
- Tutte le regole di cui è stata eseguita la migrazione sono impostate su disabilitate.
- Le proprietà seguenti vengono mantenute dall'esportazione di Splunk laddove possibile:
Severity
queryFrequency
queryPeriod
triggerOperator
triggerThreshold
suppressionDuration
Abilitare le regole dopo averle esaminate e verificate.
Contenuto correlato
In questo articolo si è appreso come usare l'esperienza di migrazione SIEM.
Per altre informazioni sull'esperienza di migrazione SIEM, vedere gli articoli seguenti: