Eseguire la migrazione a Microsoft Sentinel con l'esperienza di migrazione SIEM
Eseguire la migrazione di SIEM a Microsoft Sentinel per tutti i casi d'uso del monitoraggio della sicurezza. L'assistenza automatizzata fornita dall'esperienza di migrazione SIEM semplifica la migrazione.
Queste funzionalità sono attualmente incluse nell'esperienza di migrazione SIEM:
Splunk
- L'esperienza è incentrata sulla migrazione del monitoraggio della sicurezza di Splunk a Microsoft Sentinel.
- L'esperienza supporta solo la migrazione dei rilevamenti di Splunk alle regole di analisi di Microsoft Sentinel.
Prerequisiti
Di seguito è riportato il codice SIEM di origine:
Splunk
- L'esperienza di migrazione è compatibile con le edizioni Splunk Enterprise e Splunk Cloud.
- Per esportare tutti gli avvisi di Splunk, è necessario un ruolo di amministratore di Splunk. Per altre informazioni, vedere Accesso utente basato su ruoli di Splunk.
- Esportare i dati cronologici da Splunk alle tabelle pertinenti nell'area di lavoro Log Analytics. Per altre informazioni, vedere Esportare dati cronologici da Splunk
È necessario quanto segue nella destinazione, Microsoft Sentinel:
- L'esperienza di migrazione SIEM distribuisce le regole di analisi. Questa funzionalità richiede il ruolo Collaboratore di Microsoft Sentinel. Per altre informazioni, vedere Autorizzazioni in Microsoft Sentinel.
- Inserire i dati di sicurezza usati in precedenza nel sistema SIEM di origine in Microsoft Sentinel. Installare e abilitare connettori dati predefiniti (OOTB) in modo che corrispondano al patrimonio di monitoraggio della sicurezza dal siem di origine.
- Se i connettori dati non sono ancora installati, trovare le soluzioni pertinenti nell'hub del contenuto.
- Se non esiste alcun connettore dati, creare una pipeline di inserimento personalizzata.
Per altre informazioni, vedere Individuare e gestire contenuti predefiniti di Microsoft Sentinel o Inserimento e trasformazione dati personalizzati.
Tradurre le regole di rilevamento di Splunk
Al centro delle regole di rilevamento di Splunk è il linguaggio di elaborazione della ricerca (SPL). L'esperienza di migrazione SIEM converte sistematicamente SPL in linguaggio di query Kusto (KQL) per ogni regola Splunk. Esaminare attentamente le traduzioni e apportare modifiche per garantire che le regole migrate funzionino come previsto nell'area di lavoro di Microsoft Sentinel. Per altre informazioni sui concetti importanti nella conversione delle regole di rilevamento, vedere Eseguire la migrazione delle regole di rilevamento di Splunk.
Funzionalità correnti:
- Tradurre query semplici con una singola origine dati
- Traduzioni dirette elencate nell'articolo Splunk to Kusto cheat sheet
- Esaminare il feedback degli errori di query tradotti con la funzionalità di modifica per risparmiare tempo nel processo di traduzione delle regole di rilevamento
- Le query tradotte presentano uno stato di completezza con stati di conversione
Ecco alcune delle priorità importanti per noi mentre continuiamo a sviluppare la tecnologia di traduzione:
- Splunk Common Information Model (CIM) al supporto per la traduzione advanced security information model (ASIM) di Microsoft Sentinel
- Supporto per macro Splunk
- Supporto per le ricerche di Splunk
- Traduzione di logica di correlazione complessa che esegue query e correla eventi tra più origini dati
Avviare l'esperienza di migrazione SIEM
Passare a Microsoft Sentinel nella portale di Azure, in Gestione contenuto selezionare Hub contenuto.
Selezionare Migrazione SIEM.
Caricare rilevamenti splunk
In Splunk Web selezionare Cerca e creazione di report nel pannello App .
Eseguire la query riportata di seguito:
| rest splunk_server=local count=0 /services/saved/searches | search disabled=0 | table title,search ,*
Selezionare il pulsante esporta e scegliere JSON come formato.
Salvare il file.
Caricare il file JSON Splunk esportato.
Nota
L'esportazione di Splunk deve essere un file JSON valido e le dimensioni di caricamento sono limitate a 50 MB.
Configurare le regole
Selezionare Configura regole.
Esaminare l'analisi dell'esportazione di Splunk.
- Name è il nome originale della regola di rilevamento di Splunk.
- Translation Type indica se una regola di analisi OOTB di Sentinel corrisponde alla logica di rilevamento di Splunk.
- Lo stato di traduzione ha i valori seguenti:
- Le query completamente tradotte in questa regola sono state convertite completamente in KQL
- Le query parzialmente tradotte in questa regola non sono state convertite completamente in KQL
- Non tradotto indica un errore nella traduzione
- Conversione manuale quando una regola viene esaminata e salvata
Nota
Controllare lo schema dei tipi di dati e dei campi usati nella logica della regola. Microsoft Sentinel Analytics richiede che il tipo di dati sia presente nell'area di lavoro Log Analytics prima che la regola sia abilitata. È anche importante che i campi usati nella query siano accurati per lo schema del tipo di dati definito.
Evidenziare una regola per risolvere la traduzione e selezionare Modifica. Quando si è soddisfatti dei risultati, selezionare Salva modifiche.
Attivare l'interruttore Pronto per la distribuzione per le regole di Analisi da distribuire.
Al termine della revisione, selezionare Rivedi ed esegui la migrazione.
Distribuire le regole di Analisi
Seleziona Distribuisci.
Tipo di traduzione Risorsa distribuita Out-of-box Vengono installate le soluzioni corrispondenti dell'hub contenuto che contengono i modelli di regola di analisi corrispondenti. Le regole corrispondenti vengono distribuite come regole di analisi attive nello stato disabilitato.
Per altre informazioni, vedere Gestire i modelli di regola di Analisi.Personalizzazione Le regole vengono distribuite come regole di analisi attive nello stato disabilitato. (Facoltativo) Scegliere Regole di analisi e selezionare Esporta modelli per scaricarli come modelli arm da usare nei processi di distribuzione personalizzati o CI/CD.
Prima di uscire dall'esperienza di migrazione SIEM, selezionare Scarica riepilogo migrazione per mantenere un riepilogo della distribuzione di Analytics.
Convalidare e abilitare le regole
Visualizzare le proprietà delle regole distribuite da Microsoft Sentinel Analytics.
- Tutte le regole migrate vengono distribuite con il prefisso [Splunk Migrated].
- Tutte le regole di cui è stata eseguita la migrazione sono impostate su disabilitate.
- Le proprietà seguenti vengono mantenute dall'esportazione di Splunk laddove possibile:
Severity
queryFrequency
queryPeriod
triggerOperator
triggerThreshold
suppressionDuration
Abilitare le regole dopo averle esaminate e verificate.
Passaggio successivo
In questo articolo si è appreso come usare l'esperienza di migrazione SIEM.
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per