Condividi tramite

Eseguire la migrazione a Microsoft Sentinel con l'esperienza di migrazione SIEM

  • Articolo
  • Si applica a:
    Microsoft Sentinel in the Azure portal

Eseguire la migrazione di SIEM a Microsoft Sentinel per tutti i casi d'uso del monitoraggio della sicurezza. L'assistenza automatizzata fornita dall'esperienza di migrazione SIEM semplifica la migrazione.

Queste funzionalità sono attualmente incluse nell'esperienza di migrazione SIEM:

Splunk

  • L'esperienza è incentrata sulla migrazione del monitoraggio della sicurezza di Splunk a Microsoft Sentinel.
  • L'esperienza supporta solo la migrazione dei rilevamenti di Splunk alle regole di analisi di Microsoft Sentinel.

Prerequisiti

Di seguito è riportato il codice SIEM di origine:

Splunk

  • L'esperienza di migrazione è compatibile con le edizioni Splunk Enterprise e Splunk Cloud.
  • Per esportare tutti gli avvisi di Splunk, è necessario un ruolo di amministratore di Splunk. Per altre informazioni, vedere Accesso utente basato su ruoli di Splunk.
  • Esportare i dati cronologici da Splunk alle tabelle pertinenti nell'area di lavoro Log Analytics. Per altre informazioni, vedere Esportare dati cronologici da Splunk

È necessario quanto segue nella destinazione, Microsoft Sentinel:

  • L'esperienza di migrazione SIEM distribuisce le regole di analisi. Questa funzionalità richiede il ruolo Collaboratore di Microsoft Sentinel. Per altre informazioni, vedere Autorizzazioni in Microsoft Sentinel.
  • Inserire i dati di sicurezza usati in precedenza nel sistema SIEM di origine in Microsoft Sentinel. Installare e abilitare connettori dati predefiniti (OOTB) in modo che corrispondano al patrimonio di monitoraggio della sicurezza dal siem di origine.
    • Se i connettori dati non sono ancora installati, trovare le soluzioni pertinenti nell'hub del contenuto.
    • Se non esiste alcun connettore dati, creare una pipeline di inserimento personalizzata.
      Per altre informazioni, vedere Individuare e gestire contenuti predefiniti di Microsoft Sentinel o Inserimento e trasformazione dati personalizzati.

Tradurre le regole di rilevamento di Splunk

Al centro delle regole di rilevamento di Splunk è il linguaggio di elaborazione della ricerca (SPL). L'esperienza di migrazione SIEM converte sistematicamente SPL in linguaggio di query Kusto (KQL) per ogni regola Splunk. Esaminare attentamente le traduzioni e apportare modifiche per garantire che le regole migrate funzionino come previsto nell'area di lavoro di Microsoft Sentinel. Per altre informazioni sui concetti importanti nella conversione delle regole di rilevamento, vedere Eseguire la migrazione delle regole di rilevamento di Splunk.

Funzionalità correnti:

  • Tradurre query semplici con una singola origine dati
  • Traduzioni dirette elencate nell'articolo Splunk to Kusto cheat sheet
  • Esaminare il feedback degli errori di query tradotti con la funzionalità di modifica per risparmiare tempo nel processo di traduzione delle regole di rilevamento
  • Le query tradotte presentano uno stato di completezza con stati di conversione

Ecco alcune delle priorità importanti per noi mentre continuiamo a sviluppare la tecnologia di traduzione:

  • Splunk Common Information Model (CIM) al supporto per la traduzione advanced security information model (ASIM) di Microsoft Sentinel
  • Supporto per macro Splunk
  • Supporto per le ricerche di Splunk
  • Traduzione di logica di correlazione complessa che esegue query e correla eventi tra più origini dati

Avviare l'esperienza di migrazione SIEM

  1. Passare a Microsoft Sentinel nella portale di Azure, in Gestione contenuto selezionare Hub contenuto.

  2. Selezionare Migrazione SIEM.

Screenshot che mostra l'hub del contenuto con la voce di menu per l'esperienza di migrazione SIEM.

Caricare rilevamenti splunk

  1. In Splunk Web selezionare Cerca e creazione di report nel pannello App .

  2. Eseguire la query riportata di seguito:

    | rest splunk_server=local count=0 /services/saved/searches | search disabled=0 | table title,search ,*

  3. Selezionare il pulsante esporta e scegliere JSON come formato.

  4. Salvare il file.

  5. Caricare il file JSON Splunk esportato.

Nota

L'esportazione di Splunk deve essere un file JSON valido e le dimensioni di caricamento sono limitate a 50 MB.

Screenshot che mostra la scheda Carica file.

Configurare le regole

  1. Selezionare Configura regole.

  2. Esaminare l'analisi dell'esportazione di Splunk.

    • Name è il nome originale della regola di rilevamento di Splunk.
    • Translation Type indica se una regola di analisi OOTB di Sentinel corrisponde alla logica di rilevamento di Splunk.
    • Lo stato di traduzione ha i valori seguenti:
      • Le query completamente tradotte in questa regola sono state convertite completamente in KQL
      • Le query parzialmente tradotte in questa regola non sono state convertite completamente in KQL
      • Non tradotto indica un errore nella traduzione
      • Conversione manuale quando una regola viene esaminata e salvata

    Screenshot che mostra i risultati del mapping automatico delle regole.

    Nota

    Controllare lo schema dei tipi di dati e dei campi usati nella logica della regola. Microsoft Sentinel Analytics richiede che il tipo di dati sia presente nell'area di lavoro Log Analytics prima che la regola sia abilitata. È anche importante che i campi usati nella query siano accurati per lo schema del tipo di dati definito.

  3. Evidenziare una regola per risolvere la traduzione e selezionare Modifica. Quando si è soddisfatti dei risultati, selezionare Salva modifiche.

  4. Attivare l'interruttore Pronto per la distribuzione per le regole di Analisi da distribuire.

  5. Al termine della revisione, selezionare Rivedi ed esegui la migrazione.

Distribuire le regole di Analisi

  1. Seleziona Distribuisci.

    Tipo di traduzione Risorsa distribuita
    Out-of-box Vengono installate le soluzioni corrispondenti dell'hub contenuto che contengono i modelli di regola di analisi corrispondenti. Le regole corrispondenti vengono distribuite come regole di analisi attive nello stato disabilitato.

    Per altre informazioni, vedere Gestire i modelli di regola di Analisi.
    Personalizzazione Le regole vengono distribuite come regole di analisi attive nello stato disabilitato.

  2. (Facoltativo) Scegliere Regole di analisi e selezionare Esporta modelli per scaricarli come modelli arm da usare nei processi di distribuzione personalizzati o CI/CD.

    Screenshot che mostra la scheda Rivedi ed esegui migrazione evidenziando il pulsante Esporta modelli.

  3. Prima di uscire dall'esperienza di migrazione SIEM, selezionare Scarica riepilogo migrazione per mantenere un riepilogo della distribuzione di Analytics.

    Screenshot che mostra il pulsante Download Migration Summary (Scarica riepilogo migrazione) dalla scheda Rivedi ed esegui la migrazione.

Convalidare e abilitare le regole

  1. Visualizzare le proprietà delle regole distribuite da Microsoft Sentinel Analytics.

    • Tutte le regole migrate vengono distribuite con il prefisso [Splunk Migrated].
    • Tutte le regole di cui è stata eseguita la migrazione sono impostate su disabilitate.
    • Le proprietà seguenti vengono mantenute dall'esportazione di Splunk laddove possibile:
      Severity
      queryFrequency
      queryPeriod
      triggerOperator
      triggerThreshold
      suppressionDuration

  2. Abilitare le regole dopo averle esaminate e verificate.

    Screenshot che mostra le regole di Analisi con le regole splunk distribuite evidenziate pronte per l'abilitazione.

Passaggio successivo

In questo articolo si è appreso come usare l'esperienza di migrazione SIEM.

Eseguire la migrazione delle regole di rilevamento di Splunk