SIEM 移行エクスペリエンスを使用して Microsoft Sentinel に移行する

• 適用対象:

  Microsoft Sentinel in the Azure portal

すべてのセキュリティ監視のユース ケースについて、SIEM を Microsoft Sentinel に移行します。 SIEM 移行エクスペリエンスからの自動サポートにより、移行が簡略化されます。

現在、これらの機能は SIEM 移行エクスペリエンスに含まれています。

Splunk

• このエクスペリエンスでは、Splunk のセキュリティ監視を Microsoft Sentinel に移行し、すぐに使用できる (OOTB) 分析ルールを可能な限りマッピングすることに重点を置いています。
• このエクスペリエンスは、Splunk の検出結果を Microsoft Sentinel の分析ルールに移行する際に役立てることができます。これには、Splunk のデータソースとルックアップのマッピングも含まれます。

前提条件

ソース SIEM から次のものが必要です。

Splunk

• 移行エクスペリエンスは、Splunk Enterprise と Splunk Cloud の両方のエディションと互換性があります。
• Splunk のすべてのアラートをエクスポートするには、Splunk 管理者ロールが必要です。 詳細については、「Splunk ロールベースのユーザー アクセス 」を参照してください。
• Splunk から Log Analytics ワークスペースの関連テーブルに履歴データをエクスポートします。 詳細については、「Splunk からの履歴データのエクスポート」を参照してください。

ターゲットの Microsoft Sentinel には次のものが必要です。

• SIEM 移行エクスペリエンスでは、分析ルールが配置されます。 この機能には、Microsoft Sentinel 共同作成者ロールが必要です。 詳細については、「Microsoft Sentinel のアクセス許可」を参照してください。

• ソース SIEM でそれまで使用されていたセキュリティ データを Microsoft Sentinel に取り込みます。 分析ルールを変換して有効にする前に、ルールのデータ ソースが Log Analytics ワークスペースに存在している必要があります。 ソース SIEM からのセキュリティ監視資産と一致するように、コンテンツ ハブに、すぐに使用できる (OOTB) データ コネクタをインストールして有効にします。 データ コネクタが存在しない場合は、カスタム インジェスト パイプラインを作成します。

  詳細については、次の記事をご覧ください。

  • Microsoft Sentinel のそのまま使えるコンテンツを検出して管理する
  • カスタム データ インジェストと変換

• Splunk ルックアップから Microsoft Sentinel ウォッチリストを作成すると、使用されるフィールドが変換された分析ルールにマッピングされます。

Splunk 検出ルールを移行する

Splunk 検出ルールの中核となるのは、検索処理言語 (SPL) です。 SIEM 移行エクスペリエンスでは、各 Splunk ルールごとに SPL を Kusto クエリ言語 (KQL) に体系的に変換します。 変換を慎重に確認し、調整を行って、移行されたルールが Microsoft Sentinel ワークスペースで意図したとおりに機能することを確認します。 検出ルールの変換において重要な概念の詳細については、「Splunk 検出ルールの移行」を参照してください。

現在の機能:

• Splunk の検出結果を OOTB Microsoft Sentinel 分析ルールにマッピングします。
• 単一のデータ ソースを使用して単純なクエリを変換します。
• 「Splunk から Kusto へのチート シート」の記事に記載されている、マッピングのための SPL から KQL への自動変換。
• スキーマ マッピング (プレビュー) では、Splunk データ ソースを Microsoft Sentinel テーブルにマッピングし、Splunk ルックアップをウォッチリストにマッピングすることで、変換されたルールの論理リンクを作成します。
• 変換されたクエリのレビューでは、編集機能を備えたエラー フィードバックが提供され、検出ルールの変換プロセスにかかる時間が短縮されます。
• 文法レベルで SPL 構文が KQL にどの程度完全に変換されるかを示す変換状態。
• SPL クエリ内のインライン置換マクロ定義を使用した Splunk マクロ変換のサポート。
• Splunk の Common Information Model (CIM) から Microsoft Sentinel の Advanced Security Information Model (ASIM) への変換サポート。
• ダウンロード可能な移行前と移行後の要約。

SIEM 移行エクスペリエンスを開始する

1. Microsoft Sentinel の SIEM 移行エクスペリエンスは、Azure portal または Defender portal の [コンテンツ管理]>[コンテンツ ハブ] を参照してください。

2. [SIEM 移行] を選びます。

Splunk の検出をアップロードする

1. Splunk Web から、[アプリ] パネルで [検索とレポート] を選択します。

2. 次のクエリを実行します。

   |rest splunk_server=local count=0 /servicesNS/-/-/saved/searches
   |search disabled=0 
   |search alert_threshold != ""
   |table title,search,description,cron_schedule,dispatch.earliest_time,alert.severity,alert_comparator,alert_threshold,alert.suppress.period,id
   |tojson|table _raw
   |rename _raw as alertrules|mvcombine delim=", " alertrules
   |append [| rest splunk_server=local count=0 /servicesNS/-/-/admin/macros|table title,definition,args,iseval|tojson|table _raw |rename _raw as macros|mvcombine delim=", " macros]
   |filldown alertrules
   |tail 1
   

3. エクスポート ボタンを選択し、形式として [JSON] を選択します。

4. ファイルを保存します。

5. エクスポートした Splunk JSON ファイルをアップロードします。

Note

Splunk エクスポートは有効な JSON ファイルである必要があり、アップロード サイズは 50 MB に制限されています。

スキーマ マッピング

スキーマ マッピングを使用して、SPL クエリから Microsoft Sentinel テーブルに抽出されたソースに基づいて分析ルール ロジックのデータ型とフィールドをマッピングする方法を正確に定義します。

データ ソース

Splunk CIM スキーマやデータ モデルなどの既知のソースは、必要に応じて ASIM スキーマに自動的にマッピングされます。 Splunk 検出で使用されるその他のソースは、Microsoft Sentinel または Log Analytics テーブルに手動でマッピングする必要があります。 マッピング スキーマは階層構造であるため、Splunk ソースは Microsoft Sentinel テーブルとそれらのソース内のフィールドに 1 対 1 でマッピングされます。

スキーマ マッピングが完了すると、手動の更新が [マッピング状態] に "手動でマッピング済み" として反映されます。 これらの変更は、次のステップでルールが変換される際に考慮されます。 マッピングはワークスペースごとに保存されるため、繰り返す必要はありません。

ルックアップ

Splunk ルックアップは、Microsoft Sentinel の監視リストと対比されます。監視リストは、Microsoft Sentinel 環境内のイベントと相関させるために管理されたフィールド値の組み合わせのリストです。 Splunk ルックアップは SPL クエリの境界外で定義され使用可能であるため、同等の Microsoft Sentinel ウォッチリストを前提条件として作成する必要があります。 スキーマ マッピングでは、アップロードされた Splunk クエリから自動的に識別されるルックアップが取得され、Sentinel ウォッチリストにマッピングされます。

詳細については、「ウォッチリストの作成」を参照してください。

SPL クエリでは、lookup、inputlookup、outputlookup キーワードを使用してルックアップが参照されます。 outputlookup 操作ではルックアップにデータが書き込まれ、変換ではサポートされていません。 SIEM 移行変換エンジンでは、_GetWatchlist() KQL 関数を使用して、正しい Sentinel ウォッチリストにマッピングされ、他の KQL 関数と共にルール ロジックを完了します。

Splunk ルックアップに該当するウォッチリストがマッピングされていない場合、変換エンジンは、Splunk のルックアップおよびフィールドと同じ名前をウォッチリストおよびそのフィールドの両方に保持します。

ルールを構成する

1. [ルールの構成] を選択 します。

2. Splunk エクスポートの分析を確認します。

   • [名前] は、元の Splunk 検出ルール名です。
   • [変換の種類] は、Sentinel OOTB 分析ルールが Splunk 検出ロジックと一致するかどうかを示します。
   • 変換の状態では、Splunk 検出の構文が KQL にどの程度完全に変換されたかについてのフィードバックが提供されます。 変換の状態では、ルールのテストやデータ ソースの検証は行われません。
     • 完全に変換済み - このルールのクエリは KQL に完全に変換されましたが、ルール ロジックとデータ ソースは検証されませんでした。
     • 部分的に変換済み - このルールのクエリは KQL に完全に変換されませんでした。
     • 変換されていない - 変換時のエラーを示します。
     • 手動で変換済み - この状態は、ルールを編集して保存するときに設定されます。

   

3. 変換を解決するルールを強調表示し、[編集] を選びます。 結果に問題がなければ、[変更の保存] を選択します。

4. 展開する分析ルールの [展開] トグルをオンにします。

5. レビューが完了したら、[レビューと移行 ] を選択します。

分析ルールを配置する

1. [デプロイ] を選択します。

   Translation Type	デプロイされたリソース
   すぐに利用できる	一致した分析ルール テンプレートを含むコンテンツ ハブから対応するソリューションがインストールされます。 一致したルールは、無効状態のアクティブな分析ルールとしてデプロイされます。 詳細については、分析ルール テンプレートの管理に関するページを参照してください。
   Custom	ルールは、無効状態のアクティブな分析ルールとしてデプロイされます。

2. (省略可能)[テンプレートのエクスポート] を選択すると、変換されたすべてのルールが ARM テンプレートとしてダウンロードされ、CI/CD またはカスタム展開プロセスで使用できます。

   

3. SIEM 移行エクスペリエンスを終了する前に、[移行の概要のダウンロード] を選び、分析デプロイの概要を保持します。

   

ルールの検証と有効化

1. Microsoft Sentinel AAnalytics から配置されたルールのプロパティを表示します。

   • 移行されたすべてのルールは、プレフィックス [Splunk Migrated]と共に配置されます。
   • 移行されたすべてのルールは無効に設定されます。
   • 次のプロパティは、可能な限り Splunk エクスポートから保持されます。
     Severity
queryFrequency
queryPeriod
triggerOperator
triggerThreshold
suppressionDuration

2. ルールを確認して検証した後で、ルールを有効にします。

   

関連するコンテンツ

この記事では、SIEM 移行エクスペリエンスを使用する方法について説明しました。

SIEM 移行エクスペリエンスの詳細については、以下の記事を参照してください。

• Microsoft Sentinel の忍者になる - 移行セクション
• SIEM 移行の更新情報 - Microsoft Sentinel ブログ
• SIEM 移行エクスペリエンスの一般提供 - Microsoft Sentinel ブログ