다음을 통해 공유

SIEM 마이그레이션 환경을 사용하여 Microsoft Sentinel로 마이그레이션

  • 아티클
  • 적용 대상:
    Microsoft Sentinel in the Azure portal

모든 보안 모니터링 사용 사례를 위해 SIEM을 Microsoft Sentinel로 마이그레이션하세요. SIEM 마이그레이션 환경의 자동화된 지원은 마이그레이션을 간소화합니다.

이 기능은 현재 SIEM 마이그레이션 환경에 포함되어 있습니다.

Splunk

  • 이 환경은 Splunk 보안 모니터링을 Microsoft Sentinel로 마이그레이션하고 가능한 한 OOTB(기본 제공) 분석 규칙을 매핑하는 데 중점을 둡니다.
  • 이 환경에서는 Splunk 데이터 원본 및 조회 매핑을 포함하여 Splunk 검색을 Microsoft Sentinel 분석 규칙으로 마이그레이션할 수 있습니다.

필수 조건

원본 SIEM에서 다음이 필요합니다.

Splunk

  • 마이그레이션 환경은 Splunk Enterprise 및 Splunk Cloud 에디션 모두와 호환됩니다.
  • 모든 Splunk 경고를 내보내려면 Splunk 관리자 역할이 필요합니다. 자세한 내용은 Splunk 역할 기반 사용자 액세스를 참조하세요.
  • Splunk에서 Log Analytics 작업 영역의 관련 테이블로 기록 데이터를 내보냅니다. 자세한 내용은 Splunk에서 기록 데이터 내보내기를 참조하세요.

대상인 Microsoft Sentinel에 다음이 필요합니다.

  • SIEM 마이그레이션 환경은 분석 규칙을 배포합니다. 이 기능을 사용하려면 Microsoft Sentinel 기여자 역할이 필요합니다. 자세한 내용은 Microsoft Sentinel의 권한을 참조하세요.

  • 원본 SIEM에서 이전에 사용했던 보안 데이터를 Microsoft Sentinel로 수집합니다. 분석 규칙을 변환하고 사용하도록 설정하기 전에 규칙의 데이터 원본이 Log Analytics 작업 영역에 있어야 합니다. 원본 SIEM의 보안 모니터링 자산과 일치하도록 콘텐츠 허브OOTB(기본 제공) 데이터 커넥터를 설치하고 사용하도록 설정합니다. 데이터 커넥터가 없는 경우 사용자 지정 수집 파이프라인을 만듭니다.

    자세한 내용은 다음 문서를 참조하세요.

  • Splunk 조회에서 Microsoft Sentinel 관심 목록을 만들어 사용되는 필드가 번역된 분석 규칙에 매핑되도록 합니다.

Splunk 탐지 규칙 번역

Splunk 검색 규칙의 핵심은 SPL(검색 처리 언어)입니다. SIEM 마이그레이션 환경은 각 Splunk 규칙에 대해 SPL을 KQL(Kusto 쿼리 언어)로 체계적으로 변환합니다. 번역을 신중하게 검토하고 조정하여 마이그레이션된 규칙이 Microsoft Sentinel 작업 영역에서 의도한 대로 작동하도록 조정합니다. 탐지 규칙을 번역할 때 중요한 개념에 대한 자세한 내용은 Splunk 탐지 규칙 마이그레이션을 참조하세요.

현재 기능:

  • Splunk 검색을 OOTB Microsoft Sentinel 분석 규칙에 매핑합니다.
  • 단일 데이터 원본을 사용하여 간단한 쿼리를 변환합니다.
  • 문서에 나열된 매핑에 대한 SPL을 KQL로 자동 변환하고 Splunk 에서 Kusto 치트 시트로 변환합니다.
  • 스키마 매핑(미리 보기) 은 Splunk 데이터 원본을 Microsoft Sentinel 테이블에 매핑하고 Splunk 조회를 관심 목록에 매핑하여 번역된 규칙에 대한 논리적 링크를 만듭니다.
  • 번역된 쿼리 검토는 검색 규칙 변환 프로세스에서 시간을 절약하기 위해 편집 기능과 함께 오류 피드백을 제공합니다.
  • SPL 구문이 문법 수준에서 KQL로 완전히 변환되는 방법을 나타내는 변환 상태입니다 .
  • SPL 쿼리 내에서 인라인 대체 매크로 정의를 사용하여 Splunk 매크로 변환을 지원합니다.
  • MICROSOFT Sentinel의 ASIM(Advanced Security Information Information Model) 번역 지원에 대한 Splunk CIM(일반 정보 모델).
  • 다운로드 가능한 마이그레이션 전 및 마이그레이션 후 요약입니다.

SIEM 마이그레이션 환경 시작

  1. 콘텐츠 관리>콘텐츠 허브 아래의 Azure Portal 또는 Defender 포털에서 Microsoft Sentinel에서 SIEM 마이그레이션 환경을 찾습니다.

  2. SIEM 마이그레이션을 선택합니다.

SIEM 마이그레이션 환경의 메뉴 항목이 있는 Azure Portal의 콘텐츠 허브를 보여 주는 스크린샷

Splunk 탐지 업로드

  1. Splunk Web의 패널에서 검색 및 보고를 선택합니다.

  2. 다음 쿼리를 실행합니다.

    |rest splunk_server=local count=0 /servicesNS/-/-/saved/searches
|search disabled=0 
|search alert_threshold != ""
|table title,search,description,cron_schedule,dispatch.earliest_time,alert.severity,alert_comparator,alert_threshold,alert.suppress.period,id
|tojson|table _raw
|rename _raw as alertrules|mvcombine delim=", " alertrules
|append [| rest splunk_server=local count=0 /servicesNS/-/-/admin/macros|table title,definition,args,iseval|tojson|table _raw |rename _raw as macros|mvcombine delim=", " macros]
|filldown alertrules
|tail 1

  3. 내보내기 단추를 선택하고 JSON을 형식으로 선택합니다.

  4. 파일을 저장합니다.

  5. 내보낸 Splunk JSON 파일을 업로드합니다.

참고 항목

Splunk 내보내기는 유효한 JSON 파일이어야 하며 업로드 크기는 50MB로 제한됩니다.

파일 업로드 탭을 보여 주는 스크린샷

스키마 매핑

스키마 매핑을 사용하여 SPL 쿼리에서 Microsoft Sentinel 테이블로 추출된 원본을 기반으로 분석 규칙 논리의 데이터 형식 및 필드를 매핑하는 방법을 정확하게 정의합니다.

데이터 원본

Splunk CIM 스키마 및 데이터 모델과 같은 알려진 원본은 해당하는 경우 ASIM 스키마에 자동으로 매핑됩니다. Splunk 검색에 사용되는 다른 원본은 Microsoft Sentinel 또는 Log Analytics 테이블에 수동으로 매핑되어야 합니다. 매핑 스키마는 계층적이므로 Splunk 원본은 Microsoft Sentinel 테이블 및 해당 원본 내의 필드를 사용하여 1:1을 매핑합니다.

데이터 원본에 대한 스키마 매핑(미리 보기) 옵션을 보여 주는 스크린샷

스키마 매핑이 완료되면 모든 수동 업데이트가 매핑 상태에 "수동으로 매핑됨"으로 반영됩니다. 변경 내용은 규칙이 변환될 때 다음 단계에서 고려됩니다. 매핑은 작업 영역별로 저장되므로 반복할 필요가 없습니다.

조회

Splunk 조회는 Microsoft Sentinel 환경의 이벤트와 상관 관계를 지정하기 위해 큐레이팅된 필드 값 조합 목록인 Microsoft Sentinel 관심 목록과 비교됩니다. Splunk 조회는 SPL 쿼리의 경계 밖에서 정의되고 사용할 수 있으므로 동등한 Microsoft Sentinel 관심 목록을 필수 조건으로 만들어야 합니다. 그런 다음 스키마 매핑은 업로드된 Splunk 쿼리에서 자동으로 식별되는 조회를 가져와 Sentinel 관심 목록에 매핑합니다.

자세한 내용은 관심 목록 만들기를 참조하세요.

Microsoft Sentinel 관심 목록에 대한 Splunk 조회의 수동 매핑을 보여 주는 스크린샷

SPL 쿼리는 , inputlookupoutputlookup 키워드를 사용하여 lookup조회를 참조합니다. 이 outputlookup 작업은 조회에 데이터를 기록하며 번역에서 지원되지 않습니다. SIEM 마이그레이션 변환 엔진은 KQL 함수를 사용하여 _GetWatchlist() 다른 KQL 함수와 함께 올바른 Sentinel 관심 목록에 매핑하여 규칙 논리를 완료합니다.

Splunk 조회에 해당 관심 목록이 매핑되지 않은 경우 변환 엔진은 관심 목록과 해당 필드 모두에 대해 Splunk 조회 및 필드와 동일한 이름을 유지합니다.

규칙 구성

  1. 규칙 구성을 선택합니다.

  2. Splunk 내보내기 분석을 검토합니다.

    • 이름은 원래 Splunk 탐지 규칙 이름입니다.
    • 번역 형식은 Sentinel OOTB 분석 규칙이 Splunk 탐지 논리와 일치하는지 여부를 나타냅니다.
    • 번역 상태는 Splunk 검색 구문이 KQL로 완전히 변환된 방법에 대한 피드백을 제공합니다. 변환 상태는 규칙을 테스트하거나 데이터 원본을 확인하지 않습니다.
      • 완전히 번역됨 - 이 규칙의 쿼리는 KQL로 완전히 변환되었지만 규칙 논리 및 데이터 원본의 유효성은 검사되지 않았습니다.
      • 부분적으로 번역됨 - 이 규칙의 쿼리가 KQL로 완전히 변환되지 않았습니다.
      • 번역되지 않음 - 번역 오류를 나타냅니다.
      • 수동으로 번역 - 이 상태는 규칙을 편집하고 저장할 때 설정됩니다.

    자동 규칙 매핑의 결과를 보여 주는 스크린샷

  3. 번역을 해결하기 위한 규칙을 강조 표시하고 편집을 선택합니다. 결과에 만족하면 변경 내용 저장을 선택합니다.

  4. 배포하려는 분석 규칙에 대한 배포 토글을 켭니다.

  5. 검토가 완료되면 검토 및 이전을 선택합니다.

분석 규칙 배포

  1. 배포를 선택합니다.

    번역 유형 배포된 리소스
    기본 제공 일치하는 분석 규칙 템플릿을 포함하는 콘텐츠 허브의 해당 솔루션이 설치됩니다. 일치하는 규칙은 비활성화 상태에서 활성 분석 규칙으로 배포됩니다.

    자세한 내용은 Analytics 규칙 템플릿 관리를 참조하세요.
    사용자 지정 규칙은 비활성화 상태의 활성 분석 규칙으로 배포됩니다.

  2. (선택 사항) 템플릿 내보내기를 선택하여 모든 번역된 규칙을 CI/CD 또는 사용자 지정 배포 프로세스에서 사용할 ARM 템플릿으로 다운로드합니다.

    템플릿 내보내기 단추가 강조 표시된 검토 및 마이그레이션 탭을 보여 주는 스크린샷

  3. SIEM 마이그레이션 환경을 종료하기 전에 마이그레이션 요약 다운로드를 선택하여 분석 배포 요약을 보관합니다.

    검토 및 마이그레이션 탭의 마이그레이션 요약 다운로드 단추를 보여 주는 스크린샷

규칙 검증 및 사용 설정

  1. Microsoft Sentinel Analytics에서 배포된 규칙의 속성을 확인하세요.

    • 마이그레이션된 모든 규칙은 접두사 [Splunk Migrated]를 사용하여 배포됩니다.
    • 마이그레이션된 모든 규칙은 사용하지 않도록 설정됩니다.
    • 가능한 경우 Splunk 내보내기에서 다음 속성이 유지됩니다.
      Severity
      queryFrequency
      queryPeriod
      triggerOperator
      triggerThreshold
      suppressionDuration

  2. 규칙을 검토하고 확인한 후 이를 사용하도록 설정합니다.

    배포된 Splunk 규칙을 사용하도록 설정할 준비가 강조 표시된 분석 규칙을 보여 주는 스크린샷

관련 콘텐츠

이 문서에서는 SIEM 마이그레이션 환경을 사용하는 방법을 알아보았습니다.

SIEM 마이그레이션 환경에 대한 자세한 내용은 다음 문서를 참조하세요.