Migreren naar Microsoft Sentinel met de SIEM-migratie-ervaring

• Geldt voor:

  Microsoft Sentinel in the Azure portal

Migreer uw SIEM naar Microsoft Sentinel voor al uw use cases voor beveiligingsbewaking. Geautomatiseerde hulp van de SIEM-migratie vereenvoudigt uw migratie.

Deze functies zijn momenteel opgenomen in de SIEM-migratie-ervaring:

Splunk

• De ervaring is gericht op het migreren van Splunk-beveiligingsbewaking naar Microsoft Sentinel en het toewijzen van kant-en-klare analyseregels (OOTB) waar mogelijk.
• De ervaring ondersteunt de migratie van Splunk-detecties naar Analyseregels van Microsoft Sentinel, waaronder het toewijzen van Splunk-gegevensbronnen en zoekopdrachten.

Vereisten

U hebt het volgende nodig van de bron-SIEM:

Splunk

• De migratie-ervaring is compatibel met zowel Splunk Enterprise- als Splunk Cloud-edities.
• Er is een Splunk-beheerdersrol vereist om alle Splunk-waarschuwingen te exporteren. Zie Splunk-gebruikerstoegang op basis van rollen voor meer informatie.
• Exporteer de historische gegevens van Splunk naar de relevante tabellen in de Log Analytics-werkruimte. Zie Historische gegevens exporteren uit Splunk voor meer informatie.

U hebt het volgende nodig op het doel, Microsoft Sentinel:

• Met de SIEM-migratie-ervaring worden analyseregels geïmplementeerd. Voor deze mogelijkheid is de rol Microsoft Sentinel-inzender vereist. Zie Machtigingen in Microsoft Sentinel voor meer informatie.

• Opname van beveiligingsgegevens die eerder in uw bron SIEM zijn gebruikt in Microsoft Sentinel. Voordat een analyseregel wordt vertaald en ingeschakeld, moet de gegevensbron van de regel aanwezig zijn in de Log Analytics-werkruimte. U kunt out-of-the-box-gegevensconnectors (OOTB) in Content Hub installeren en inschakelen zodat deze overeenkomen met uw beveiligingsbewakingsomgeving van uw bron-SIEM. Als er geen gegevensconnector bestaat, maakt u een aangepaste opnamepijplijn.

  Raadpleeg voor meer informatie de volgende artikelen:

  • Out-of-the-box-inhoud van Microsoft Sentinel detecteren en beheren
  • Aangepaste gegevensopname en -transformatie

• Maak Microsoft Sentinel-volglijsten op basis van uw Splunk-zoekopdrachten, zodat de gebruikte velden worden toegewezen aan de vertaalde analyseregels.

Splunk-detectieregels vertalen

De kern van Splunk-detectieregels is de SPL (Search Processing Language). De SIEM-migratie-ervaring vertaalt SPL systematisch naar Kusto-querytaal (KQL) voor elke Splunk-regel. Controleer de vertalingen zorgvuldig en breng aanpassingen aan om ervoor te zorgen dat gemigreerde regels werken zoals bedoeld in uw Microsoft Sentinel-werkruimte. Zie Splunk-detectieregels migreren voor meer informatie over de concepten die belangrijk zijn bij het vertalen van detectieregels.

Huidige mogelijkheden:

• Splunk-detecties toewijzen aan OOTB Microsoft Sentinel-analyseregels.
• Eenvoudige query's vertalen met één gegevensbron.
• Automatische vertalingen van SPL naar KQL voor de toewijzingen die worden vermeld in het artikel, Splunk naar Kusto cheatsheet.
• Schematoewijzing (preview) maakt logische koppelingen voor de vertaalde regels door Splunk-gegevensbronnen toe te voegen aan Microsoft Sentinel-tabellen en Splunk-zoekopdrachten voor volglijsten.
• Vertaalde querybeoordeling biedt foutfeedback met bewerkingsmogelijkheden om tijd te besparen in het proces voor het vertalen van detectieregels.
• Vertaalstatus die aangeeft hoe de volledige SPL-syntaxis wordt vertaald naar KQL op grammaticaniveau.
• Ondersteuning voor vertaling van Splunk-macro's met inline vervangende macrodefinitie in SPL-query's.
• Splunk Common Information Model (CIM) naar de ondersteuning voor ASIM-vertaling (Advanced Security Information Model) van Microsoft Sentinel.
• Downloadbare samenvatting van de voorafgaande migratie en na de migratie.

De SIEM-migratie-ervaring starten

1. Zoek de SIEM-migratie-ervaring in Microsoft Sentinel vanuit De Azure-portal of de Defender-portal, onder Inhoudsbeheer-hub>.

2. Selecteer SIEM-migratie.

Splunk-detecties uploaden

1. Selecteer zoeken en rapporteren in Splunk Web in het deelvenster Apps .

2. Voer de volgende query uit.

   |rest splunk_server=local count=0 /servicesNS/-/-/saved/searches
   |search disabled=0 
   |search alert_threshold != ""
   |table title,search,description,cron_schedule,dispatch.earliest_time,alert.severity,alert_comparator,alert_threshold,alert.suppress.period,id
   |tojson|table _raw
   |rename _raw as alertrules|mvcombine delim=", " alertrules
   |append [| rest splunk_server=local count=0 /servicesNS/-/-/admin/macros|table title,definition,args,iseval|tojson|table _raw |rename _raw as macros|mvcombine delim=", " macros]
   |filldown alertrules
   |tail 1
   

3. Selecteer de knop Exporteren en kies JSON als de indeling.

4. Sla het bestand op.

5. Upload het geëxporteerde Splunk JSON-bestand.

Notitie

De Splunk-export moet een geldig JSON-bestand zijn en de uploadgrootte is beperkt tot 50 MB.

Schematoewijzing

Gebruik schematoewijzing om precies te definiëren hoe de gegevenstypen en velden in de logica van de analyseregel worden toegewezen op basis van de geëxtraheerde bronnen uit de SPL-query's naar de Microsoft Sentinel-tabellen.

Gegevensbronnen

Bekende bronnen zoals Splunk CIM-schema's en gegevensmodellen worden automatisch toegewezen aan ASIM-schema's, indien van toepassing. Andere bronnen die in de Splunk-detectie worden gebruikt, moeten handmatig worden toegewezen aan Microsoft Sentinel- of Log Analytics-tabellen. Toewijzingsschema's zijn hiërarchisch, zodat Splunk-bronnen 1:1 toewijzen met Microsoft Sentinel-tabellen en de velden in deze bronnen.

Zodra de schematoewijzing is voltooid, worden alle handmatige updates weergegeven in de toewijzingsstatus als 'Handmatig toegewezen'. De wijzigingen worden in de volgende stap meegenomen wanneer de regels worden vertaald. De toewijzing wordt per werkruimte opgeslagen, dus u hoeft deze niet te herhalen.

Opzoekenvelden

Splunk-zoekacties vergelijken met Microsoft Sentinel-watchlists. Dit zijn lijsten met samengestelde combinaties van veldwaarden om te correleren met de gebeurtenissen in uw Microsoft Sentinel-omgeving. Omdat Splunk-zoekacties zijn gedefinieerd en beschikbaar zijn buiten de grenzen van SPL-query's, moet de equivalente Microsoft Sentinel-watchlist worden gemaakt als een vereiste. Schematoewijzing gebruikt vervolgens zoekopdrachten die automatisch worden geïdentificeerd op basis van de geüploade Splunk-query's en wijst deze toe aan Sentinel Watchlists.

Zie De volglijst maken voor meer informatie.

SPL-query's verwijzen naar zoekacties met de lookup, inputlookupen outputlookup trefwoorden. De outputlookup bewerking schrijft gegevens naar een zoekactie en wordt niet ondersteund in vertaling. De SIEM-migratieomzettingsengine gebruikt de _GetWatchlist() KQL-functie om samen met andere KQL-functies de juiste Sentinel-watchlist toe te wijzen om de regellogica te voltooien.

Wanneer een Splunk-zoekopdracht geen bijbehorende volglijst heeft toegewezen, behoudt de vertaalengine dezelfde naam voor zowel de volglijst als de bijbehorende velden als de Splunk-zoekopdracht en -velden.

Regels configureren

1. Selecteer Regels configureren.

2. Bekijk de analyse van de Splunk-export.

   • Naam is de oorspronkelijke naam van de Splunk-detectieregel.
   • Vertaaltype geeft aan of een Sentinel OOTB-analyseregel overeenkomt met de detectielogica van Splunk.
   • Vertalingsstatus geeft feedback over hoe de syntaxis van een Splunk-detectie is vertaald naar KQL. De vertaalstatus test de regel niet of controleert de gegevensbron.
     • Volledig vertaald : query's in deze regel zijn volledig vertaald naar KQL, maar de regellogica en gegevensbron zijn niet gevalideerd.
     • Gedeeltelijk vertaald : query's in deze regel zijn niet volledig vertaald naar KQL.
     • Niet vertaald - Geeft een fout in de vertaling aan.
     • Handmatig vertaald : deze status wordt ingesteld wanneer een regel wordt bewerkt en opgeslagen.

   

3. Markeer een regel om vertaling op te lossen en selecteer Bewerken. Wanneer u tevreden bent met de resultaten, selecteert u Wijzigingen opslaan.

4. Schakel de wisselknop Implementeren in voor analyseregels die u wilt implementeren.

5. Wanneer de beoordeling is voltooid, selecteert u Controleren en migreren.

De analyseregels implementeren

1. Selecteer Implementeren.

   Vertaaltype	Geïmplementeerde resource
   Out-of-the-box	De bijbehorende oplossingen van Content Hub die de overeenkomende sjablonen voor analyseregels bevatten, worden geïnstalleerd. De overeenkomende regels worden geïmplementeerd als actieve analyseregels met de status Uitgeschakeld. Zie Sjablonen voor analyseregels beheren voor meer informatie.
   Aanpassen	Regels worden geïmplementeerd als actieve analyseregels met de status Uitgeschakeld.

2. (Optioneel) Selecteer Sjablonen exporteren om alle vertaalde regels als ARM-sjablonen te downloaden voor gebruik in uw CI/CD- of aangepaste implementatieprocessen.

   

3. Voordat u de SIEM-migratie-ervaring afsluit, selecteert u Migratieoverzicht downloaden om een samenvatting van de analyse-implementatie te behouden.

   

Regels valideren en inschakelen

1. Bekijk de eigenschappen van geïmplementeerde regels van Microsoft Sentinel Analytics.

   • Alle gemigreerde regels worden geïmplementeerd met het voorvoegsel [Splunk Migrated].
   • Alle gemigreerde regels zijn ingesteld op uitgeschakeld.
   • De volgende eigenschappen worden waar mogelijk bewaard bij de Splunk-export:
     Severity
queryFrequency
queryPeriod
triggerOperator
triggerThreshold
suppressionDuration

2. Schakel regels in nadat u ze hebt gecontroleerd en geverifieerd.

   

Gerelateerde inhoud

In dit artikel hebt u geleerd hoe u de SIEM-migratie-ervaring kunt gebruiken.

Zie de volgende artikelen voor meer informatie over de SIEM-migratie-ervaring:

• Word een Microsoft Sentinel ninja - migratiesectie
• SIEM-migratieupdate - Microsoft Sentinel-blog
• SIEM-migratie-ervaring algemeen beschikbaar - Microsoft Sentinel-blog