QRadar-detectieregels migreren naar Microsoft Sentinel

In dit artikel wordt beschreven hoe u uw QRadar-detectieregels identificeert, vergelijkt en migreert naar ingebouwde regels van Microsoft Sentinel.

Regels identificeren en migreren

Microsoft Sentinel maakt gebruik van machine learning-analyses om hoogwaardige en bruikbare incidenten te maken. Sommige van uw bestaande detecties zijn mogelijk overbodig in Microsoft Sentinel. Migreer daarom niet al uw detectie- en analyseregels blind. Bekijk deze overwegingen wanneer u uw bestaande detectieregels identificeert.

• Zorg ervoor dat u use cases selecteert die regelmigratie rechtvaardigen, rekening houdend met bedrijfsprioriteit en efficiëntie.
• Controleer of u microsoft Sentinel-regeltypen begrijpt.
• Controleer of u de terminologie van de regel begrijpt.
• Controleer de regels die de afgelopen 6-12 maanden geen waarschuwingen hebben geactiveerd en bepaal of ze nog steeds relevant zijn.
• Verwijder bedreigingen op laag niveau of waarschuwingen die u regelmatig negeert.
• Gebruik bestaande functionaliteit en controleer of de ingebouwde analyseregels van Microsoft Sentinel uw huidige use cases kunnen aanpakken. Omdat Microsoft Sentinel gebruikmaakt van machine learning-analyses om hoogwaardige en bruikbare incidenten te produceren, is het waarschijnlijk dat sommige van uw bestaande detecties niet meer nodig zijn.
• Bevestig verbonden gegevensbronnen en controleer uw gegevensverbindingsmethoden. Ga opnieuw naar gesprekken over het verzamelen van gegevens om gegevensdiepte en breedte te garanderen in de use cases die u wilt detecteren.
• Verken communitybronnen zoals soc Prime Threat Detection Marketplace om te controleren of uw regels beschikbaar zijn.
• Overweeg of een online queryconversieprogramma, zoals Uncoder.io werkt voor uw regels.
• Als regels niet beschikbaar zijn of niet kunnen worden geconverteerd, moeten ze handmatig worden gemaakt met behulp van een KQL-query. Controleer de toewijzing van regels om nieuwe query's te maken.

Meer informatie over aanbevolen procedures voor het migreren van detectieregels.

Uw analyseregels migreren naar Microsoft Sentinel:

1. Controleer of er een testsysteem is ingesteld voor elke regel die u wilt migreren.

   1. Bereid een validatieproces voor voor uw gemigreerde regels, inclusief volledige testscenario's en scripts.

   2. Zorg ervoor dat uw team nuttige resources heeft om uw gemigreerde regels te testen.

   3. Controleer of u alle vereiste gegevensbronnen hebt verbonden en controleer de methoden voor gegevensverbindingen.

2. Controleer of uw detecties beschikbaar zijn als ingebouwde sjablonen in Microsoft Sentinel:

   • Als de ingebouwde regels voldoende zijn, gebruikt u ingebouwde regelsjablonen om regels voor uw eigen werkruimte te maken.

     Ga in Microsoft Sentinel naar het tabblad Sjablonen voor configuratieanalyseregels > > en maak en werk elke relevante analyseregel bij.

     Zie Standaard bedreigingen detecteren voor meer informatie.

   • Als u detecties hebt die niet worden gedekt door de ingebouwde regels van Microsoft Sentinel, kunt u een onlinequeryconversieprogramma proberen, zoals Uncoder.io om uw query's te converteren naar KQL.

     Identificeer de actie triggervoorwaarde en regel en bouw en controleer vervolgens uw KQL-query.

   • Als de ingebouwde regels of een online regelconversieprogramma niet voldoende zijn, moet u de regel handmatig maken. In dergelijke gevallen gebruikt u de volgende stappen om te beginnen met het maken van uw regel:

     1. Identificeer de gegevensbronnen die u wilt gebruiken in uw regel. U wilt een toewijzingstabel maken tussen gegevensbronnen en gegevenstabellen in Microsoft Sentinel om de tabellen te identificeren waarop u een query wilt uitvoeren.

     2. Identificeer kenmerken, velden of entiteiten in uw gegevens die u wilt gebruiken in uw regels.

     3. Bepaal uw regelcriteria en logica. In deze fase kunt u regelsjablonen gebruiken als voorbeelden voor het maken van KQL-query's.

        Overweeg filters, correlatieregels, actieve lijsten, referentiesets, volglijsten, detectieafwijkingen, aggregaties, enzovoort. U kunt verwijzingen van uw verouderde SIEM gebruiken om te begrijpen hoe u de querysyntaxis het beste kunt toewijzen.

     4. Identificeer de actie triggervoorwaarde en regel en bouw en controleer vervolgens uw KQL-query. Wanneer u uw query bekijkt, kunt u hulpbronnen voor KQL-optimalisatie overwegen.

3. Test de regel met elk van uw relevante use cases. Als er geen verwachte resultaten worden opgegeven, kunt u de KQL controleren en opnieuw testen.

4. Wanneer u tevreden bent, kunt u de gemigreerde regel overwegen. Maak indien nodig een playbook voor uw regelactie. Zie Bedreigingsreacties automatiseren met playbooks in Microsoft Sentinel voor meer informatie.

Meer informatie over analyseregels:

• Maak aangepaste analyseregels om bedreigingen te detecteren. Gebruik waarschuwingsgroepering om de vermoeidheid van waarschuwingen te verminderen door waarschuwingen te groeperen die binnen een bepaalde periode plaatsvinden.
• Wijs gegevensvelden toe aan entiteiten in Microsoft Sentinel om SOC-technici in staat te stellen entiteiten te definiëren als onderdeel van het bewijs dat tijdens een onderzoek moet worden bijgehouden. Met entiteitstoewijzing kunnen SOC-analisten ook profiteren van een intuïtieve [onderzoeksgrafiek (investigation-cases.md#use-the-investigation-graph-to-deep-dive) waarmee u tijd en moeite kunt verminderen.
• Onderzoek incidenten met UEBA-gegevens, als voorbeeld van het gebruik van bewijs om gebeurtenissen, waarschuwingen en bladwijzers weer te geven die zijn gekoppeld aan een bepaald incident in het voorbeeldvenster van het incident.
• Kusto-querytaal (KQL), waarmee u alleen-lezenaanvragen naar uw Log Analytics-database kunt verzenden om gegevens te verwerken en resultaten te retourneren. KQL wordt ook gebruikt in andere Microsoft-services, zoals Microsoft Defender voor Eindpunt en Application Insights.

Regelterminologie vergelijken

Deze tabel helpt u om het concept van een regel in Microsoft Sentinel te verduidelijken in vergelijking met QRadar.

	QRadar	Microsoft Sentinel
Regeltype	•Gebeurtenissen •Vloeien •Gemeenschappelijk •Aanstoot • Anomaliedetectieregels	• Geplande query •Samensmelting • Microsoft-beveiliging • Machine Learning (ML) Behavior Analytics
Criteria	Definiëren in testvoorwaarde	Definiëren in KQL
Triggervoorwaarde	Definiëren in regel	Drempelwaarde: aantal queryresultaten
Actie	• Overtreding maken • Nieuwe gebeurtenis verzenden • Toevoegen aan referentieset of gegevens • En meer	• Waarschuwing of incident maken • Integreert met Logic Apps

Regelvoorbeelden toewijzen en vergelijken

Gebruik deze voorbeelden om regels van QRadar in verschillende scenario's te vergelijken en toe te wijzen aan Microsoft Sentinel.

Regel	Syntaxis	Voorbeelddetectieregel (QRadar)	Voorbeeld van KQL-query	Resources
Algemene eigenschapstests	QRadar-syntaxis	• Voorbeeld van reguliere expressie • Voorbeeld van AQL-filterquery • is gelijk aan/niet gelijk aan voorbeeld	• Voorbeeld van reguliere expressie • Voorbeeld van AQL-filterquery • is gelijk aan/niet gelijk aan voorbeeld	• Reguliere expressie: komt overeen met regex • AQL-filterquery: tekenreeksoperatoren • is gelijk aan/niet gelijk aan: tekenreeksoperatoren
Datum-/tijdtests	QRadar-syntaxis	• Geselecteerde dag van het maandvoorbeeld • Geselecteerde dag van het weekvoorbeeld • na/voor/bij voorbeeld	• Geselecteerde dag van het maandvoorbeeld • Geselecteerde dag van het weekvoorbeeld • na/voor/bij voorbeeld	• Datum- en tijdoperators • Geselecteerde dag van de maand: dayofmonth() • Geselecteerde dag van de week: dagvanweek() • na/voor/bij: format_datetime()
Gebeurteniseigenschapstests	QRadar-syntaxis	• Voorbeeld van IP-protocol • Voorbeeld van tekenreeks van nettolading van gebeurtenis	• Voorbeeld van IP-protocol • Voorbeeld van tekenreeks van nettolading van gebeurtenis	• IP-protocol: tekenreeksoperators • Tekenreeks voor nettolading van gebeurtenis: heeft
Functies: tellers	QRadar-syntaxis	Voorbeeld van gebeurteniseigenschap en tijd	Voorbeeld van gebeurteniseigenschap en tijd	samenvatten
Functies: negatieve voorwaarden	QRadar-syntaxis	Voorbeeld van negatieve voorwaarden	Voorbeeld van negatieve voorwaarden	• join() • Tekenreeksoperatoren • Numerieke operatoren
Functies: eenvoudig	QRadar-syntaxis	Voorbeeld van eenvoudige voorwaarden	Voorbeeld van eenvoudige voorwaarden	or
IP-/poorttests	QRadar-syntaxis	• Voorbeeld van bronpoort • Voorbeeld van bron-IP	• Voorbeeld van bronpoort • Voorbeeld van bron-IP
Logboekbrontests	QRadar-syntaxis	Voorbeeld van logboekbron	Voorbeeld van logboekbron

Algemene syntaxis van eigenschapstests

Hier volgt de QRadar-syntaxis voor een algemene regel voor het testen van eigenschappen.

Algemene eigenschapstests: Voorbeeld van reguliere expressie (QRadar)

Hier volgt de syntaxis voor een voorbeeld van een algemene QRadar-eigenschapstestregel die gebruikmaakt van een reguliere expressie:

when any of <these properties> match <this regular expression>

Hier volgt de voorbeeldregel in QRadar.

Algemene eigenschapstests: Voorbeeld van reguliere expressie (KQL)

Hier volgt de algemene regel voor eigenschapstests met een reguliere expressie in KQL.

CommonSecurityLog
| where tostring(SourcePort) matches regex @"\d{1,5}" or tostring(DestinationPort) matches regex @"\d{1,5}"

Algemene eigenschapstests: voorbeeld van AQL-filterquery (QRadar)

Hier volgt de syntaxis voor een voorbeeld van een algemene QRadar-eigenschapstestregel die gebruikmaakt van een AQL-filterquery.

when the event matches <this> AQL filter query

Hier volgt de voorbeeldregel in QRadar.

Algemene eigenschapstests: voorbeeld van AQL-filterquery (KQL)

Hier volgt de algemene regel voor het testen van eigenschappen met een AQL-filterquery in KQL.

CommonSecurityLog
| where SourceIP == '10.1.1.10'

Algemene eigenschapstests: is gelijk aan voorbeeld (QRadar)

Hier volgt de syntaxis voor een voorbeeld van een algemene QRadar-eigenschapstestregel die gebruikmaakt van de equals of not equals operator.

and when <this property> <equals/not equals> <this property>

Hier volgt de voorbeeldregel in QRadar.

Algemene eigenschapstests: is gelijk aan voorbeeld (KQL)

Hier volgt de algemene regel voor eigenschapstests met de equals of not equals operator in KQL.

CommonSecurityLog
| where SourceIP == DestinationIP

Syntaxis voor datum-/tijdtests

Hier volgt de QRadar-syntaxis voor een datum-/tijdtestregel.

Datum-/tijdtests: Geselecteerde dag van het maandvoorbeeld (QRadar)

Hier volgt de syntaxis voor een voorbeeld van een QRadar-regel voor datum-/tijdtests die een geselecteerde dag van de maand gebruikt.

and when the event(s) occur <on/after/before> the <selected> day of the month

Hier volgt de voorbeeldregel in QRadar.

Datum-/tijdtests: Geselecteerde dag van het maandvoorbeeld (KQL)

Hier volgt de regel voor datum-/tijdtests met een geselecteerde dag van de maand in KQL.

SecurityEvent
 | where dayofmonth(TimeGenerated) < 4

Datum-/tijdtests: Geselecteerde dag van het weekvoorbeeld (QRadar)

Hier volgt de syntaxis voor een voorbeeld van een QRadar-regel voor datum-/tijdtests die een geselecteerde dag van de week gebruikt:

and when the event(s) occur on any of <these days of the week{Monday, Tuesday, Wednesday, Thursday, Friday, Saturday, Sunday}>

Hier volgt de voorbeeldregel in QRadar.

Datum-/tijdtests: Geselecteerde dag van het weekvoorbeeld (KQL)

Hier volgt de regel voor datum-/tijdtests met een geselecteerde dag van de week in KQL.

SecurityEvent
 | where dayofweek(TimeGenerated) between (3d .. 5d)

Datum-/tijdtests: na/vóór/bij voorbeeld (QRadar)

Hier volgt de syntaxis voor een voorbeeld van een QRadar-regel voor datum-/tijdtests die gebruikmaakt van de after, beforeof at operator.

and when the event(s) occur <after/before/at> <this time{12.00AM, 12.05AM, ...11.50PM, 11.55PM}>

Hier volgt de voorbeeldregel in QRadar.

Datum-/tijdtests: na/vóór/bij voorbeeld (KQL)

Hier volgt de regel voor datum-/tijdtests die gebruikmaakt van de after, beforeof at operator in KQL.

SecurityEvent
| where format_datetime(TimeGenerated,'HH:mm')=="23:55"

TimeGenerated is in UTC/GMT.

Syntaxis van gebeurteniseigenschapstests

Hier volgt de QRadar-syntaxis voor een regel voor het testen van gebeurteniseigenschappen.

Tests van gebeurteniseigenschappen: voorbeeld van IP-protocol (QRadar)

Hier volgt de syntaxis voor een voorbeeld van een QRadar-gebeurteniseigenschapsregel die gebruikmaakt van een IP-protocol.

and when the IP protocol is one of the following <protocols>

Hier volgt de voorbeeldregel in QRadar.

Gebeurteniseigenschapstests: voorbeeld van IP-protocol (KQL)

CommonSecurityLog
| where Protocol in ("UDP","ICMP")

Gebeurteniseigenschapstests: voorbeeld van een tekenreeks van de gebeurtenispayload (QRadar)

Hier volgt de syntaxis voor een voorbeeld van een QRadar-gebeurteniseigenschapsregel die gebruikmaakt van een Event Payload tekenreekswaarde.

and when the Event Payload contains <this string>

Hier volgt de voorbeeldregel in QRadar.

Gebeurteniseigenschapstests: voorbeeld van een tekenreeks van de gebeurtenispayload (KQL)

CommonSecurityLog
| where DeviceVendor has "Palo Alto"

search "Palo Alto"

Als u de prestaties wilt optimaliseren, vermijdt u het gebruik van de search opdracht als u de tabelnaam al kent.

Functies: syntaxis van tellers

Hier volgt de QRadar-syntaxis voor een functieregel die gebruikmaakt van tellers.

Tellers: voorbeeld van gebeurteniseigenschap en tijd (QRadar)

Hier volgt de syntaxis voor een voorbeeld van een QRadar-functieregel die een gedefinieerd aantal gebeurteniseigenschappen gebruikt in een gedefinieerd aantal minuten.

and when at least <this many> events are seen with the same <event properties> in <this many> <minutes>

Hier volgt de voorbeeldregel in QRadar.

Tellers: Gebeurteniseigenschap en tijdvoorbeeld (KQL)

CommonSecurityLog
| summarize Count = count() by SourceIP, DestinationIP
| where Count >= 5

Functies: syntaxis van negatieve voorwaarden

Hier volgt de QRadar-syntaxis voor een functieregel die negatieve voorwaarden gebruikt.

Voorbeeld van negatieve voorwaarden (QRadar)

Hier volgt de syntaxis voor een voorbeeld-QRadar-functieregel die negatieve voorwaarden gebruikt.

and when none of <these rules> match in <this many> <minutes> after <these rules> match with the same <event properties>

Hier volgen twee gedefinieerde regels in QRadar. De negatieve voorwaarden zijn gebaseerd op deze regels.

Hier volgt een voorbeeld van de regel voor negatieve voorwaarden op basis van de bovenstaande regels.

Voorbeeld van negatieve voorwaarden (KQL)

let spanoftime = 10m;
let Test2 = (
CommonSecurityLog
| where Protocol !in ("UDP","ICMP")
| where TimeGenerated > ago(spanoftime)
);
let Test6 = (
CommonSecurityLog
| where SourceIP == DestinationIP
);
Test2
| join kind=rightanti Test6 on $left. SourceIP == $right. SourceIP and $left. Protocol ==$right. Protocol

Functies: syntaxis van eenvoudige voorwaarden

Hier volgt de QRadar-syntaxis voor een functieregel die eenvoudige voorwaarden gebruikt.

Voorbeeld van eenvoudige voorwaarden (QRadar)

Hier volgt de syntaxis voor een voorbeeld van een QRadar-functieregel die gebruikmaakt van eenvoudige voorwaarden.

and when an event matches <any|all> of the following <rules>

Hier volgt de voorbeeldregel in QRadar.

Voorbeeld van eenvoudige voorwaarden (KQL)

CommonSecurityLog
| where Protocol !in ("UDP","ICMP") or SourceIP == DestinationIP

Syntaxis van IP-/poorttests

Hier volgt de QRadar-syntaxis voor een IP-/poorttestregel.

IP-/poorttests: voorbeeld van bronpoort (QRadar)

Hier volgt de syntaxis voor een voorbeeld-QRadar-regel die een bronpoort opgeeft.

and when the source port is one of the following <ports>

Hier volgt de voorbeeldregel in QRadar.

IP-/poorttests: voorbeeld van bronpoort (KQL)

CommonSecurityLog
| where SourcePort == 20

IP-/poorttests: voorbeeld van bron-IP (QRadar)

Hier volgt de syntaxis voor een voorbeeld-QRadar-regel die een bron-IP opgeeft.

and when the source IP is one of the following <IP addresses>

Hier volgt de voorbeeldregel in QRadar.

IP-/poorttests: voorbeeld van bron-IP (KQL)

CommonSecurityLog
| where SourceIP in (“10.1.1.1”,”10.2.2.2”)

Syntaxis van logboekbrontests

Hier volgt de QRadar-syntaxis voor een regel voor logboekbrontests.

Voorbeeld van logboekbron (QRadar)

Hier volgt de syntaxis voor een QRadar-voorbeeldregel die logboekbronnen opgeeft.

and when the event(s) were detected by one or more of these <log source types>

Hier volgt de voorbeeldregel in QRadar.

Voorbeeld van logboekbron (KQL)

OfficeActivity
| where OfficeWorkload == "Exchange"

Volgende stappen

In dit artikel hebt u geleerd hoe u uw migratieregels van QRadar kunt toewijzen aan Microsoft Sentinel.

Uw SOAR-automatisering migreren