Delen via


Migreren naar Microsoft Sentinel met de SIEM-migratie-ervaring

Migreer uw SIEM naar Microsoft Sentinel voor al uw use cases voor beveiligingsbewaking. Geautomatiseerde hulp van de SIEM-migratie vereenvoudigt uw migratie.

Deze functies zijn momenteel opgenomen in de SIEM-migratie-ervaring:

Splunk

  • De ervaring is gericht op het migreren van Splunk-beveiligingsbewaking naar Microsoft Sentinel en het toewijzen van kant-en-klare analyseregels (OOTB) waar mogelijk.
  • De ervaring ondersteunt de migratie van Splunk-detecties naar Analyseregels van Microsoft Sentinel, waaronder het toewijzen van Splunk-gegevensbronnen en zoekopdrachten.

Vereisten

U hebt het volgende nodig van de bron-SIEM:

Splunk

  • De migratie-ervaring is compatibel met zowel Splunk Enterprise- als Splunk Cloud-edities.
  • Er is een Splunk-beheerdersrol vereist om alle Splunk-waarschuwingen te exporteren. Zie Splunk-gebruikerstoegang op basis van rollen voor meer informatie.
  • Exporteer de historische gegevens van Splunk naar de relevante tabellen in de Log Analytics-werkruimte. Zie Historische gegevens exporteren uit Splunk voor meer informatie.

U hebt het volgende nodig op het doel, Microsoft Sentinel:

  • Met de SIEM-migratie-ervaring worden analyseregels geïmplementeerd. Voor deze mogelijkheid is de rol Microsoft Sentinel-inzender vereist. Zie Machtigingen in Microsoft Sentinel voor meer informatie.

  • Opname van beveiligingsgegevens die eerder in uw bron SIEM zijn gebruikt in Microsoft Sentinel. Voordat een analyseregel wordt vertaald en ingeschakeld, moet de gegevensbron van de regel aanwezig zijn in de Log Analytics-werkruimte. U kunt out-of-the-box-gegevensconnectors (OOTB) in Content Hub installeren en inschakelen zodat deze overeenkomen met uw beveiligingsbewakingsomgeving van uw bron-SIEM. Als er geen gegevensconnector bestaat, maakt u een aangepaste opnamepijplijn.

    Raadpleeg voor meer informatie de volgende artikelen:

  • Maak Microsoft Sentinel-volglijsten op basis van uw Splunk-zoekopdrachten, zodat de gebruikte velden worden toegewezen aan de vertaalde analyseregels.

Splunk-detectieregels vertalen

De kern van Splunk-detectieregels is de SPL (Search Processing Language). De SIEM-migratie-ervaring vertaalt SPL systematisch naar Kusto-querytaal (KQL) voor elke Splunk-regel. Controleer de vertalingen zorgvuldig en breng aanpassingen aan om ervoor te zorgen dat gemigreerde regels werken zoals bedoeld in uw Microsoft Sentinel-werkruimte. Zie Splunk-detectieregels migreren voor meer informatie over de concepten die belangrijk zijn bij het vertalen van detectieregels.

Huidige mogelijkheden:

  • Splunk-detecties toewijzen aan OOTB Microsoft Sentinel-analyseregels.
  • Eenvoudige query's vertalen met één gegevensbron.
  • Automatische vertalingen van SPL naar KQL voor de toewijzingen die worden vermeld in het artikel, Splunk naar Kusto cheatsheet.
  • Schematoewijzing (preview) maakt logische koppelingen voor de vertaalde regels door Splunk-gegevensbronnen toe te voegen aan Microsoft Sentinel-tabellen en Splunk-zoekopdrachten voor volglijsten.
  • Vertaalde querybeoordeling biedt foutfeedback met bewerkingsmogelijkheden om tijd te besparen in het proces voor het vertalen van detectieregels.
  • Vertaalstatus die aangeeft hoe de volledige SPL-syntaxis wordt vertaald naar KQL op grammaticaniveau.
  • Ondersteuning voor vertaling van Splunk-macro's met inline vervangende macrodefinitie in SPL-query's.
  • Splunk Common Information Model (CIM) naar de ondersteuning voor ASIM-vertaling (Advanced Security Information Model) van Microsoft Sentinel.
  • Downloadbare samenvatting van de voorafgaande migratie en na de migratie.

De SIEM-migratie-ervaring starten

  1. Zoek de SIEM-migratie-ervaring in Microsoft Sentinel vanuit De Azure-portal of de Defender-portal, onder Inhoudsbeheer-hub>.

  2. Selecteer SIEM-migratie.

Schermopname van inhoudshub vanuit Azure Portal met het menu-item voor de SIEM-migratie-ervaring.

Splunk-detecties uploaden

  1. Selecteer zoeken en rapporteren in Splunk Web in het deelvenster Apps .

  2. Voer de volgende query uit.

    |rest splunk_server=local count=0 /servicesNS/-/-/saved/searches
    |search disabled=0 
    |search alert_threshold != ""
    |table title,search,description,cron_schedule,dispatch.earliest_time,alert.severity,alert_comparator,alert_threshold,alert.suppress.period,id
    |tojson|table _raw
    |rename _raw as alertrules|mvcombine delim=", " alertrules
    |append [| rest splunk_server=local count=0 /servicesNS/-/-/admin/macros|table title,definition,args,iseval|tojson|table _raw |rename _raw as macros|mvcombine delim=", " macros]
    |filldown alertrules
    |tail 1
    
  3. Selecteer de knop Exporteren en kies JSON als de indeling.

  4. Sla het bestand op.

  5. Upload het geëxporteerde Splunk JSON-bestand.

Notitie

De Splunk-export moet een geldig JSON-bestand zijn en de uploadgrootte is beperkt tot 50 MB.

Schermopname van het tabblad Bestanden uploaden.

Schematoewijzing

Gebruik schematoewijzing om precies te definiëren hoe de gegevenstypen en velden in de logica van de analyseregel worden toegewezen op basis van de geëxtraheerde bronnen uit de SPL-query's naar de Microsoft Sentinel-tabellen.

Gegevensbronnen

Bekende bronnen zoals Splunk CIM-schema's en gegevensmodellen worden automatisch toegewezen aan ASIM-schema's, indien van toepassing. Andere bronnen die in de Splunk-detectie worden gebruikt, moeten handmatig worden toegewezen aan Microsoft Sentinel- of Log Analytics-tabellen. Toewijzingsschema's zijn hiërarchisch, zodat Splunk-bronnen 1:1 toewijzen met Microsoft Sentinel-tabellen en de velden in deze bronnen.

Schermopname van de opties voor schematoewijzing (preview) voor gegevensbronnen.

Zodra de schematoewijzing is voltooid, worden alle handmatige updates weergegeven in de toewijzingsstatus als 'Handmatig toegewezen'. De wijzigingen worden in de volgende stap meegenomen wanneer de regels worden vertaald. De toewijzing wordt per werkruimte opgeslagen, dus u hoeft deze niet te herhalen.

Opzoekenvelden

Splunk-zoekacties vergelijken met Microsoft Sentinel-watchlists. Dit zijn lijsten met samengestelde combinaties van veldwaarden om te correleren met de gebeurtenissen in uw Microsoft Sentinel-omgeving. Omdat Splunk-zoekacties zijn gedefinieerd en beschikbaar zijn buiten de grenzen van SPL-query's, moet de equivalente Microsoft Sentinel-watchlist worden gemaakt als een vereiste. Schematoewijzing gebruikt vervolgens zoekopdrachten die automatisch worden geïdentificeerd op basis van de geüploade Splunk-query's en wijst deze toe aan Sentinel Watchlists.

Zie De volglijst maken voor meer informatie.

Schermopname van handmatige toewijzing van Splunk lookup naar Microsoft Sentinel watchlist.

SPL-query's verwijzen naar zoekacties met de lookup, inputlookupen outputlookup trefwoorden. De outputlookup bewerking schrijft gegevens naar een zoekactie en wordt niet ondersteund in vertaling. De SIEM-migratieomzettingsengine gebruikt de _GetWatchlist() KQL-functie om samen met andere KQL-functies de juiste Sentinel-watchlist toe te wijzen om de regellogica te voltooien.

Wanneer een Splunk-zoekopdracht geen bijbehorende volglijst heeft toegewezen, behoudt de vertaalengine dezelfde naam voor zowel de volglijst als de bijbehorende velden als de Splunk-zoekopdracht en -velden.

Regels configureren

  1. Selecteer Regels configureren.

  2. Bekijk de analyse van de Splunk-export.

    • Naam is de oorspronkelijke naam van de Splunk-detectieregel.
    • Vertaaltype geeft aan of een Sentinel OOTB-analyseregel overeenkomt met de detectielogica van Splunk.
    • Vertalingsstatus geeft feedback over hoe de syntaxis van een Splunk-detectie is vertaald naar KQL. De vertaalstatus test de regel niet of controleert de gegevensbron.
      • Volledig vertaald : query's in deze regel zijn volledig vertaald naar KQL, maar de regellogica en gegevensbron zijn niet gevalideerd.
      • Gedeeltelijk vertaald : query's in deze regel zijn niet volledig vertaald naar KQL.
      • Niet vertaald - Geeft een fout in de vertaling aan.
      • Handmatig vertaald : deze status wordt ingesteld wanneer een regel wordt bewerkt en opgeslagen.

    Schermopname van de resultaten van de automatische regeltoewijzing.

  3. Markeer een regel om vertaling op te lossen en selecteer Bewerken. Wanneer u tevreden bent met de resultaten, selecteert u Wijzigingen opslaan.

  4. Schakel de wisselknop Implementeren in voor analyseregels die u wilt implementeren.

  5. Wanneer de beoordeling is voltooid, selecteert u Controleren en migreren.

De analyseregels implementeren

  1. Selecteer Implementeren.

    Vertaaltype Geïmplementeerde resource
    Out-of-the-box De bijbehorende oplossingen van Content Hub die de overeenkomende sjablonen voor analyseregels bevatten, worden geïnstalleerd. De overeenkomende regels worden geïmplementeerd als actieve analyseregels met de status Uitgeschakeld.

    Zie Sjablonen voor analyseregels beheren voor meer informatie.
    Aanpassen Regels worden geïmplementeerd als actieve analyseregels met de status Uitgeschakeld.
  2. (Optioneel) Selecteer Sjablonen exporteren om alle vertaalde regels als ARM-sjablonen te downloaden voor gebruik in uw CI/CD- of aangepaste implementatieprocessen.

    Schermopname van het tabblad Controleren en migreren met de knop Sjablonen exporteren gemarkeerd.

  3. Voordat u de SIEM-migratie-ervaring afsluit, selecteert u Migratieoverzicht downloaden om een samenvatting van de analyse-implementatie te behouden.

    Schermopname van de knop Migratieoverzicht downloaden op het tabblad Controleren en migreren.

Regels valideren en inschakelen

  1. Bekijk de eigenschappen van geïmplementeerde regels van Microsoft Sentinel Analytics.

    • Alle gemigreerde regels worden geïmplementeerd met het voorvoegsel [Splunk Migrated].
    • Alle gemigreerde regels zijn ingesteld op uitgeschakeld.
    • De volgende eigenschappen worden waar mogelijk bewaard bij de Splunk-export:
      Severity
      queryFrequency
      queryPeriod
      triggerOperator
      triggerThreshold
      suppressionDuration
  2. Schakel regels in nadat u ze hebt gecontroleerd en geverifieerd.

    Schermopname van Analyseregels met geïmplementeerde Splunk-regels gemarkeerd die gereed zijn om te worden ingeschakeld.

In dit artikel hebt u geleerd hoe u de SIEM-migratie-ervaring kunt gebruiken.

Zie de volgende artikelen voor meer informatie over de SIEM-migratie-ervaring: