Udostępnij przez

Migrowanie do usługi Microsoft Sentinel przy użyciu środowiska migracji rozwiązania SIEM

  • Dotyczy: Microsoft Sentinel in the Microsoft Defender portal

Narzędzie do migracji rozwiązania SIEM analizuje wykrycia splunków, w tym wykrywania niestandardowe, i zaleca najlepsze dopasowanie reguł wykrywania usługi Microsoft Sentinel. Zawiera również zalecenia dotyczące łączników danych, zarówno łączników firmy Microsoft, jak i łączników innych firm dostępnych w Content Hub, aby umożliwić zalecane wykrycia. Klienci mogą monitorować migrację, przypisując odpowiedni status do każdej karty rekomendacji.

Uwaga

Stare narzędzie migracji jest przestarzałe. W tym artykule opisano bieżące doświadczenie związane z migracją rozwiązania SIEM.

Środowisko migracji rozwiązania SIEM obejmuje następujące funkcje:

  • Środowisko koncentruje się na migrowaniu monitorowania zabezpieczeń rozwiązania Splunk do usługi Microsoft Sentinel i mapowaniu wbudowanych reguł analitycznych (OOTB, out-of-the-box) wszędzie tam, gdzie to możliwe.
  • Proces wspiera migrację wykryć Splunk do reguł analitycznych Microsoft Sentinel.

Wymagania wstępne

Uwaga

Mimo że potrzebujesz funkcji Security Copilot włączonej w dzierżawie, nie korzysta ona z żadnych jednostek SCU, więc nie wiąże się z dodatkowymi kosztami. Aby upewnić się, że nie ponosisz żadnych niezamierzonych kosztów po jego skonfigurowaniu, przejdź do pozycji Zarządzaniemonitorowaniem użycia>, ustaw jednostki SCU na zero i upewnij się, że użycie jednostek nadwyżkowych jest wyłączone.

Zrzut ekranu przedstawiający ustawienia monitorowania użycia rozwiązania Security Copilot.

Eksportowanie reguł wykrywania z bieżącego rozwiązania SIEM

W aplikacji Wyszukiwanie i raportowanie w narzędziu Splunk uruchom następujące zapytanie:

| rest splunk_server=local count=0 /servicesNS/-/-/saved/searches | search disabled=0 | search alert_threshold != "" | table title, search, description, cron_schedule, dispatch.earliest_time, alert.severity, alert_comparator, alert_threshold, alert.suppress.period, id, eai:acl.app, actions, action.correlationsearch.annotations, action.correlationsearch.enabled | tojson | table _raw | rename _raw as alertrules | mvcombine delim=", " alertrules | append [ | rest splunk_server=local count=0 /servicesNS/-/-/admin/macros | table title,definition,args,iseval | tojson | table _raw | rename _raw as macros | mvcombine delim=", " macros ] | filldown alertrules |tail 1

Aby wyeksportować wszystkie alerty splunk, potrzebna jest rola administratora splunk. Aby uzyskać więcej informacji, zobacz Splunk role-based user access (dostęp użytkowników oparty na rolach).

Uruchamianie środowiska migracji rozwiązania SIEM

Po wyeksportowaniu reguł wykonaj następujące czynności:

  1. Przejdź do security.microsoft.com.

  2. Na karcie Optymalizacja SOC wybierz pozycję Skonfiguruj nowy system SIEM.

    Zrzut ekranu przedstawiający opcję Skonfiguruj nowe rozwiązanie SIEM w prawym górnym rogu ekranu optymalizacji SOC.

  3. Wybierz pozycję Migruj z Splunk:

    Zrzut ekranu przedstawiający opcję Migruj z bieżącego rozwiązania SIEM.

  4. Przekaż dane konfiguracji wyeksportowane z bieżącego rozwiązania SIEM i wybierz pozycję Dalej.

    Zrzut ekranu przedstawiający przycisk Przekaż plik w celu przekazania wyeksportowanych danych konfiguracji.

    Narzędzie do migracji analizuje eksport i identyfikuje liczbę źródeł danych i reguł wykrywania w podanym pliku. Użyj tych informacji, aby potwierdzić, że masz odpowiedni eksport.

    Jeśli dane nie wyglądają poprawnie, wybierz pozycję Zamień plik w prawym górnym rogu i przekaż nowy eksport. Po przekazaniu poprawnego pliku wybierz przycisk Dalej.

    Zrzut ekranu przedstawiający ekran potwierdzenia przedstawiający liczbę źródeł danych i reguł wykrywania.

  5. Wybierz obszar roboczy, a następnie wybierz pozycję Rozpocznij analizowanie.

    Zrzut ekranu przedstawiający interfejs użytkownika z prośbą o wybranie obszaru roboczego.

    Narzędzie do migracji mapuje reguły wykrywania na reguły wykrywania i źródła danych w usłudze Microsoft Sentinel. Jeśli w obszarze roboczym nie ma żadnych zaleceń, zostaną utworzone zalecenia. Jeśli istnieją zalecenia, narzędzie usuwa je i zastępuje je nowymi.

    Zrzut ekranu przedstawiający narzędzie do migracji, które przygotowuje się do analizowania reguł.

  6. Odśwież stronę i wybierz stan analizy konfiguracji rozwiązania SIEM , aby wyświetlić postęp analizy:

    Zrzut ekranu przedstawiający stan analizy konfiguracji rozwiązania SIEM przedstawiający postęp analizy.

    Ta strona nie jest odświeżona automatycznie. Aby wyświetlić najnowszy stan, zamknij i otwórz ponownie stronę.

    Analiza jest zakończona, gdy wszystkie trzy znaczniki wyboru są zielone. Jeśli trzy znaczniki wyboru są zielone, ale nie ma żadnych zaleceń, oznacza to, że nie znaleziono dopasowań dla reguł.

    Zrzut ekranu przedstawiający wszystkie trzy znaki kontrolne na zielono, wskazujące, że analiza została ukończona.

    Po zakończeniu analizy narzędzie do migracji generuje zalecenia oparte na przypadku użycia pogrupowane według rozwiązań centrum zawartości. Możesz również pobrać szczegółowy raport analizy. Raport zawiera szczegółową analizę zalecanych zadań migracji, w tym reguły Splunk, dla których nie znaleźliśmy dobrego rozwiązania, nie zostały wykryte lub nie mają zastosowania.

    Zrzut ekranu przedstawiający zalecenia wygenerowane przez narzędzie do migracji.

    Filtruj typ rekomendacji według ustawień rozwiązania SIEM , aby wyświetlić zalecenia dotyczące migracji.

  7. Wybierz jedną z kart rekomendacji, aby wyświetlić zamapowane źródła danych i reguły.

    Zrzut ekranu przedstawiający kartę rekomendacji.

    Narzędzie dopasowuje reguły Splunk do domyślnych łączników danych Microsoft Sentinel i domyślnych reguł wykrywania Microsoft Sentinel. Na karcie Łączniki są wyświetlane łączniki danych dopasowane do reguł z rozwiązania SIEM i stanu (połączone lub nie rozłączone). Jeśli chcesz użyć łącznika, który nie jest połączony, możesz nawiązać połączenie z poziomu karty łącznika. Jeśli łącznik nie jest zainstalowany, przejdź do centrum zawartości i zainstaluj rozwiązanie zawierające łącznik, którego chcesz użyć.

    Zrzut ekranu przedstawiający łączniki danych usługi Microsoft Sentinel dopasowane do reguł Splunk lub QRadar.

    Na karcie Wykrycia są wyświetlane następujące informacje:

    • Zalecenia z narzędzia do migracji rozwiązania SIEM.
    • Bieżąca reguła wykrywania Splunk z twojego przekazanego pliku.
    • Stan reguły wykrywania w usłudze Microsoft Sentinel. Status może być:
      • Włączone: reguła wykrywania jest tworzona na podstawie szablonu reguły, a następnie jest włączana i aktywna (na podstawie poprzedniej akcji)
      • Wyłączone: reguła wykrywania jest instalowana z centrum zawartości, ale nie jest włączona w obszarze roboczym usługi Microsoft Sentinel
      • Nie używane: reguła wykrywania została zainstalowana z Content Hub i jest dostępna jako szablon do włączenia
      • Nie zainstalowano: reguła wykrywania nie została zainstalowana z centrum zawartości
    • Wymagane łączniki, które należy skonfigurować w celu przeniesienia dzienników wymaganych do zalecanej reguły wykrywania. Jeśli wymagany łącznik jest niedostępny, istnieje panel boczny z kreatorem umożliwiającym jego zainstalowanie z centrum zawartości. Jeśli wszystkie wymagane łączniki są podłączone, zostanie wyświetlony zielony znak.

    Zrzut ekranu przedstawiający reguły wykrywania usługi Microsoft Sentinel dopasowane do reguł Splunk lub QRadar.

Włączanie reguł wykrywania

Po wybraniu reguły zostanie otwarty panel boczny szczegółów reguł i można wyświetlić szczegóły szablonu reguł.

Zrzut ekranu przedstawiający panel boczny szczegółów reguły.

  • Jeśli skojarzony łącznik danych jest zainstalowany i skonfigurowany, wybierz pozycję Włącz wykrywanie , aby włączyć regułę wykrywania.

    Zrzut ekranu przedstawiający przycisk Włącz wykrywanie w panelu bocznym szczegółów reguły.

  • Wybierz pozycję Więcej akcji>Utwórz ręcznie , aby otworzyć kreatora reguł analizy, aby można było przejrzeć i edytować regułę przed jej włączeniem.

  • Jeśli reguła jest już włączona, wybierz pozycję Edytuj , aby otworzyć kreatora reguł analizy, aby przejrzeć i edytować regułę.

    Zrzut ekranu przedstawiający przycisk Więcej działań w kreatorze reguł.

    Kreator wyświetla regułę Splunk SPL i można ją porównać z językiem KQL w usłudze Microsoft Sentinel.

    Zrzut ekranu przedstawiający porównanie reguły Splunk SPL i KQL Microsoft Sentinel.

Wskazówka

Zamiast ręcznie tworzyć reguły od podstaw, można szybciej i łatwiej włączyć regułę z szablonu, a następnie edytować je zgodnie z potrzebami.

Jeśli łącznik danych nie jest zainstalowany i skonfigurowany do strumieniowego przesyłania dzienników, funkcja Włącz wykrywanie jest wyłączona .

  • Możesz włączyć kilka reguł jednocześnie, zaznaczając pola wyboru obok każdej reguły, którą chcesz włączyć, a następnie wybierając pozycję Włącz wybrane wykrycia w górnej części strony.

    Zrzut ekranu przedstawiający listę reguł na karcie wykrywania z polami wyboru obok nich.

Narzędzie do migracji rozwiązania SIEM nie instaluje jawnie żadnych łączników ani reguł wykrywania.

Ograniczenia

  • Narzędzie do migracji odwzorowuje eksport reguł do wbudowanych łączników danych Microsoft Sentinel i reguł wykrywania.
  • Last updated on