Udostępnij za pośrednictwem

Migrowanie do usługi Microsoft Sentinel przy użyciu środowiska migracji rozwiązania SIEM

  • Artykuł
  • Dotyczy:
    Microsoft Sentinel in the Azure portal

Przeprowadź migrację rozwiązania SIEM do usługi Microsoft Sentinel dla wszystkich przypadków użycia monitorowania zabezpieczeń. Zautomatyzowana pomoc w środowisku migracji rozwiązania SIEM upraszcza migrację.

Te funkcje są obecnie uwzględnione w środowisku migracji rozwiązania SIEM:

Splunk

  • Środowisko koncentruje się na migrowaniu monitorowania zabezpieczeń rozwiązania Splunk do usługi Microsoft Sentinel i mapowaniu wbudowanych reguł analitycznych (OOTB, out-of-the-box) wszędzie tam, gdzie to możliwe.
  • Środowisko obsługuje migrację wykrywania splunk do reguł analizy usługi Microsoft Sentinel, w tym mapowania źródeł danych splunk i odnośników.

Wymagania wstępne

Potrzebujesz następujących elementów ze źródłowego rozwiązania SIEM:

Splunk

  • Środowisko migracji jest zgodne zarówno z wersjami Splunk Enterprise, jak i Splunk Cloud.
  • Aby wyeksportować wszystkie alerty splunk, wymagana jest rola administratora splunk. Aby uzyskać więcej informacji, zobacz Splunk role-based user access (Dostęp użytkowników oparty na rolach splunk).
  • Wyeksportuj dane historyczne z rozwiązania Splunk do odpowiednich tabel w obszarze roboczym usługi Log Analytics. Aby uzyskać więcej informacji, zobacz Eksportowanie danych historycznych z splunku.

Potrzebujesz następujących elementów w docelowej usłudze Microsoft Sentinel:

  • Środowisko migracji rozwiązania SIEM wdraża reguły analizy. Ta funkcja wymaga roli współautora usługi Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Uprawnienia w usłudze Microsoft Sentinel.

  • Pozyskiwanie danych zabezpieczeń używanych wcześniej w źródłowym rozwiązaniu SIEM do usługi Microsoft Sentinel. Zanim reguła analizy zostanie przetłumaczona i włączona, źródło danych reguły musi znajdować się w obszarze roboczym usługi Log Analytics. Instalowanie i włączanie wbudowanych łączników danych (OOTB) w centrum zawartości w celu dopasowania ich do majątku monitorowania zabezpieczeń ze źródłowego rozwiązania SIEM. Jeśli łącznik danych nie istnieje, utwórz niestandardowy potok pozyskiwania.

    Aby uzyskać więcej informacji, zobacz następujące artykuły:

  • Utwórz listy obserwowanych usługi Microsoft Sentinel na podstawie odnośników splunk, aby używane pola były mapowane na przetłumaczone reguły analizy.

Tłumaczenie reguł wykrywania splunk

Podstawowym elementem reguł wykrywania splunk jest język przetwarzania wyszukiwania (SPL). Środowisko migracji rozwiązania SIEM systematycznie tłumaczy spl na język zapytań Kusto (KQL) dla każdej reguły splunk. Uważnie przejrzyj tłumaczenia i dokonaj korekt, aby upewnić się, że migrowane reguły działają zgodnie z oczekiwaniami w obszarze roboczym usługi Microsoft Sentinel. Aby uzyskać więcej informacji na temat pojęć ważnych w zakresie tłumaczenia reguł wykrywania, zobacz Migrowanie reguł wykrywania splunk.

Bieżące możliwości:

  • Mapowanie wykrywania splunk na reguły analizy usługi Microsoft Sentinel OOTB.
  • Tłumaczenie prostych zapytań przy użyciu jednego źródła danych.
  • Automatyczne tłumaczenia SPL do KQL dla mapowań wymienionych w artykule Splunk to Kusto ściągawka.
  • Mapowanie schematu (wersja zapoznawcza) tworzy łącza logiczne dla przetłumaczonych reguł przez mapowanie źródeł danych Splunk na tabele usługi Microsoft Sentinel i wyszukiwanie splunk do list obserwowanych.
  • Przetłumaczony przegląd zapytań zawiera informacje zwrotne o błędach z możliwością edycji w celu zaoszczędzenia czasu w procesie tłumaczenia reguły wykrywania.
  • Stan tłumaczenia wskazujący, jak zupełnie składnia SPL jest tłumaczona na język KQL na poziomie gramatycznym.
  • Obsługa tłumaczenia makr splunk przy użyciu wbudowanej definicji makr zastępczych w zapytaniach SPL.
  • Splunk Common Information Model (CIM) to Microsoft Sentinel's Advanced Security Information Model (ASIM) translation support (Splunk Common Information Model) to Microsoft Sentinel's Advanced Security Information Model (ASIM) support (Splunk Common Information Model) to Microsoft Sentinel's Advanced Security Information Model (ASIM) support (Splunk Common Information Model) (Splunk Common
  • Pobieranie przed migracją i podsumowaniem po migracji.

Uruchamianie środowiska migracji rozwiązania SIEM

  1. Znajdź środowisko migracji rozwiązania SIEM w usłudze Microsoft Sentinel z witryny Azure Portal lub portalu Defender w obszarze Centrum zawartości zarządzania zawartością>.

  2. Wybierz pozycję Migracja rozwiązania SIEM.

Zrzut ekranu przedstawiający centrum zawartości z witryny Azure Portal z elementem menu środowiska migracji rozwiązania SIEM.

Przekazywanie wykrywania splunków

  1. W obszarze Splunk Web wybierz pozycję Wyszukaj i raportowanie w panelu Aplikacje .

  2. Uruchom poniższe zapytanie:

    |rest splunk_server=local count=0 /servicesNS/-/-/saved/searches
|search disabled=0 
|search alert_threshold != ""
|table title,search,description,cron_schedule,dispatch.earliest_time,alert.severity,alert_comparator,alert_threshold,alert.suppress.period,id
|tojson|table _raw
|rename _raw as alertrules|mvcombine delim=", " alertrules
|append [| rest splunk_server=local count=0 /servicesNS/-/-/admin/macros|table title,definition,args,iseval|tojson|table _raw |rename _raw as macros|mvcombine delim=", " macros]
|filldown alertrules
|tail 1

  3. Wybierz przycisk eksportu i wybierz format JSON.

  4. Zapisz plik.

  5. Przekaż wyeksportowany plik JSON splunk.

Uwaga

Eksport splunk musi być prawidłowym plikiem JSON, a rozmiar przekazywania jest ograniczony do 50 MB.

Zrzut ekranu przedstawiający kartę Przekazywania plików.

Mapowanie schematu

Użyj mapowania schematu, aby dokładnie zdefiniować sposób mapowania typów danych i pól w logice reguł analizy na podstawie wyodrębnionych źródeł z zapytań SPL do tabel usługi Microsoft Sentinel.

Źródła danych

Znane źródła, takie jak schematy ciM splunk i modele danych, są automatycznie mapowane na schematy ASIM, jeśli ma to zastosowanie. Inne źródła używane w wykrywaniu splunk muszą być ręcznie mapowane na tabele usługi Microsoft Sentinel lub Log Analytics. Schematy mapowania są hierarchiczne, więc źródła splunk mapują 1:1 z tabelami usługi Microsoft Sentinel i polami w tych źródłach.

Zrzut ekranu przedstawiający opcje mapowania schematu (wersja zapoznawcza) dla źródeł danych.

Po zakończeniu mapowania schematu wszystkie aktualizacje ręczne zostaną odzwierciedlone w obszarze Stan mapowania jako "Ręcznie zamapowane". Zmiany są uwzględniane w następnym kroku podczas tłumaczenia reguł. Mapowanie jest zapisywane dla każdego obszaru roboczego, więc nie trzeba go powtarzać.

Wyszukiwania

Wyszukiwanie splunk porównuje się z listami obserwowanymi usługi Microsoft Sentinel, które są listami wyselekcjonowanych kombinacji wartości pól w celu skorelowania z zdarzeniami w środowisku usługi Microsoft Sentinel. Ponieważ wyszukiwanie splunk jest definiowane i dostępne poza granicami zapytań SPL, równoważna lista obserwatorów usługi Microsoft Sentinel musi zostać utworzona jako wymaganie wstępne. Następnie mapowanie schematu pobiera wyszukiwania automatycznie identyfikowane z przekazanych zapytań Splunk i mapuje je na listy kontrolne usługi Sentinel.

Aby uzyskać więcej informacji, zobacz Tworzenie listy do obejrzenia.

Zrzut ekranu przedstawiający ręczne mapowanie wyszukiwania splunk na listę obserwowanych usługi Microsoft Sentinel.

Zapytania SPL odwołują się do odnośników z słowami lookupkluczowymi , inputlookupi outputlookup . Operacja outputlookup zapisuje dane w wyszukiwaniu i nie jest obsługiwana w tłumaczeniu. Aparat tłumaczenia migracji SIEM używa _GetWatchlist() funkcji KQL do mapowania na poprawną listę obserwowaną usługi Sentinel wraz z innymi funkcjami KQL w celu ukończenia logiki reguły.

Gdy wyszukiwanie splunk nie ma mapowanej odpowiedniej listy obserwowanych, aparat tłumaczenia zachowuje taką samą nazwę zarówno dla listy kontrolnej, jak i pól jako wyszukiwania Splunk i pól.

Konfigurowanie reguł

  1. Wybierz pozycję Konfiguruj reguły.

  2. Zapoznaj się z analizą eksportu splunk.

    • Nazwa to oryginalna nazwa reguły wykrywania splunk.
    • Typ tłumaczenia wskazuje, czy reguła analizy OOTB usługi Sentinel jest zgodna z logiką wykrywania splunk.
    • Stan tłumaczenia przekazuje opinię na temat tego, jak całkowicie składnia wykrywania splunk została przetłumaczona na język KQL. Stan tłumaczenia nie testuje reguły ani nie weryfikuje źródła danych.
      • W pełni przetłumaczone — zapytania w tej regule zostały w pełni przetłumaczone na język KQL, ale logika reguły i źródło danych nie zostały zweryfikowane.
      • Częściowo przetłumaczone — zapytania w tej regule nie zostały w pełni przetłumaczone na język KQL.
      • Nie przetłumaczone — wskazuje błąd w tłumaczeniu.
      • Przetłumaczone ręcznie — ten stan jest ustawiany, gdy każda reguła jest edytowana i zapisywana.

    Zrzut ekranu przedstawiający wyniki automatycznego mapowania reguł.

  3. Wyróżnij regułę, aby rozwiązać problem z tłumaczeniem, a następnie wybierz pozycję Edytuj. Jeśli wyniki są zadowalające, wybierz pozycję Zapisz zmiany.

  4. Włącz przełącznik Wdróż dla reguł analizy, które chcesz wdrożyć.

  5. Po zakończeniu przeglądu wybierz pozycję Przejrzyj i zmigruj.

Wdrażanie reguł analizy

  1. Wybierz Wdróż.

    Typ tłumaczenia Wdrożony zasób
    Poza pudełkiem Zainstalowane są odpowiednie rozwiązania z centrum zawartości zawierające dopasowane szablony reguł analizy. Dopasowane reguły są wdrażane jako aktywne reguły analizy w stanie wyłączonym.

    Aby uzyskać więcej informacji, zobacz Zarządzanie szablonami reguł analizy.
    Niestandardowy Reguły są wdrażane jako aktywne reguły analizy w stanie wyłączonym.

  2. (Opcjonalnie) Wybierz pozycję Eksportuj szablony , aby pobrać wszystkie przetłumaczone reguły jako szablony usługi ARM do użycia w procesach ciągłej integracji/ciągłego wdrażania lub niestandardowych.

    Zrzut ekranu przedstawiający kartę Przeglądanie i migrowanie z wyróżnionym przyciskiem Eksportuj szablony.

  3. Przed zamknięciem środowiska migracji rozwiązania SIEM wybierz pozycję Pobierz podsumowanie migracji, aby zachować podsumowanie wdrożenia analizy.

    Zrzut ekranu przedstawiający przycisk Pobierz podsumowanie migracji na karcie Przeglądanie i migrowanie.

Weryfikowanie i włączanie reguł

  1. Wyświetlanie właściwości wdrożonych reguł z usługi Microsoft Sentinel Analytics.

    • Wszystkie zmigrowane reguły są wdrażane z prefiksem [Splunk Migrated].
    • Wszystkie zmigrowane reguły są ustawione na wyłączone.
    • Następujące właściwości są zachowywane z eksportu splunk wszędzie tam, gdzie jest to możliwe:
      Severity
      queryFrequency
      queryPeriod
      triggerOperator
      triggerThreshold
      suppressionDuration

  2. Włącz reguły po ich przejrzeniu i zweryfikowaniu.

    Zrzut ekranu przedstawiający reguły analizy z wyróżnionymi wdrożonymi regułami splunk gotowymi do włączenia.

Powiązana zawartość

W tym artykule przedstawiono sposób używania środowiska migracji rozwiązania SIEM.

Aby uzyskać więcej informacji na temat środowiska migracji rozwiązania SIEM, zobacz następujące artykuły: