Share via

Migrar para o Microsoft Sentinel com a experiência de migração do SIEM

  • Artigo
  • Aplica-se a:
    Microsoft Sentinel in the Azure portal

Migre seu SIEM para o Microsoft Sentinel para todos os casos de uso de monitoramento de segurança. A assistência automatizada da experiência de Migração do SIEM simplifica sua migração.

Atualmente, esses recursos estão incluídos na experiência de Migração do SIEM:

Splunk

  • A experiência se concentra na migração do monitoramento de segurança do Splunk para o Microsoft Sentinel.
  • A experiência dá suporte apenas à migração de detecções do Splunk para as regras de análise do Microsoft Sentinel.

Pré-requisitos

Você precisará do seguinte do SIEM de origem:

Splunk

  • A experiência de migração é compatível com as edições do Splunk Enterprise e do Splunk Cloud.
  • Uma função de administrador do Splunk é necessária para exportar todos os alertas do Splunk. Para obter mais informações, consulte Acesso baseado em função do Splunk.
  • Exporte os dados históricos do Splunk para as tabelas relevantes no workspace do Log Analytics. Para obter mais informações, consulte Exportar dados históricos do Splunk

Você precisará do seguinte no destino, Microsoft Sentinel:

  • A experiência de migração do SIEM implanta regras de análise. Essa funcionalidade requer a função de Colaborador do Microsoft Sentinel. Para saber mais, veja Permissões no Microsoft Sentinel.
  • Ingerir dados de segurança usados anteriormente no SIEM de origem no Microsoft Sentinel. Instale e habilite conectores de dados OOTB (prontos para uso) para corresponder ao seu estado de monitoramento de segurança do SIEM de origem.

Mover regras de detecção do Splunk

No centro das regras de detecção do Splunk está a SPL (linguagem de processamento de pesquisa). A experiência de migração do SIEM converte sistematicamente a SPL em KQL (linguagem de consulta Kusto) para cada regra do Splunk. Examine cuidadosamente as translação e faça ajustes para garantir que as regras migradas funcionem conforme pretendido no espaço de trabalho do Microsoft Sentinel. Para obter mais informações sobre os conceitos importantes em mover regras de detecção, consulte Migrar regras de detecção do Splunk.

Recursos atuais:

  • Mover consultas simples com uma única fonte de dados
  • Translações diretas listadas no artigo, Folha de referências do Splunk para Kusto
  • Examine os comentários de erro de consulta movidas com a capacidade de edição para economizar tempo no processo de mover regra de detecção
  • As consultas movidas apresentam um status de integridade com estados de translação

Aqui estão algumas das prioridades que são importantes para nós à medida que continuamos a desenvolver a tecnologia de translação:

  • Modelo CIM para o suporte de translação do ASIM (Modelo de Informações de Segurança Avançado) do Microsoft Sentinel
  • Suporte para macros do Splunk
  • Suporte para pesquisas do Splunk
  • Tradução de lógica de correlação complexa que consulta e correlaciona eventos em várias fontes de dados

Iniciar a experiência de migração do SIEM

  1. Navegue até o Microsoft Sentinel no portal do Azure, em Gerenciamento de conteúdo, selecione o Hub de conteúdo.

  2. Selecione Migração do SIEM.

Captura de tela mostrando o hub de conteúdo com o item de menu para a experiência de migração do SIEM.

Carregar detecções do Splunk

  1. Na Web do Splunk, selecione Pesquisar e Relatar no painel Aplicativos.

  2. Execute a seguinte consulta:

    | rest splunk_server=local count=0 /services/saved/searches | search disabled=0 | table title,search ,*

  3. Selecione o botão exportar e escolha JSON como o formato.

  4. Salve o arquivo.

  5. Carregue o arquivo JSON do Splunk exportado.

Observação

A exportação do Splunk deve ser um arquivo JSON válido e o tamanho do upload é limitado a 50 MB.

Captura de tela mostrando o guia de carregar arquivos.

Configurar regras

  1. Selecione Configurar Regras.

  2. Examine a análise da exportação do Splunk.

    • O nome é o nome original da regra de detecção do Splunk.
    • O Tipo de Tradução indica se uma regra de análise de OOTB do Sentinel corresponde à lógica de detecção do Splunk.
    • O Estado de Tradução tem os seguintes valores:
      • As consultas Totalmente Traduzidas nessa regra foram totalmente traduzidas para a KQL
      • Consultas Parcialmente Traduzidas nesta regra não foram totalmente traduzidas para a KQL
      • Não Traduzido indica um erro na tradução
      • Traduzido Manualmente quando qualquer regra é revisada e salva

    Captura de tela mostrando os resultados do mapeamento automático de regras.

    Observação

    Verifique o esquema dos tipos de dados e campos usados na lógica de regra. A Análise do Microsoft Sentinel exige que o tipo de dados esteja presente no Workspace do Log Analytics, antes que a regra seja habilitada. Também é importante que os campos usados na consulta sejam precisos para o esquema de tipo de dados definido.

  3. Realce uma regra para resolver a tradução e selecione Editar. Quando estiver satisfeito com os resultados, selecione Salvar Alterações.

  4. Ative a opção Pronto para implantar para as regras de Análise a serem implantadas.

  5. Ao concluir a revisão, selecione Examinar e migrar.

Implantar as regras de Análise

  1. Selecione Implantar.

    Tipo de tradução Recurso implantado
    Pronto para uso As soluções correspondentes do Hub de conteúdo que contêm os modelos de regra de análise correspondentes são instaladas. As regras correspondentes são implantadas como regras de análise ativa no estado desabilitado.

    Para obter mais informações, consulte Gerenciar modelos de regra do Análise.
    Personalizado As regras são implantadas como regras de análise ativa no estado desabilitado.

  2. (Opcional) Escolha regras de Análise e selecione Exportar Modelos para baixá-los como modelos do ARM, para uso em seus processos de CI/CD ou implantação personalizada.

    Captura de tela mostrando a guia Revisar e Migrar realçando o botão Exportar Modelos.

  3. Antes de sair da experiência de Migração do SIEM, selecione Baixar Resumo de Migração, para manter um resumo da implantação de Análise.

    Captura de tela mostrando o botão Baixar Resumo da Migração na guia Revisar e Migrar.

Validar e habilitar regras

  1. Exiba as propriedades das regras implantadas na Análise do Microsoft Sentinel.

    • Todas as regras migradas são implantadas com o prefixo [Splunk Migrated].
    • Todas as regras migradas são definidas como desabilitadas.
    • As seguintes propriedades são retidas da exportação do Splunk sempre que possível:
      Severity
      queryFrequency
      queryPeriod
      triggerOperator
      triggerThreshold
      suppressionDuration

  2. Habilite as regras depois de revisá-las e verificá-las.

    Captura de tela mostrando regras de análise com regras do Splunk implantadas realçadas, prontas para serem habilitadas.

Próxima etapa

Neste artigo, você aprendeu a usar a experiência de migração do SIEM.

Migrar regras de detecção do Splunk