Share via

Migrar para o Microsoft Sentinel com a experiência de migração de SIEM

  • Artigo
  • Aplica-se a:
    Microsoft Sentinel in the Azure portal

Migre seu SIEM para o Microsoft Sentinel para todos os seus casos de uso de monitoramento de segurança. A assistência automatizada da experiência de migração SIEM simplifica sua migração.

Estas funcionalidades estão atualmente incluídas na experiência de migração de SIEM:

Splunk

  • A experiência concentra-se na migração da monitorização de segurança do Splunk para o Microsoft Sentinel.
  • Suporta apenas a migração de deteções do Splunk para regras de análise do Microsoft Sentinel.

Pré-requisitos

Você precisa do seguinte do SIEM de origem:

Splunk

  • A experiência de migração é compatível com as edições Splunk Enterprise e Splunk Cloud.
  • Uma função de administrador do Splunk é necessária para exportar todos os alertas do Splunk. Para obter mais informações, consulte Acesso de usuário baseado em função Splunk.
  • Exporte os dados históricos do Splunk para as tabelas relevantes no espaço de trabalho do Log Analytics. Para obter mais informações, consulte Exportar dados históricos do Splunk

Você precisa do seguinte no destino, Microsoft Sentinel:

  • A experiência de migração do SIEM implanta regras de análise. Esse recurso requer a função de Colaborador do Microsoft Sentinel. Para obter mais informações, consulte Permissões no Microsoft Sentinel.
  • Ingerir dados de segurança usados anteriormente em seu SIEM de origem no Microsoft Sentinel. Instale e habilite conectores de dados prontos para uso (OOTB) para corresponder ao seu patrimônio de monitoramento de segurança do SIEM de origem.
    • Se os conectores de dados ainda não estiverem instalados, encontre as soluções relevantes no hub de conteúdo.
    • Se não existir nenhum conector de dados, crie um pipeline de ingestão personalizado.
      Para obter mais informações, consulte Descobrir e gerenciar conteúdo pronto para uso do Microsoft Sentinel ou Ingestão e transformação de dados personalizados.

Definição da palavra Splunk detection rules

No núcleo das regras de deteção do Splunk está a linguagem de processamento de pesquisa (SPL). A experiência de migração do SIEM traduz sistematicamente SPL para Kusto query language (KQL) para cada regra Splunk. Analise cuidadosamente as traduções e faça ajustes para garantir que as regras migradas funcionem como pretendido em seu espaço de trabalho do Microsoft Sentinel. Para obter mais informações sobre os conceitos importantes na tradução de regras de deteção, consulte migrar regras de deteção Splunk.

Capacidades atuais:

  • Traduzir consultas simples com uma única fonte de dados
  • Traduções diretas listadas no artigo, Splunk para Kusto cheat sheet
  • Revise o feedback de erro de consulta traduzido com o recurso de edição para economizar tempo no processo de tradução de regras de deteção
  • As consultas traduzidas apresentam um status de completude com estados de tradução

Aqui estão algumas das prioridades que são importantes para nós à medida que continuamos a desenvolver a tecnologia de tradução:

  • Suporte à tradução do Splunk Common Information Model (CIM) para o Advanced Security Information Model (ASIM) do Microsoft Sentinel
  • Suporte para macros Splunk
  • Suporte para pesquisas do Splunk
  • Tradução de lógica de correlação complexa que consulta e correlaciona eventos em várias fontes de dados

Iniciar a experiência de migração SIEM

  1. Navegue até Microsoft Sentinel no portal do Azure, em Gerenciamento de conteúdo, selecione Hub de conteúdo.

  2. Selecione Migração SIEM.

Captura de tela mostrando o hub de conteúdo com item de menu para a experiência de migração SIEM.

Carregar deteções do Splunk

  1. No Splunk Web, selecione Pesquisa e relatórios no painel Aplicativos .

  2. Execute a seguinte consulta:

    | rest splunk_server=local count=0 /services/saved/searches | search disabled=0 | table title,search ,*

  3. Selecione o botão de exportação e escolha JSON como o formato.

  4. Guarde o ficheiro.

  5. Carregue o arquivo JSON Splunk exportado.

Nota

A exportação do Splunk deve ser um arquivo JSON válido e o tamanho do upload é limitado a 50 MB.

Captura de ecrã a mostrar o separador carregar ficheiros.

Configurar regras

  1. Selecione Configurar regras.

  2. Reveja a análise da exportação Splunk.

    • Name é o nome original da regra de deteção Splunk.
    • Tipo de tradução indica se uma regra de análise OOTB do Sentinel corresponde à lógica de deteção do Splunk.
    • O Estado de Tradução tem os seguintes valores:
      • As consultas totalmente traduzidas nesta regra foram totalmente traduzidas para o KQL
      • As consultas parcialmente traduzidas nesta regra não foram totalmente traduzidas para o KQL
      • Não traduzido indica um erro na tradução
      • Traduzido manualmente quando qualquer regra é revista e guardada

    Captura de tela mostrando os resultados do mapeamento automático de regras.

    Nota

    Verifique o esquema dos tipos de dados e campos usados na lógica da regra. O Microsoft Sentinel Analytics exige que o tipo de dados esteja presente no espaço de trabalho do Log Analytics antes que a regra seja habilitada. Também é importante que os campos usados na consulta sejam precisos para o esquema de tipo de dados definido.

  3. Realce uma regra para resolver a tradução e selecione Editar. Quando estiver satisfeito com os resultados, selecione Salvar alterações.

  4. Ative a opção Pronto para implantar para as regras do Google Analytics que você deseja implantar.

  5. Quando a revisão estiver concluída, selecione Rever e migrar.

Implantar as regras do Google Analytics

  1. Selecione Implementar.

    Tipo de tradução Recurso implantado
    Fora da caixa As soluções correspondentes do hub de conteúdo que contêm os modelos de regra de análise correspondentes são instaladas. As regras correspondentes são implantadas como regras de análise ativas no estado desabilitado.

    Para obter mais informações, consulte Gerenciar modelos de regras do Google Analytics.
    Personalizado As regras são implantadas como regras de análise ativa no estado desabilitado.

  2. (Opcional) Escolha Regras do Google Analytics e selecione Exportar modelos para baixá-los como modelos ARM para uso em seus processos de CI/CD ou implantação personalizada.

    Captura de ecrã a mostrar o separador Rever e Migrar realçando o botão Exportar Modelos.

  3. Antes de sair da experiência de migração do SIEM, selecione Baixar resumo da migração para manter um resumo da implantação do Google Analytics .

    Captura de ecrã a mostrar o botão Transferir Resumo da Migração no separador Rever e Migrar.

Validar e habilitar regras

  1. Exiba as propriedades das regras implantadas no Microsoft Sentinel Analytics.

    • Todas as regras migradas são implantadas com o prefixo [Splunk Migrated].
    • Todas as regras migradas são definidas como desabilitadas.
    • As seguintes propriedades são mantidas da exportação do Splunk sempre que possível:
      Severity
      queryFrequency
      queryPeriod
      triggerOperator
      triggerThreshold
      suppressionDuration

  2. Habilite as regras depois de analisá-las e verificá-las.

    Captura de tela mostrando as regras do Google Analytics com as regras do Splunk implantadas realçadas prontas para serem ativadas.

Próximo passo

Neste artigo, você aprendeu como usar a experiência de migração do SIEM.

Migrar regras de deteção do Splunk