Миграция на Microsoft Sentinel с помощью интерфейса миграции SIEM

Средство миграции SIEM анализирует обнаружения Splunk и QRadar, включая пользовательские обнаружения, и рекомендует наиболее подходящие правила обнаружения Microsoft Sentinel. Он также предоставляет рекомендации по соединителям данных, доступным в Content Hub, как от Microsoft, так и сторонних, чтобы включить рекомендованные средства обнаружения. Клиенты могут отслеживать миграцию, назначив правильный статус каждой карточке рекомендаций.

Примечание.

Старое средство миграции устарело. В этой статье описывается текущий интерфейс миграции SIEM.

Интерфейс миграции SIEM включает следующие функции:

• Опыт направлен на перенос мониторинга безопасности Splunk и QRadar в Microsoft Sentinel и сопоставление готовых (OOTB) правил аналитики, где это возможно.
• Функционал поддерживает миграцию правил обнаружения Splunk и QRadar в аналитические правила Microsoft Sentinel.

Предварительные условия

• Microsoft Sentinel на портале Microsoft Defender
• По крайней мере права участника Microsoft Sentinel в рабочей области Microsoft Sentinel
• Security Copilot активирована в вашей среде с назначенной по крайней мере ролью оператора workspace

Примечание.

Средство миграции SIEM поддерживается Security Copilot, поэтому для использования в вашей среде требуется Security Copilot. Однако он не использует SCU и не создает расходы на основе SCU, независимо от того, как его настроите. Вы можете оптимизировать настройку системы безопасности Copilot на основе ваших предпочтений для управления доступом и затратами, а рабочий процесс остается полностью свободным от SCU. Любое использование SCU будет применяться только к другим функциям безопасности Copilot, которые вы намеренно используете.

Экспорт правил обнаружения из текущего SIEM

Splunk

В приложении поиска и создания отчетов в Splunk выполните следующий запрос:

| rest splunk_server=local count=0 /servicesNS/-/-/saved/searches | search disabled=0 | search alert_threshold != "" | table title, search, description, cron_schedule, dispatch.earliest_time, alert.severity, alert_comparator, alert_threshold, alert.suppress.period, id, eai:acl.app, actions, action.correlationsearch.annotations, action.correlationsearch.enabled | tojson | table _raw | rename _raw as alertrules | mvcombine delim=", " alertrules | append [ | rest splunk_server=local count=0 /servicesNS/-/-/admin/macros | table title,definition,args,iseval | tojson | table _raw | rename _raw as macros | mvcombine delim=", " macros ] | filldown alertrules |tail 1 

Для экспорта всех оповещений Splunk требуется роль администратора Splunk. Дополнительные сведения см. в статье доступ пользователей в Splunk на основе ролей.

QRadar

Экспортируйте данные правила QRadar в виде CSV-файла, как описано здесь, как описано в статье "Экспорт правил" — документация IBM.

Две заметки о экспорте:

1. Экспорт по умолчанию включает правила генерации оповещений, но не стандартные блоки, которые могут содержать важные сведения. Снимите все значения фильтров для правила или стандартного блока (BB), чтобы разрешить экспортировать как правила, так и объекты BB.

2. Включите только следующие поля в экспорт, чтобы избежать дублирования, которые могут привести к замораживанию приложения QRadar:

   "Имя правила", "Тип", "Правило включено", "Заметки", "Сведения о действии", "Сведения о ответе", "Ответ правила: описание события", "Правило", "Правило установлено", "Ответ правила: имя события", "Правило: определение теста", "Имя расширения контента", "Категория контента"

Начните миграцию SIEM

После экспорта правил сделайте следующее:

1. Перейдите к security.microsoft.com.

2. На вкладке "Оптимизация SOC " выберите "Настройка нового SIEM".

   

3. Выберите Миграция из вашей текущей системы SIEM:

   

4. Выберите SIEM, из которой выполняется миграция.

   

5. Отправьте данные конфигурации, экспортированные из текущего SIEM , и нажмите кнопку "Далее".

   Средство миграции анализирует экспорт и определяет количество источников данных и правил обнаружения в предоставленном файле. Используйте эти сведения, чтобы убедиться, что у вас есть правильный экспорт.

   Если данные не выглядят правильно, выберите "Заменить файл " в правом верхнем углу и отправьте новый экспорт. После отправки правильного файла нажмите кнопку "Далее".

   

6. Выберите рабочую область, а затем нажмите кнопку "Начать анализ".

   

   Средство миграции сопоставляет правила обнаружения с источниками данных и правилами обнаружения Microsoft Sentinel. Если в рабочей области нет рекомендаций, создаются рекомендации. Если существуют рекомендации, средство удаляет и заменяет их новыми.

   

7. Обновите страницу и выберите состояние анализа установки SIEM , чтобы просмотреть ход выполнения анализа:

   

   Эта страница не обновляется автоматически. Чтобы просмотреть последнее состояние, закройте и снова откройте страницу.

   Анализ завершается, когда все три флажки зеленые. Если три флажка зелёные, но нет рекомендаций, это значит, что совпадений с вашими правилами не найдено.

   

   По завершении анализа средство миграции создает рекомендации на основе вариантов использования, сгруппированные по решениям Content Hub. Вы также можете скачать подробный отчет о анализе. В отчете содержится подробный анализ рекомендуемых заданий миграции, включая правила Splunk, для которых мы не нашли подходящее решение, не были обнаружены или не применимы.

   

   Чтобы увидеть рекомендации по миграции, отфильтруйте тип рекомендации по настройке SIEM.

8. Выберите одну из карт рекомендаций для просмотра источников данных и сопоставленных правил.

   

   Инструмент совпадает с правилами Splunk для встроенных соединителей данных Microsoft Sentinel и встроенных правил обнаружения Microsoft Sentinel. На вкладке соединителей отображаются соединители данных, соответствующие правилам из SIEM, и состояние (подключено или не отключено). Если используемый соединитель еще не подключен, можно подключиться на вкладке соединителя. Если соединитель не установлен, перейдите в центр содержимого и установите решение, содержащее соединитель, который требуется использовать.

   

   На вкладке обнаружения показаны следующие сведения:

   • Рекомендации из средства миграции SIEM.
   • Текущее правило обнаружения Splunk из отправленного файла.
   • Состояние правила обнаружения в Microsoft Sentinel. Состояние может быть следующим:
     • Включено: правило обнаружения создаётся из шаблона правила, включено и активно (из предыдущего действия).
     • Disabled: правило обнаружения устанавливается из Центра содержимого, но не включено в рабочей области Microsoft Sentinel
     • Не используется: правило обнаружения было установлено из Центра содержимого и доступно в качестве шаблона для включения
     • Не установлено: правило обнаружения не было установлено из Центра содержимого
   • Необходимые соединители, которые нужно настроить для получения журналов, необходимых для рекомендованного правила обнаружения. Если необходимый соединитель недоступен, есть боковая панель с мастером для его установки из Центра контента. Если подключены все необходимые соединители, появится зеленая галочка.

   

Включение правил обнаружения

При выборе правила откроется боковая панель сведений о правилах, и вы можете просмотреть сведения о шаблоне правил.

• Если связанный соединитель данных установлен и настроен, выберите "Включить обнаружение ", чтобы включить правило обнаружения.

  

• Выберите Дополнительные действия>Создать вручную, чтобы открыть мастер правил аналитики. В нем вы сможете просмотреть и изменить правило перед включением.

• Если правило уже включено, выберите "Изменить ", чтобы открыть мастер правил аналитики, чтобы просмотреть и изменить правило.

  

  Мастер отображает правило Splunk SPL и можно сравнить его с Microsoft Sentinel KQL.

  

Подсказка

Вместо создания правил вручную с нуля это может быть быстрее и проще, чтобы включить правило из шаблона, а затем изменить его по мере необходимости.

Если соединитель данных не установлен и настроен для потоковой передачи журналов, включение обнаружения отключено.

• Вы можете включить несколько правил одновременно, установив флажки рядом с каждым правилом, которое вы хотите включить, а затем выбрав "Включить выбранные обнаружения " в верхней части страницы.

  

Средство миграции SIEM не осуществляет явную установку каких-либо соединителей и не включает правила обнаружения.

Ограничения

• Средство миграции сопоставляет правила экспорта в встроенные Microsoft Sentinel соединители данных и правила обнаружения.