Поделиться через

Миграция на Microsoft Sentinel с помощью интерфейса миграции SIEM

  • Статья
  • Применяется к:
    Microsoft Sentinel in the Azure portal

Перенесите SIEM в Microsoft Sentinel для всех вариантов использования мониторинга безопасности. Автоматическая помощь из интерфейса миграции SIEM упрощает миграцию.

В настоящее время эти функции включены в интерфейс миграции SIEM:

Splunk

  • В этом интерфейсе основное внимание уделяется переносу мониторинга безопасности Splunk в Microsoft Sentinel и сопоставлению правил аналитики вне поля (OOTB) по возможности.
  • Интерфейс поддерживает миграцию обнаружения Splunk в правила аналитики Microsoft Sentinel, включая сопоставление источников данных Splunk и подстановок.

Необходимые компоненты

Вам потребуется следующее из исходного SIEM:

Splunk

  • Интерфейс миграции совместим с выпусками Splunk Enterprise и Splunk Cloud.
  • Роль администратора Splunk необходима для экспорта всех оповещений Splunk. Дополнительные сведения см. в статье Splunk для доступа пользователей на основе ролей.
  • Экспортируйте исторические данные из Splunk в соответствующие таблицы в рабочей области Log Analytics. Дополнительные сведения см. в статье "Экспорт исторических данных из Splunk".

Вам потребуется следующее в целевом объекте Microsoft Sentinel:

  • Интерфейс миграции SIEM развертывает правила аналитики. Для этой возможности требуется роль участника Microsoft Sentinel. Дополнительные сведения см. в статье Разрешения в Microsoft Sentinel.

  • Прием данных безопасности, ранее используемых в исходном SIEM в Microsoft Sentinel. Перед переводом и включением правила аналитики источник данных правила должен присутствовать в рабочей области Log Analytics. Установите и включите встроенные соединители данных (OOTB) в Центре контента, чтобы соответствовать свойству мониторинга безопасности из исходного SIEM. Если соединитель данных не существует, создайте пользовательский конвейер приема данных.

    Дополнительные сведения см. в следующих статьях:

  • Создайте списки отслеживания Microsoft Sentinel из подстановок Splunk, чтобы используемые поля сопоставлялись для переведенных правил аналитики.

Перевод правил обнаружения Splunk

В основе правил обнаружения Splunk используется язык обработки поиска (SPL). Процесс миграции SIEM систематически переводит SPL на язык запросов Kusto (KQL) для каждого правила Splunk. Внимательно просмотрите переводы и внесите изменения, чтобы обеспечить работу перенесенных правил в рабочей области Microsoft Sentinel. Дополнительные сведения о понятиях, важных для преобразования правил обнаружения, см. в разделе "Миграция правил обнаружения Splunk".

Текущие возможности:

  • Сопоставление обнаружения Splunk с правилами аналитики Microsoft Sentinel OOTB.
  • Перевод простых запросов с одним источником данных.
  • Автоматические переводы SPL в KQL для сопоставлений, перечисленных в статье, Splunk на памятку Kusto.
  • Сопоставление схем (предварительная версия) создает логические ссылки для переведенных правил путем сопоставления источников данных Splunk с таблицами Microsoft Sentinel и подстановками Splunk с списками наблюдения.
  • Переведенная проверка запросов предоставляет обратную связь об ошибках с возможностью редактирования для экономии времени в процессе перевода правил обнаружения.
  • Состояние перевода, указывающее, как полностью синтаксический синтаксис SPL преобразуется в KQL на грамматическом уровне.
  • Поддержка преобразования макросов Splunk с помощью встроенного определения макроса замены в запросах SPL.
  • Splunk Common Information Model (CIM) в службу поддержки расширенной информационной модели безопасности (ASIM) Microsoft Sentinel.
  • Скачайте сводку по предварительной миграции и после миграции.

Запуск интерфейса миграции SIEM

  1. Найдите интерфейс миграции SIEM в Microsoft Sentinel на портале портал Azure или на портале Defender в центре содержимого управления>содержимым.

  2. Выберите "Миграция SIEM".

Снимок экрана: концентратор содержимого из портал Azure с элементом меню для интерфейса миграции SIEM.

Отправка обнаружения Splunk

  1. В Интернете Splunk выберите "Поиск и отчеты " на панели "Приложения ".

  2. Выполните приведенный ниже запрос:

    |rest splunk_server=local count=0 /servicesNS/-/-/saved/searches
|search disabled=0 
|search alert_threshold != ""
|table title,search,description,cron_schedule,dispatch.earliest_time,alert.severity,alert_comparator,alert_threshold,alert.suppress.period,id
|tojson|table _raw
|rename _raw as alertrules|mvcombine delim=", " alertrules
|append [| rest splunk_server=local count=0 /servicesNS/-/-/admin/macros|table title,definition,args,iseval|tojson|table _raw |rename _raw as macros|mvcombine delim=", " macros]
|filldown alertrules
|tail 1

  3. Нажмите кнопку экспорта и выберите формат JSON.

  4. Сохраните файл.

  5. Отправьте экспортируемый JSON-файл Splunk.

Примечание.

Экспорт Splunk должен быть допустимым JSON-файлом, а размер отправки ограничен 50 МБ.

Снимок экрана: вкладка

Сопоставление схемы

Используйте сопоставление схем, чтобы точно определить, как типы данных и поля в логике правила аналитики сопоставляются на основе извлеченных источников из запросов SPL к таблицам Microsoft Sentinel.

Источники данных

Известные источники, такие как схемы Splunk CIM и модели данных, автоматически сопоставляются со схемами ASIM при необходимости. Другие источники, используемые в обнаружении Splunk, должны быть сопоставлены вручную с таблицами Microsoft Sentinel или Log Analytics. Схемы сопоставления являются иерархическими, поэтому источники Splunk сопоставляют 1:1 с таблицами Microsoft Sentinel и полями в этих источниках.

Снимок экрана: параметры сопоставления схем (предварительная версия) для источников данных.

После завершения сопоставления схемы все обновления вручную отражаются в состоянии сопоставления как "Сопоставлено вручную". Изменения учитываются на следующем шаге при переводе правил. Сопоставление сохраняется для каждой рабочей области, поэтому ее не нужно повторять.

Подстановки

Подстановки Splunk сравниваются с списками отслеживания Microsoft Sentinel, которые представляют собой списки сочетаний с управляемыми полями для сопоставления с событиями в среде Microsoft Sentinel. Так как поиски Splunk определены и доступны за пределами запросов SPL, эквивалентный список наблюдения Microsoft Sentinel должен быть создан в качестве предварительных условий. Затем сопоставление схем автоматически определяется из отправленных запросов Splunk и сопоставляет их со списками отслеживания Sentinel.

Дополнительные сведения см. в разделе "Создание списка наблюдения".

Снимок экрана: сопоставление подстановки Splunk с списком наблюдения Microsoft Sentinel.

Запросы SPL ссылают на запросы с lookupinputlookupключевыми словами и outputlookup ключевыми словами. Операция outputlookup записывает данные в подстановку и не поддерживается в переводе. Подсистема перевода миграции SIEM использует _GetWatchlist() функцию KQL для сопоставления с правильным списком отслеживания Sentinel вместе с другими функциями KQL для выполнения логики правила.

Если подстановка Splunk не сопоставлена с соответствующим списком наблюдения, подсистема перевода сохраняет одинаковое имя как для списка наблюдения, так и для его полей, как подстановка Splunk и поля.

Настройка правил

  1. Выберите " Настроить правила".

  2. Просмотрите анализ экспорта Splunk.

    • Имя — это исходное имя правила обнаружения Splunk.
    • Тип перевода указывает, соответствует ли правило аналитики OOTB Sentinel логике обнаружения Splunk.
    • Состояние перевода дает отзыв о том, как полностью был переведен синтаксис обнаружения Splunk в KQL. Состояние перевода не проверяет правило или не проверяет источник данных.
      • Полностью переведенные запросы в этом правиле были полностью переведены в KQL, но логика правила и источник данных не были проверены.
      • Частично переведенные запросы в этом правиле не были полностью переведены в KQL.
      • Не переведено . Указывает ошибку в переводе.
      • Переведено вручную. Это состояние устанавливается при изменении и сохранении любого правила.

    Снимок экрана: результаты автоматического сопоставления правил.

  3. Выделите правило для разрешения перевода и нажмите кнопку "Изменить". Когда вы удовлетворены результатами, нажмите кнопку "Сохранить изменения".

  4. Включите переключатель развертывания для правил аналитики, которые необходимо развернуть.

  5. После завершения проверки выберите "Проверка и миграция".

Развертывание правил аналитики

  1. Выберите Развернуть.

    Тип перевода Развернутый ресурс
    Готовое Устанавливаются соответствующие решения из Центра контента, содержащие соответствующие шаблоны правил аналитики. Соответствующие правила развертываются как активные правила аналитики в отключенном состоянии.

    Дополнительные сведения см. в разделе "Управление шаблонами правил Аналитики".
    Пользовательское Правила развертываются как правила активной аналитики в отключенном состоянии.

  2. (Необязательно) Выберите "Экспорт шаблонов", чтобы скачать все переведенные правила в качестве шаблонов ARM для использования в процессах CI/CD или пользовательского развертывания.

    Снимок экрана: вкладка

  3. Перед выходом из интерфейса миграции SIEM выберите "Скачать сводку по миграции ", чтобы сохранить сводку по развертыванию аналитики.

    Снимок экрана: кнопка

Проверка и включение правил

  1. Просмотрите свойства развернутых правил из Microsoft Sentinel Analytics.

    • Все перенесенные правила развертываются с префиксом [Splunk Migrated].
    • Все перенесенные правила отключены.
    • Следующие свойства сохраняются из экспорта Splunk по возможности:
      Severity
      queryFrequency
      queryPeriod
      triggerOperator
      triggerThreshold
      suppressionDuration

  2. Включите правила после проверки и проверки.

    Снимок экрана: правила аналитики с развернутыми правилами Splunk, выделенными для включения.

Связанный контент

Из этой статьи вы узнали, как использовать интерфейс миграции SIEM.

Дополнительные сведения о миграции SIEM см. в следующих статьях: