Миграция на Microsoft Sentinel с помощью интерфейса миграции SIEM
Перенесите SIEM в Microsoft Sentinel для всех вариантов использования мониторинга безопасности. Автоматическая помощь из интерфейса миграции SIEM упрощает миграцию.
В настоящее время эти функции включены в интерфейс миграции SIEM:
Splunk
- В этом интерфейсе основное внимание уделяется переносу мониторинга безопасности Splunk в Microsoft Sentinel.
- Интерфейс поддерживает только миграцию средств обнаружения Splunk в правила аналитики Microsoft Sentinel.
Необходимые компоненты
Вам потребуется следующее из исходного SIEM:
Splunk
- Интерфейс миграции совместим с выпусками Splunk Enterprise и Splunk Cloud.
- Роль администратора Splunk необходима для экспорта всех оповещений Splunk. Дополнительные сведения см. в статье Splunk для доступа пользователей на основе ролей.
- Экспортируйте исторические данные из Splunk в соответствующие таблицы в рабочей области Log Analytics. Дополнительные сведения см. в разделе "Экспорт исторических данных из Splunk"
Вам потребуется следующее в целевом объекте Microsoft Sentinel:
- Интерфейс миграции SIEM развертывает правила аналитики. Для этой возможности требуется роль участника Microsoft Sentinel. Дополнительные сведения см. в статье Разрешения в Microsoft Sentinel.
- Прием данных безопасности, ранее используемых в исходном SIEM в Microsoft Sentinel. Установите и включите встроенные соединители данных (OO ТБ) для сопоставления ресурсов мониторинга безопасности из исходного SIEM.
- Если соединители данных еще не установлены, найдите соответствующие решения в Центре контента.
- Если соединитель данных не существует, создайте пользовательский конвейер приема данных.
Дополнительные сведения см. в статье "Обнаружение и управление контентом Microsoft Sentinel вне поля" или "Прием пользовательских данных" и преобразованием.
Перевод правил обнаружения Splunk
В основе правил обнаружения Splunk лежит язык обработки поиска (SPL). Процесс миграции SIEM систематически переводит SPL на язык запросов Kusto (KQL) для каждого правила Splunk. Внимательно просмотрите переводы и внесите изменения, чтобы обеспечить работу перенесенных правил в рабочей области Microsoft Sentinel. Дополнительные сведения о понятиях, важных для преобразования правил обнаружения, см. в разделе "Миграция правил обнаружения Splunk".
Текущие возможности:
- Перевод простых запросов с одним источником данных
- Прямые переводы, перечисленные в статье, Splunk в памятку Kusto
- Просмотрите переведенные отзывы об ошибках запроса с возможностью редактирования, чтобы сэкономить время в процессе перевода правил обнаружения
- Преобразованные запросы имеют состояние полноты с состояниями перевода
Ниже приведены некоторые из приоритетов, которые важны для нас, так как мы продолжаем развивать технологию перевода:
- Splunk Common Information Model (CIM) в службу поддержки расширенной информационной модели безопасности (ASIM) Microsoft Sentinel
- Поддержка макросов Splunk
- Поддержка подстановок Splunk
- Перевод сложной логики корреляции, которая запрашивает и сопоставляет события в нескольких источниках данных
Запуск интерфейса миграции SIEM
Перейдите в Microsoft Sentinel в портал Azure в разделе "Управление содержимым" выберите Центр контента.
Выберите "Миграция SIEM".
Отправка обнаружения Splunk
В Интернете Splunk выберите "Поиск и отчеты " на панели "Приложения ".
Выполните приведенный ниже запрос:
| rest splunk_server=local count=0 /services/saved/searches | search disabled=0 | table title,search ,*
Нажмите кнопку экспорта и выберите формат JSON.
Сохраните файл.
Отправьте экспортируемый JSON-файл Splunk.
Примечание.
Экспорт Splunk должен быть допустимым JSON-файлом, а размер отправки ограничен 50 МБ.
Настройка правил
Выберите " Настроить правила".
Просмотрите анализ экспорта Splunk.
- Имя — это исходное имя правила обнаружения Splunk.
- Тип перевода указывает, соответствует ли правило аналитики Sentinel ТБ логике обнаружения Splunk.
- Состояние перевода имеет следующие значения:
- Полностью переведенные запросы в этом правиле были полностью переведены в KQL
- Частично переведенные запросы в этом правиле не были полностью переведены в KQL
- Не переведено означает ошибку в переводе
- Преобразование вручную при проверке и сохранении любого правила
Примечание.
Проверьте схему типов данных и полей, используемых в логике правила. Microsoft Sentinel Analytics требует, чтобы тип данных присутствовал в рабочей области Log Analytics перед включением правила. Кроме того, важно, чтобы поля, используемые в запросе, были точными для определенной схемы типа данных.
Выделите правило для разрешения перевода и нажмите кнопку "Изменить". Когда вы удовлетворены результатами, нажмите кнопку "Сохранить изменения".
Включите переключатель "Готово" для развертывания правил аналитики, которые требуется развернуть.
После завершения проверки выберите "Проверка и миграция".
Развертывание правил аналитики
Выберите Развернуть.
Тип перевода Развернутый ресурс Готовое Устанавливаются соответствующие решения из Центра контента, содержащие соответствующие шаблоны правил аналитики. Соответствующие правила развертываются как активные правила аналитики в отключенном состоянии.
Дополнительные сведения см. в разделе "Управление шаблонами правил Аналитики".Пользовательское Правила развертываются как правила активной аналитики в отключенном состоянии. (Необязательно) Выберите правила аналитики и выберите "Экспорт шаблонов", чтобы скачать их в качестве шаблонов ARM для использования в процессах CI/CD или пользовательского развертывания.
Перед выходом из интерфейса миграции SIEM выберите "Скачать сводку по миграции ", чтобы сохранить сводку по развертыванию аналитики.
Проверка и включение правил
Просмотрите свойства развернутых правил из Microsoft Sentinel Analytics.
- Все перенесенные правила развертываются с префиксом [Splunk Migrated].
- Все перенесенные правила отключены.
- Следующие свойства сохраняются из экспорта Splunk по возможности:
Severity
queryFrequency
queryPeriod
triggerOperator
triggerThreshold
suppressionDuration
Включите правила после проверки и проверки.
Следующий шаг
Из этой статьи вы узнали, как использовать интерфейс миграции SIEM.