SIEM geçiş deneyimiyle Microsoft Sentinel'e geçiş

• Şunlara uygulanır:

  Microsoft Sentinel in the Azure portal

Tüm güvenlik izleme kullanım örnekleri için SIEM'inizi Microsoft Sentinel'e geçirin. SIEM Geçişi deneyiminden otomatik yardım, geçişinizi basitleştirir.

Bu özellikler şu anda SIEM geçişi deneyimine dahildir:

Splunk

• Bu deneyim Splunk güvenlik izlemesinin Microsoft Sentinel'e geçirilmesine odaklanır.
• Bu deneyim yalnızca Splunk algılamalarının Microsoft Sentinel analiz kurallarına geçirilmesini destekler.

Önkoşullar

Kaynak SIEM'den aşağıdakilere ihtiyacınız vardır:

Splunk

• Geçiş deneyimi hem Splunk Enterprise hem de Splunk Cloud sürümleriyle uyumludur.
• Tüm Splunk uyarılarını dışarı aktarmak için splunk yönetici rolü gereklidir. Daha fazla bilgi için bkz . Splunk rol tabanlı kullanıcı erişimi.
• Geçmiş verilerini Splunk'tan Log Analytics çalışma alanında ilgili tablolara aktarın. Daha fazla bilgi için bkz . Splunk'tan geçmiş verileri dışarı aktarma

Hedefte aşağıdakilere ihtiyacınız vardır: Microsoft Sentinel:

• SIEM geçiş deneyimi analiz kurallarını dağıtır. Bu özellik, Microsoft Sentinel Katkıda Bulunanı rolünü gerektirir. Daha fazla bilgi için bkz . Microsoft Sentinel'de izinler.
• Daha önce kaynak SIEM'inizde kullanılan güvenlik verilerini Microsoft Sentinel'e alın. Kaynak SIEM'inizdeki güvenlik izleme varlığınızla eşleşecek şekilde kullanıma açık (OOTB) veri bağlayıcılarını yükleyin ve etkinleştirin.
  • Veri bağlayıcıları henüz yüklü değilse, İçerik hub'ında ilgili çözümleri bulun.
  • Veri bağlayıcısı yoksa özel bir alım işlem hattı oluşturun.
    Daha fazla bilgi için bkz . Microsoft Sentinel kullanıma hazır içeriği bulma ve yönetme veya Özel veri alımı ve dönüşümü.

Splunk algılama kurallarını çevirme

Splunk algılama kurallarının merkezinde Arama İşleme Dili (SPL) yer alır. SIEM geçiş deneyimi, her Splunk kuralı için SPL'yi sistematik olarak Kusto sorgu diline (KQL) çevirir. Geçirilen kuralların Microsoft Sentinel çalışma alanınızda amaçlandığı gibi çalıştığından emin olmak için çevirileri dikkatle gözden geçirin ve ayarlamalar yapın. Algılama kurallarını çevirme konusunda önemli kavramlar hakkında daha fazla bilgi için bkz . Splunk algılama kurallarını geçirme.

Geçerli özellikler:

• Basit sorguları tek bir veri kaynağıyla çevirme
• Makalede listelenen doğrudan çeviriler, Splunk to Kusto bilgi sayfası
• Algılama kuralı çevirisi işleminde zaman kazanmak için düzenleme özelliğiyle çevrilmiş sorgu hatası geri bildirimini gözden geçirin
• Çevrilmiş sorgular, çeviri durumlarıyla tamlık durumu özelliğine sahiptir

Çeviri teknolojisini geliştirmeye devam ettiğimizde bizim için önemli olan bazı öncelikler şunlardır:

• Microsoft Sentinel'in Gelişmiş Güvenlik Bilgileri Modeli (ASIM) çeviri desteğine Splunk Ortak Bilgi Modeli (CIM)
• Splunk makroları desteği
• Splunk arama desteği
• Birden çok veri kaynağında olayları sorgulayan ve ilişkilendiren karmaşık bağıntı mantığının çevirisi

SIEM geçiş deneyimini başlatma

1. Azure portalında Microsoft Sentinel'e gidin, İçerik yönetimi'nin altında İçerik hub'ı seçin.

2. SIEM Geçişi'ne tıklayın.

Splunk algılamalarını karşıya yükleme

1. Splunk Web'den Uygulamalar panelinde Ara ve Raporlama'yı seçin.

2. Aşağıdaki sorguyu çalıştırın:

   | rest splunk_server=local count=0 /services/saved/searches | search disabled=0 | table title,search ,*

3. Dışarı aktar düğmesini seçin ve biçim olarak JSON'u seçin.

4. Dosyayı kaydedin.

5. Dışarı aktarılan Splunk JSON dosyasını karşıya yükleyin.

Not

Splunk dışarı aktarma geçerli bir JSON dosyası olmalıdır ve karşıya yükleme boyutu 50 MB ile sınırlıdır.

Kuralları yapılandırma

1. Kuralları Yapılandır'ı seçin.

2. Splunk dışarı aktarma analizini gözden geçirin.

   • Ad , özgün Splunk algılama kuralı adıdır.
   • Çeviri Türü , Bir Sentinel OOTB analiz kuralının Splunk algılama mantığıyla eşleşip eşleşmediğini gösterir.
   • Çeviri Durumu aşağıdaki değerlere sahiptir:
     • Bu kuraldaki Tam Çevrilmiş sorgular KQL'ye tamamen çevrildi
     • Bu kuraldaki Kısmen Çevrilmiş sorgular KQL'ye tam olarak çevrilemedi
     • Çevrilmedi, çeviride hata olduğunu gösterir
     • Herhangi bir kural gözden geçirildiğinde ve kaydedildiğinde El ile Çevrildi

   

   Not

   Kural mantığında kullanılan veri türlerinin ve alanların şemasını denetleyin. Microsoft Sentinel Analytics, kural etkinleştirilmeden önce veri türünün Log Analytics Çalışma Alanında bulunmasını gerektirir. Ayrıca sorguda kullanılan alanların tanımlı veri türü şeması için doğru olması da önemlidir.

3. Çeviriyi çözmek için bir kuralı vurgulayın ve Düzenle'yi seçin. Sonuçlardan memnun olduğunuzda Değişiklikleri Kaydet'i seçin.

4. Dağıtmak istediğiniz Analiz kuralları için Dağıtmaya hazır iki durumlu düğmesini açın.

5. Gözden geçirme tamamlandığında Gözden geçir ve geçir'i seçin.

Analiz kurallarını dağıtma

1. Dağıt'ı seçin.

   Çeviri Türü	Dağıtılan kaynak
   Kutudan çıktı	Eşleşen analiz kuralı şablonlarını içeren İçerik hub'ından ilgili çözümler yüklenir. Eşleşen kurallar devre dışı durumunda etkin analiz kuralları olarak dağıtılır. Daha fazla bilgi için bkz . Analiz kuralı şablonlarını yönetme.
   Özel	Kurallar devre dışı durumunda etkin analiz kuralları olarak dağıtılır.

2. (İsteğe bağlı) Analiz kuralları'nı seçin ve Şablonları Dışarı Aktar'ı seçerek BUNLARı CI/CD veya özel dağıtım süreçlerinizde kullanılmak üzere ARM şablonları olarak indirin.

   

3. SIEM Geçişi deneyiminden çıkmadan önce, Analytics dağıtımının özetini tutmak için Geçiş Özetini İndir'i seçin.

   

Kuralları doğrulama ve etkinleştirme

1. Microsoft Sentinel Analytics'ten dağıtılan kuralların özelliklerini görüntüleyin.

   • Geçirilen tüm kurallar [Splunk Geçirilen] Ön Eki ile dağıtılır.
   • Geçirilen tüm kurallar devre dışı olarak ayarlanır.
   • Aşağıdaki özellikler, mümkün olan her yerde Splunk dışarı aktarmasından korunur:
     Severity
queryFrequency
queryPeriod
triggerOperator
triggerThreshold
suppressionDuration

2. Kuralları gözden geçirip doğruladıktan sonra etkinleştirin.

   

Sonraki adım

Bu makalede, SIEM geçiş deneyimini kullanmayı öğrendiniz.

Splunk algılama kurallarını geçirme