你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用 SIEM 迁移体验迁移到 Microsoft Sentinel

  • 项目
  • 适用于:
    Microsoft Sentinel in the Azure portal

将所有安全监视用例的 SIEM 迁移到 Microsoft Sentinel。 SIEM 迁移体验中的自动帮助简化了迁移。

SIEM 迁移体验中当前包括以下功能:

Splunk

  • 该体验侧重于将 Splunk 安全监视迁移到 Microsoft Sentinel。
  • 该体验仅支持将 Splunk 检测迁移到 Microsoft Sentinel 分析规则。

先决条件

你需要在源 SIEM 中满足以下要求:

Splunk

  • 该迁移体验与 Splunk Enterprise 和 Splunk Cloud 版本兼容。
  • 如需导出所有 Splunk 警报,则需要 Splunk 管理员角色。 有关详细信息,请参阅 Splunk 基于角色的用户访问
  • 将历史数据从 Splunk 导出到 Log Analytics 工作区中的相关表。 有关详细信息,请参阅 从 Splunk 导出历史数据

你需要在目标 Microsoft Sentinel 上满足以下要求:

  • SIEM 迁移体验会部署分析规则。 此功能需要 Microsoft Sentinel 参与者角色。 有关详细信息,请参阅 Microsoft Sentinel 中的权限
  • 将以前在源 SIEM 中使用的安全数据引入 Microsoft Sentinel。 安装并启用现成 (OOTB) 的数据连接器,以匹配源 SIEM 中的安全监视资产。

转换 Splunk 检测规则

Splunk 检测规则的核心是搜索处理语言 (SPL)。 SIEM 迁移体验会系统地将每个 Splunk 规则的 SPL 转换为 Kusto 查询语言 (KQL)。 请仔细审查所做的转换并进行调整,以确保迁移的规则在 Microsoft Sentinel 工作区中按预期运行。 有关检测规则转换中重要概念的详细信息,请参阅迁移 Splunk 检测规则

当前功能:

  • 使用单个数据源转换简单查询
  • Splunk 转 Kusto 速查表一文中列出了各种直接转换
  • 请使用编辑功能审查转换后的查询错误反馈,以节省转换检测规则过程中所用的时间
  • 转换后的查询的转换状态为已完成

以下是我们继续开发转换技术时非常重要的一些优先事项:

  • 从 Splunk 通用信息模型 (CIM) 到 Microsoft Sentinel 的高级安全信息模型 (ASIM) 的转换支持
  • 支持 Splunk 宏
  • 支持 Splunk 查找
  • 转换查询和关联多个数据源中的事件的复杂关联逻辑

开启 SIEM 迁移体验

  1. Azure 门户中导航到 Microsoft Sentinel,在“内容管理”下,选择“内容中心”

  2. 选择“SIEM 迁移”

显示包含 SIEM 迁移体验菜单项的内容中心的屏幕截图。

上传 Splunk 检测

  1. 在 Splunk Web 中,从“应用”面板中选择“搜索和报告”

  2. 运行以下查询:

    | rest splunk_server=local count=0 /services/saved/searches | search disabled=0 | table title,search ,*

  3. 选择导出按钮,然后选择 JSON 作为格式。

  4. 保存文件。

  5. 上传导出的 Splunk JSON 文件。

注意

Splunk 导出内容必须是有效的 JSON 文件,上传大小限制为 50 MB。

显示“上传文件”选项卡的屏幕截图。

配置规则

  1. 选择“配置规则”

  2. 查看有关 Splunk 导出的分析。

    • “名称”是原始 Splunk 检测规则名称
    • “转换类型”指示 Sentinel OOTB 分析规则是否与 Splunk 检测逻辑相匹配。
    • “转换状态”具有以下值
      • “完全转换”指示此规则中的查询已完全转换为 KQL
      • “部分转换”指示此规则中的查询未完全转换为 KQL
      • “未转换”指示转换时出错
      • “手动转换”在查看并保存规则时使用

    显示自动规则映射结果的屏幕截图。

    注意

    请检查相应数据类型的架构和规则逻辑中使用的字段。 Microsoft Sentinel“分析”要求该数据类型在启用规则之前便存在于 Log Analytics 工作区中。 还有很重要的一点是,查询中使用的字段对于定义的数据类型架构必须是准确的。

  3. 突出显示用于解析转换的规则,然后选择“编辑”。 如果对结果满意,请选择“保存更改”

  4. 打开要部署的分析规则的“准备部署”开关

  5. 审查完成后,请选择“审查并迁移”

部署分析规则

  1. 选择“部署”。

    翻译类型 已部署资源
    即开即用 已安装“内容中心”中包含匹配分析规则模板的相应解决方案。 匹配的规则在禁用状态下部署为活动分析规则。

    有关详细信息,请参阅管理分析规则模板
    自定义 规则在禁用状态下部署为活动分析规则。

  2. (可选)选择分析规则并选择“导出模板”将其下载为 ARM 模板,以便在 CI/CD 或自定义部署过程中使用

    显示“查看和迁移”选项卡的屏幕截图,其中突出显示了“导出模板”按钮。

  3. 退出 SIEM 迁移体验之前,请选择“下载迁移摘要”以保留分析部署的摘要

    显示“查看和迁移”选项卡中的“下载迁移摘要”按钮的屏幕截图。

验证和启用规则

  1. 在 Microsoft Sentinel“分析”中查看已部署规则的属性。

    • 所有迁移的规则都在部署时附带了前缀“[Splunk 迁移]”
    • 所有迁移的规则都设置为已禁用。
    • 在可能的情况下,从 Splunk 导出时会保留以下属性:
      Severity
      queryFrequency
      queryPeriod
      triggerOperator
      triggerThreshold
      suppressionDuration

  2. 查看并验证规则后启用规则。

    显示分析规则的屏幕截图,其中突出显示了已部署的 Splunk 规则准备启用。

下一步

本文介绍了如何使用 SIEM 迁移体验。

迁移 Splunk 检测规则