你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
使用 SIEM 迁移体验迁移到 Microsoft Sentinel
将所有安全监视用例的 SIEM 迁移到 Microsoft Sentinel。 SIEM 迁移体验中的自动帮助简化了迁移。
SIEM 迁移体验中当前包括以下功能:
Splunk
- 该体验侧重于将 Splunk 安全监视迁移到 Microsoft Sentinel。
- 该体验仅支持将 Splunk 检测迁移到 Microsoft Sentinel 分析规则。
先决条件
你需要在源 SIEM 中满足以下要求:
Splunk
- 该迁移体验与 Splunk Enterprise 和 Splunk Cloud 版本兼容。
- 如需导出所有 Splunk 警报,则需要 Splunk 管理员角色。 有关详细信息,请参阅 Splunk 基于角色的用户访问。
- 将历史数据从 Splunk 导出到 Log Analytics 工作区中的相关表。 有关详细信息,请参阅 从 Splunk 导出历史数据
你需要在目标 Microsoft Sentinel 上满足以下要求:
- SIEM 迁移体验会部署分析规则。 此功能需要 Microsoft Sentinel 参与者角色。 有关详细信息,请参阅 Microsoft Sentinel 中的权限。
- 将以前在源 SIEM 中使用的安全数据引入 Microsoft Sentinel。 安装并启用现成 (OOTB) 的数据连接器,以匹配源 SIEM 中的安全监视资产。
- 如果尚未安装该数据连接器,请在“内容中心”中查找相关解决方案。
- 如果不存在任何数据连接器,请创建自定义引入管道。
有关详细信息,请参阅发现和管理 Microsoft Sentinel 现成内容或自定义数据引入和转换。
转换 Splunk 检测规则
Splunk 检测规则的核心是搜索处理语言 (SPL)。 SIEM 迁移体验会系统地将每个 Splunk 规则的 SPL 转换为 Kusto 查询语言 (KQL)。 请仔细审查所做的转换并进行调整,以确保迁移的规则在 Microsoft Sentinel 工作区中按预期运行。 有关检测规则转换中重要概念的详细信息,请参阅迁移 Splunk 检测规则。
当前功能:
- 使用单个数据源转换简单查询
- Splunk 转 Kusto 速查表一文中列出了各种直接转换
- 请使用编辑功能审查转换后的查询错误反馈,以节省转换检测规则过程中所用的时间
- 转换后的查询的转换状态为已完成
以下是我们继续开发转换技术时非常重要的一些优先事项:
- 从 Splunk 通用信息模型 (CIM) 到 Microsoft Sentinel 的高级安全信息模型 (ASIM) 的转换支持
- 支持 Splunk 宏
- 支持 Splunk 查找
- 转换查询和关联多个数据源中的事件的复杂关联逻辑
开启 SIEM 迁移体验
在 Azure 门户中导航到 Microsoft Sentinel,在“内容管理”下,选择“内容中心”。
选择“SIEM 迁移”。
上传 Splunk 检测
在 Splunk Web 中,从“应用”面板中选择“搜索和报告”。
运行以下查询:
| rest splunk_server=local count=0 /services/saved/searches | search disabled=0 | table title,search ,*
选择导出按钮,然后选择 JSON 作为格式。
保存文件。
上传导出的 Splunk JSON 文件。
注意
Splunk 导出内容必须是有效的 JSON 文件,上传大小限制为 50 MB。
配置规则
选择“配置规则”。
查看有关 Splunk 导出的分析。
- “名称”是原始 Splunk 检测规则名称。
- “转换类型”指示 Sentinel OOTB 分析规则是否与 Splunk 检测逻辑相匹配。
- “转换状态”具有以下值:
- “完全转换”指示此规则中的查询已完全转换为 KQL
- “部分转换”指示此规则中的查询未完全转换为 KQL
- “未转换”指示转换时出错
- “手动转换”在查看并保存规则时使用
注意
请检查相应数据类型的架构和规则逻辑中使用的字段。 Microsoft Sentinel“分析”要求该数据类型在启用规则之前便存在于 Log Analytics 工作区中。 还有很重要的一点是,查询中使用的字段对于定义的数据类型架构必须是准确的。
突出显示用于解析转换的规则,然后选择“编辑”。 如果对结果满意,请选择“保存更改”。
打开要部署的分析规则的“准备部署”开关。
审查完成后,请选择“审查并迁移”。
部署分析规则
选择“部署”。
翻译类型 已部署资源 即开即用 已安装“内容中心”中包含匹配分析规则模板的相应解决方案。 匹配的规则在禁用状态下部署为活动分析规则。
有关详细信息,请参阅管理分析规则模板。自定义 规则在禁用状态下部署为活动分析规则。 (可选)选择分析规则并选择“导出模板”将其下载为 ARM 模板,以便在 CI/CD 或自定义部署过程中使用。
退出 SIEM 迁移体验之前,请选择“下载迁移摘要”以保留分析部署的摘要。
验证和启用规则
在 Microsoft Sentinel“分析”中查看已部署规则的属性。
- 所有迁移的规则都在部署时附带了前缀“[Splunk 迁移]”。
- 所有迁移的规则都设置为已禁用。
- 在可能的情况下,从 Splunk 导出时会保留以下属性:
Severity
queryFrequency
queryPeriod
triggerOperator
triggerThreshold
suppressionDuration
查看并验证规则后启用规则。
下一步
本文介绍了如何使用 SIEM 迁移体验。