Migrálás a Microsoft Sentinelbe a SIEM migrálási felületével
Migrálja a SIEM-et a Microsoft Sentinelbe az összes biztonsági monitorozási használati esethez. A SIEM-migrálási felület automatikus segítsége leegyszerűsíti a migrálást.
Ezek a funkciók jelenleg a SIEM migrálási felület részét képezik:
Splunk
- A felhasználói élmény középpontjában a Splunk biztonsági monitorozás microsoft sentinelbe való migrálása és a beépített (OOTB) elemzési szabályok leképezése áll, ahol csak lehetséges.
- A felület támogatja a Splunk-észlelések Microsoft Sentinel-elemzési szabályokba való migrálását, beleértve a Splunk-adatforrások és -keresések leképezését.
Előfeltételek
A forrás SIEM-ből a következőkre van szüksége:
Splunk
- A migrálási felület kompatibilis a Splunk Enterprise és a Splunk Cloud kiadásokkal is.
- Az összes Splunk-riasztás exportálásához Splunk rendszergazdai szerepkör szükséges. További információ: Splunk szerepköralapú felhasználói hozzáférés.
- Exportálja az előzményadatokat a Splunkból a Log Analytics-munkaterület megfelelő tábláiba. További információ: Előzményadatok exportálása a Splunkból.
A célon a következőre van szüksége: Microsoft Sentinel:
A SIEM migrálási felülete elemzési szabályokat helyez üzembe. Ehhez a képességhez a Microsoft Sentinel közreműködői szerepköre szükséges. További információ: Engedélyek a Microsoft Sentinelben.
A forrás SIEM-ben korábban használt biztonsági adatok betöltése a Microsoft Sentinelbe. Az elemzési szabály lefordítása és engedélyezése előtt a szabály adatforrásának szerepelnie kell a Log Analytics-munkaterületen. Telepítse és engedélyezze a beépített (OOTB) adatösszekötőket a Content Hubban, hogy megfeleljen a forrás SIEM biztonsági monitorozási tulajdonságának. Ha nincs adatösszekötő, hozzon létre egy egyéni betöltési folyamatot.
További információért tekintse át az alábbi cikkeket:
Hozzon létre Microsoft Sentinel-figyelőlistákat a Splunk-keresésekből, hogy a használt mezők megfeleltetve legyenek a lefordított elemzési szabályokhoz.
Splunk-észlelési szabályok fordítása
A Splunk-észlelési szabályok középpontjában a keresésfeldolgozó nyelv (SPL) áll. A SIEM migrálási felülete szisztematikusan lefordítja az SPL-t a Kusto lekérdezési nyelvére (KQL) minden egyes Splunk-szabályhoz. Alaposan tekintse át a fordításokat, és végezze el a módosításokat, hogy a migrált szabályok a Microsoft Sentinel-munkaterületen rendeltetésszerűen működjenek. Az észlelési szabályok fordításában fontos fogalmakkal kapcsolatos további információkért tekintse meg a Splunk-észlelési szabályok migrálását ismertető témakört.
Jelenlegi képességek:
- Splunk-észlelések leképezése OOTB Microsoft Sentinel-elemzési szabályokra.
- Egyszerű lekérdezések lefordítása egyetlen adatforrással.
- Az SPL automatikus fordítása A KQL-be a cikkben felsorolt leképezésekhez, a Splunk to Kusto csalilap.
- A sémaleképezés (előzetes verzió) logikai hivatkozásokat hoz létre a lefordított szabályokhoz a Splunk-adatforrások Microsoft Sentinel-táblákhoz való leképezésével, a Splunk-keresések pedig figyelőlistákhoz.
- A lefordított lekérdezések áttekintése hibavisszajelzést biztosít szerkesztési képességgel, így időt takaríthat meg az észlelési szabály fordítási folyamatában.
- Fordítási állapot , amely azt jelzi, hogy a teljes SPL-szintaxis hogyan lesz lefordítva a KQL nyelvhelyességi szintre nyelvtani szinten.
- Splunk makrók fordításának támogatása beágyazott helyettesítő makródefinícióval az SPL-lekérdezésekben.
- Splunk Common Information Model (CIM) a Microsoft Sentinel Advanced Security Information Model (ASIM) fordítási támogatásának.
- A migrálás előtti és a migrálás utáni összefoglaló letölthető.
A SIEM migrálási felületének elindítása
Keresse meg a Microsoft Sentinel SIEM migrálási felületét az Azure Portalon vagy a Defender portálon, a Tartalomkezelési>tartalomközpontban.
Válassza a SIEM-migrálás lehetőséget.
Splunk-észlelések feltöltése
A Splunk Webben válassza a Keresés és jelentéskészítés lehetőséget az Alkalmazások panelen.
Futtassa az alábbi lekérdezést:
|rest splunk_server=local count=0 /servicesNS/-/-/saved/searches |search disabled=0 |search alert_threshold != "" |table title,search,description,cron_schedule,dispatch.earliest_time,alert.severity,alert_comparator,alert_threshold,alert.suppress.period,id |tojson|table _raw |rename _raw as alertrules|mvcombine delim=", " alertrules |append [| rest splunk_server=local count=0 /servicesNS/-/-/admin/macros|table title,definition,args,iseval|tojson|table _raw |rename _raw as macros|mvcombine delim=", " macros] |filldown alertrules |tail 1
Válassza az exportálás gombot, és válassza a JSON formátumot.
Mentse a fájlt.
Töltse fel az exportált Splunk JSON-fájlt.
Feljegyzés
A Splunk-exportálásnak érvényes JSON-fájlnak kell lennie, és a feltöltés mérete legfeljebb 50 MB lehet.
Séma-hozzárendelés
Sémaleképezéssel pontosan meghatározhatja, hogy az elemzési szabály logikájában szereplő adattípusok és mezők hogyan legyenek leképezve az SPL-lekérdezésekből a Microsoft Sentinel-táblákba kinyert források alapján.
Adatforrások
Az ismert források, például a Splunk CIM-sémák és adatmodellek automatikusan ASIM-sémákhoz vannak leképezve, ha vannak ilyenek. A Splunk-észlelésben használt egyéb forrásokat manuálisan kell leképezni a Microsoft Sentinel- vagy Log Analytics-táblákra. A leképezési sémák hierarchikusak, így a Splunk-források 1:1-et képeznek le Microsoft Sentinel-táblákkal és a források mezőivel.
A sémaleképezés befejezése után a manuális frissítések a leképezési állapotban "Manuálisan megfeleltetve" jelennek meg. A módosítások a szabályok lefordításakor a következő lépésben lesznek figyelembe véve. A leképezés munkaterületenként lesz mentve, így nem kell megismételnie.
Keresések
A Splunk-keresések a Microsoft Sentinel figyelőlistáihoz hasonlíthatók, amelyek a Microsoft Sentinel-környezet eseményeivel korrelálandó válogatott mező-érték kombinációk listájai. Mivel a Splunk-keresések az SPL-lekérdezések határain kívül vannak definiálva és elérhetők, előfeltételként létre kell hozni az ezzel egyenértékű Microsoft Sentinel figyelőlistát. A sémaleképezés ezután automatikusan megkeresi a feltöltött Splunk-lekérdezéseket, és leképezi őket a Sentinel figyelőlistáira.
További információ: Figyelőlista létrehozása.
Az SPL-lekérdezések a keresésekre hivatkoznak a lookup
, inputlookup
és outputlookup
kulcsszavak használatával. A outputlookup
művelet adatokat ír egy keresésbe, és a fordítás nem támogatja. A SIEM migrálási fordítómotor a _GetWatchlist()
KQL függvénnyel megfelelteti a megfelelő Sentinel-figyelőlistát, valamint más KQL-függvényeket a szabálylogika végrehajtásához.
Ha egy Splunk-keresés nem rendelkezik megfeleltetett figyelőlistával, a fordítómotor a figyelőlista és a mezői számára is ugyanazt a nevet őrzi, mint a Splunk-keresés és a mezők.
Szabályok konfigurálása
Válassza a Szabályok konfigurálása lehetőséget.
Tekintse át a Splunk-exportálás elemzését.
- A név az eredeti Splunk-észlelési szabály neve.
- A fordítás típusa azt jelzi, hogy egy Sentinel OOTB-elemzési szabály megfelel-e a Splunk-észlelési logikának.
-
A fordítási állapot visszajelzést ad arról, hogy a Splunk-észlelés szintaxisa hogyan lett lefordítva a KQL-be. A fordítási állapot nem teszteli a szabályt, és nem ellenőrzi az adatforrást.
- Teljesen lefordítva – A szabály lekérdezései teljes mértékben le lettek fordítva a KQL-be, de a szabálylogika és az adatforrás nem lett érvényesítve.
- Részben lefordítva – A szabályban szereplő lekérdezések nem lettek teljes mértékben lefordítva a KQL-be.
- Nem lefordítva – Fordítási hibát jelez.
- Manuálisan lefordítva – Ezt az állapotot akkor állítja be a rendszer, ha bármely szabályt szerkeszt és ment.
Jelöljön ki egy szabályt a fordítás feloldásához, és válassza a Szerkesztés lehetőséget. Ha elégedett az eredménnyel, válassza a Módosítások mentése lehetőséget.
Kapcsolja be az Üzembe helyezés kapcsolót az üzembe helyezni kívánt elemzési szabályokhoz.
Ha a felülvizsgálat befejeződött, válassza a Véleményezés és migrálás lehetőséget.
Az Analytics-szabályok üzembe helyezése
Válassza az Üzembe helyezés lehetőséget.
Fordítás típusa Üzembe helyezett erőforrás A dobozon kívül Telepítve vannak a content hub megfelelő megoldásai, amelyek tartalmazzák a megfeleltethető elemzési szabálysablonokat. A egyeztetett szabályok aktív elemzési szabályokként vannak üzembe helyezve letiltott állapotban.
További információt az Elemzési szabálysablonok kezelése című témakörben talál.Egyéni A szabályok aktív elemzési szabályokként vannak üzembe helyezve letiltott állapotban. (Nem kötelező) Válassza az Exportálási sablonok lehetőséget, ha az összes lefordított szabályt ARM-sablonként szeretné letölteni a CI/CD-ben vagy az egyéni üzembehelyezési folyamatokban való használatra.
A SIEM migrálási felületének elhagyása előtt válassza a Migrálási összefoglalás letöltése lehetőséget az Analytics-telepítés összegzésének megőrzéséhez.
Szabályok ellenőrzése és engedélyezése
Tekintse meg az üzembe helyezett szabályok tulajdonságait a Microsoft Sentinel Analyticsben.
- Az összes migrált szabály az [Splunk Migrated] előtaggal van üzembe helyezve.
- Az összes migrált szabály le van tiltva.
- A következő tulajdonságok megmaradnak a Splunk-exportálásból, ahol csak lehetséges:
Severity
queryFrequency
queryPeriod
triggerOperator
triggerThreshold
suppressionDuration
A szabályok áttekintése és ellenőrzése után engedélyezze a szabályokat.
Kapcsolódó tartalom
Ebben a cikkben megtanulta, hogyan használhatja a SIEM migrálási felületét.
A SIEM migrálási felületével kapcsolatos további információkért tekintse meg a következő cikkeket: