Megosztás a következőn keresztül:


Migrálás a Microsoft Sentinelbe a SIEM migrálási felületével

Migrálja a SIEM-et a Microsoft Sentinelbe az összes biztonsági monitorozási használati esethez. A SIEM-migrálási felület automatikus segítsége leegyszerűsíti a migrálást.

Ezek a funkciók jelenleg a SIEM migrálási felület részét képezik:

Splunk

  • A felhasználói élmény középpontjában a Splunk biztonsági monitorozás microsoft sentinelbe való migrálása és a beépített (OOTB) elemzési szabályok leképezése áll, ahol csak lehetséges.
  • A felület támogatja a Splunk-észlelések Microsoft Sentinel-elemzési szabályokba való migrálását, beleértve a Splunk-adatforrások és -keresések leképezését.

Előfeltételek

A forrás SIEM-ből a következőkre van szüksége:

Splunk

A célon a következőre van szüksége: Microsoft Sentinel:

  • A SIEM migrálási felülete elemzési szabályokat helyez üzembe. Ehhez a képességhez a Microsoft Sentinel közreműködői szerepköre szükséges. További információ: Engedélyek a Microsoft Sentinelben.

  • A forrás SIEM-ben korábban használt biztonsági adatok betöltése a Microsoft Sentinelbe. Az elemzési szabály lefordítása és engedélyezése előtt a szabály adatforrásának szerepelnie kell a Log Analytics-munkaterületen. Telepítse és engedélyezze a beépített (OOTB) adatösszekötőket a Content Hubban, hogy megfeleljen a forrás SIEM biztonsági monitorozási tulajdonságának. Ha nincs adatösszekötő, hozzon létre egy egyéni betöltési folyamatot.

    További információért tekintse át az alábbi cikkeket:

  • Hozzon létre Microsoft Sentinel-figyelőlistákat a Splunk-keresésekből, hogy a használt mezők megfeleltetve legyenek a lefordított elemzési szabályokhoz.

Splunk-észlelési szabályok fordítása

A Splunk-észlelési szabályok középpontjában a keresésfeldolgozó nyelv (SPL) áll. A SIEM migrálási felülete szisztematikusan lefordítja az SPL-t a Kusto lekérdezési nyelvére (KQL) minden egyes Splunk-szabályhoz. Alaposan tekintse át a fordításokat, és végezze el a módosításokat, hogy a migrált szabályok a Microsoft Sentinel-munkaterületen rendeltetésszerűen működjenek. Az észlelési szabályok fordításában fontos fogalmakkal kapcsolatos további információkért tekintse meg a Splunk-észlelési szabályok migrálását ismertető témakört.

Jelenlegi képességek:

  • Splunk-észlelések leképezése OOTB Microsoft Sentinel-elemzési szabályokra.
  • Egyszerű lekérdezések lefordítása egyetlen adatforrással.
  • Az SPL automatikus fordítása A KQL-be a cikkben felsorolt leképezésekhez, a Splunk to Kusto csalilap.
  • A sémaleképezés (előzetes verzió) logikai hivatkozásokat hoz létre a lefordított szabályokhoz a Splunk-adatforrások Microsoft Sentinel-táblákhoz való leképezésével, a Splunk-keresések pedig figyelőlistákhoz.
  • A lefordított lekérdezések áttekintése hibavisszajelzést biztosít szerkesztési képességgel, így időt takaríthat meg az észlelési szabály fordítási folyamatában.
  • Fordítási állapot , amely azt jelzi, hogy a teljes SPL-szintaxis hogyan lesz lefordítva a KQL nyelvhelyességi szintre nyelvtani szinten.
  • Splunk makrók fordításának támogatása beágyazott helyettesítő makródefinícióval az SPL-lekérdezésekben.
  • Splunk Common Information Model (CIM) a Microsoft Sentinel Advanced Security Information Model (ASIM) fordítási támogatásának.
  • A migrálás előtti és a migrálás utáni összefoglaló letölthető.

A SIEM migrálási felületének elindítása

  1. Keresse meg a Microsoft Sentinel SIEM migrálási felületét az Azure Portalon vagy a Defender portálon, a Tartalomkezelési>tartalomközpontban.

  2. Válassza a SIEM-migrálás lehetőséget.

Képernyőkép az Azure Portalról származó tartalomközpontról a SIEM migrálási felületének menüpontjával.

Splunk-észlelések feltöltése

  1. A Splunk Webben válassza a Keresés és jelentéskészítés lehetőséget az Alkalmazások panelen.

  2. Futtassa az alábbi lekérdezést:

    |rest splunk_server=local count=0 /servicesNS/-/-/saved/searches
    |search disabled=0 
    |search alert_threshold != ""
    |table title,search,description,cron_schedule,dispatch.earliest_time,alert.severity,alert_comparator,alert_threshold,alert.suppress.period,id
    |tojson|table _raw
    |rename _raw as alertrules|mvcombine delim=", " alertrules
    |append [| rest splunk_server=local count=0 /servicesNS/-/-/admin/macros|table title,definition,args,iseval|tojson|table _raw |rename _raw as macros|mvcombine delim=", " macros]
    |filldown alertrules
    |tail 1
    
  3. Válassza az exportálás gombot, és válassza a JSON formátumot.

  4. Mentse a fájlt.

  5. Töltse fel az exportált Splunk JSON-fájlt.

Feljegyzés

A Splunk-exportálásnak érvényes JSON-fájlnak kell lennie, és a feltöltés mérete legfeljebb 50 MB lehet.

Képernyőkép a Fájlok feltöltése lapról.

Séma-hozzárendelés

Sémaleképezéssel pontosan meghatározhatja, hogy az elemzési szabály logikájában szereplő adattípusok és mezők hogyan legyenek leképezve az SPL-lekérdezésekből a Microsoft Sentinel-táblákba kinyert források alapján.

Adatforrások

Az ismert források, például a Splunk CIM-sémák és adatmodellek automatikusan ASIM-sémákhoz vannak leképezve, ha vannak ilyenek. A Splunk-észlelésben használt egyéb forrásokat manuálisan kell leképezni a Microsoft Sentinel- vagy Log Analytics-táblákra. A leképezési sémák hierarchikusak, így a Splunk-források 1:1-et képeznek le Microsoft Sentinel-táblákkal és a források mezőivel.

Képernyőkép az adatforrások sémaleképezési (előzetes verzió) beállításairól.

A sémaleképezés befejezése után a manuális frissítések a leképezési állapotban "Manuálisan megfeleltetve" jelennek meg. A módosítások a szabályok lefordításakor a következő lépésben lesznek figyelembe véve. A leképezés munkaterületenként lesz mentve, így nem kell megismételnie.

Keresések

A Splunk-keresések a Microsoft Sentinel figyelőlistáihoz hasonlíthatók, amelyek a Microsoft Sentinel-környezet eseményeivel korrelálandó válogatott mező-érték kombinációk listájai. Mivel a Splunk-keresések az SPL-lekérdezések határain kívül vannak definiálva és elérhetők, előfeltételként létre kell hozni az ezzel egyenértékű Microsoft Sentinel figyelőlistát. A sémaleképezés ezután automatikusan megkeresi a feltöltött Splunk-lekérdezéseket, és leképezi őket a Sentinel figyelőlistáira.

További információ: Figyelőlista létrehozása.

Képernyőkép a Splunk-keresés Microsoft Sentinel-figyelőlistára való manuális leképezéséről.

Az SPL-lekérdezések a keresésekre hivatkoznak a lookup, inputlookupés outputlookup kulcsszavak használatával. A outputlookup művelet adatokat ír egy keresésbe, és a fordítás nem támogatja. A SIEM migrálási fordítómotor a _GetWatchlist() KQL függvénnyel megfelelteti a megfelelő Sentinel-figyelőlistát, valamint más KQL-függvényeket a szabálylogika végrehajtásához.

Ha egy Splunk-keresés nem rendelkezik megfeleltetett figyelőlistával, a fordítómotor a figyelőlista és a mezői számára is ugyanazt a nevet őrzi, mint a Splunk-keresés és a mezők.

Szabályok konfigurálása

  1. Válassza a Szabályok konfigurálása lehetőséget.

  2. Tekintse át a Splunk-exportálás elemzését.

    • A név az eredeti Splunk-észlelési szabály neve.
    • A fordítás típusa azt jelzi, hogy egy Sentinel OOTB-elemzési szabály megfelel-e a Splunk-észlelési logikának.
    • A fordítási állapot visszajelzést ad arról, hogy a Splunk-észlelés szintaxisa hogyan lett lefordítva a KQL-be. A fordítási állapot nem teszteli a szabályt, és nem ellenőrzi az adatforrást.
      • Teljesen lefordítva – A szabály lekérdezései teljes mértékben le lettek fordítva a KQL-be, de a szabálylogika és az adatforrás nem lett érvényesítve.
      • Részben lefordítva – A szabályban szereplő lekérdezések nem lettek teljes mértékben lefordítva a KQL-be.
      • Nem lefordítva – Fordítási hibát jelez.
      • Manuálisan lefordítva – Ezt az állapotot akkor állítja be a rendszer, ha bármely szabályt szerkeszt és ment.

    Képernyőkép az automatikus szabályleképezés eredményeiről.

  3. Jelöljön ki egy szabályt a fordítás feloldásához, és válassza a Szerkesztés lehetőséget. Ha elégedett az eredménnyel, válassza a Módosítások mentése lehetőséget.

  4. Kapcsolja be az Üzembe helyezés kapcsolót az üzembe helyezni kívánt elemzési szabályokhoz.

  5. Ha a felülvizsgálat befejeződött, válassza a Véleményezés és migrálás lehetőséget.

Az Analytics-szabályok üzembe helyezése

  1. Válassza az Üzembe helyezés lehetőséget.

    Fordítás típusa Üzembe helyezett erőforrás
    A dobozon kívül Telepítve vannak a content hub megfelelő megoldásai, amelyek tartalmazzák a megfeleltethető elemzési szabálysablonokat. A egyeztetett szabályok aktív elemzési szabályokként vannak üzembe helyezve letiltott állapotban.

    További információt az Elemzési szabálysablonok kezelése című témakörben talál.
    Egyéni A szabályok aktív elemzési szabályokként vannak üzembe helyezve letiltott állapotban.
  2. (Nem kötelező) Válassza az Exportálási sablonok lehetőséget, ha az összes lefordított szabályt ARM-sablonként szeretné letölteni a CI/CD-ben vagy az egyéni üzembehelyezési folyamatokban való használatra.

    Képernyőkép a Sablonok exportálása gombot kiemelő Véleményezés és migrálás lapról.

  3. A SIEM migrálási felületének elhagyása előtt válassza a Migrálási összefoglalás letöltése lehetőséget az Analytics-telepítés összegzésének megőrzéséhez.

    Képernyőkép a Migrálás összegzésének letöltése gombról a Véleményezés és migrálás lapról.

Szabályok ellenőrzése és engedélyezése

  1. Tekintse meg az üzembe helyezett szabályok tulajdonságait a Microsoft Sentinel Analyticsben.

    • Az összes migrált szabály az [Splunk Migrated] előtaggal van üzembe helyezve.
    • Az összes migrált szabály le van tiltva.
    • A következő tulajdonságok megmaradnak a Splunk-exportálásból, ahol csak lehetséges:
      Severity
      queryFrequency
      queryPeriod
      triggerOperator
      triggerThreshold
      suppressionDuration
  2. A szabályok áttekintése és ellenőrzése után engedélyezze a szabályokat.

    Képernyőkép az Elemzési szabályokról, amelyekben az üzembe helyezett Splunk-szabályok készen állnak az engedélyezésre.

Ebben a cikkben megtanulta, hogyan használhatja a SIEM migrálási felületét.

A SIEM migrálási felületével kapcsolatos további információkért tekintse meg a következő cikkeket: