Migrieren zu Microsoft Sentinel mit der SIEM-Migrationserfahrung

  • Artikel
  • Gilt für::
    Microsoft Sentinel in the Azure portal

Migrieren Sie Ihr SIEM zu Microsoft Sentinel für alle Anwendungsfälle der Sicherheitsüberwachung. Die automatisierte Unterstützung der SIEM-Migrationserfahrung vereinfacht Ihre Migration.

Diese Features sind derzeit in der SIEM-Migrationsumgebung enthalten:

Splunk

  • Die Erfahrung konzentriert sich auf die Migration der Splunk-Sicherheitsüberwachung zu Microsoft Sentinel.
  • Die Erfahrung unterstützt nur die Migration von Splunk-Erkennungen zu Microsoft Sentinel-Analyseregeln.

Voraussetzungen

Sie benötigen Folgendes aus der SIEM-Quelle:

Splunk

  • Die Migrationsumgebung ist sowohl mit Splunk Enterprise- als auch mit Splunk Cloud-Editionen kompatibel.
  • Zum Exportieren aller Splunk-Warnungen ist eine Splunk-Administratorrolle erforderlich. Weitere Informationen finden Sie unter rollenbasierten Benutzerzugriff von Splunk.
  • Exportieren Sie die historischen Daten aus Splunk in die relevanten Tabellen im Log Analytics-Arbeitsbereich. Weitere Informationen finden Sie unter Exportieren von historischen Daten aus Splunk

Sie benötigen Folgendes für das Ziel, Microsoft Sentinel:

  • Die SIEM-Migrationsumgebung stellt Analyseregeln bereit. Für diese Funktion ist die Rolle Microsoft Sentinel-Mitwirkender erforderlich. Weitere Informationen hierzu finden Sie unter Berechtigungen in Microsoft Sentinel.
  • Erfasste Sicherheitsdaten, die zuvor in Ihrer Quell-SIEM-Quelle in Microsoft Sentinel verwendet wurden. Installieren und aktivieren Sie Out-of-the-Box(OOTB)-Datenconnectors, um Ihren Sicherheitsüberwachungsstatus von Ihrer Quell-SIEM zu entsprechen.

Übersetzen von Splunk-Erkennungsregeln

Kern der Splunk-Erkennungsregeln ist die Suchverarbeitungssprache (Search Processing Language, SPL). Die SIEM-Migrationsumgebung übersetzt SPL systematisch in die Kusto-Abfragesprache (KQL) für jede Splunk-Regel. Überprüfen Sie sorgfältig Übersetzungen, und nehmen Sie Anpassungen vor, um sicherzustellen, dass migrierte Regeln in Ihrem Microsoft Sentinel-Arbeitsbereich wie vorgesehen funktionieren. Weitere Informationen zu den Konzepten, die bei der Übersetzung von Erkennungsregeln wichtig sind, finden Sie unter Migrieren von Splunk-Erkennungsregeln.

Aktuelle Funktionen:

  • Übersetzen einfacher Abfragen mit einer einzelnen Datenquelle
  • Direkte Übersetzungen im Artikel, Splunk zu Kusto Spickzettel
  • Überprüfen des Feedbacks zu übersetzten Abfragefehlern mit Bearbeitungsfunktion zum Sparen von Zeit im Übersetzungsprozess für Erkennungsregel
  • Übersetzte Abfragen verfügen über einen Vollständigkeitsstatus mit Übersetzungszuständen

Hier sind einige der Prioritäten, die uns wichtig sind, während wir die Übersetzungstechnologie weiter entwickeln:

  • Splunk Common Information Model (CIM) in Microsoft Sentinels Advanced Security Information Model (ASIM)-Übersetzungsunterstützung
  • Unterstützung für Splunk-Makros
  • Unterstützung für Splunk-Lookups
  • Übersetzung komplexer Korrelationslogik, die Ereignisse in mehreren Datenquellen abfragt und korreliert

Starten der SIEM-Migrationsumgebung

  1. Navigieren Sie zu Microsoft Sentinel im Azure-Portal unter Inhaltsverwaltung und wählen Sie die Option Inhaltshub.

  2. Wählen Sie SIEM-Migration aus.

Screenshot des Inhaltshubs mit Menüelement für die SIEM-Migrationserfahrung.

Hochladen von Splunk-Erkennungen

  1. Wählen Sie in Splunk Web Suche und Reporting im Bereich Apps aus.

  2. Führen Sie die folgende Abfrage aus:

    | rest splunk_server=local count=0 /services/saved/searches | search disabled=0 | table title,search ,*

  3. Wählen Sie die Exportschaltfläche aus, und wählen Sie JSON als Format aus.

  4. Speichern Sie die Datei .

  5. Laden Sie die exportierte Splunk JSON-Datei hoch.

Hinweis

Der Splunk-Export muss eine gültige JSON-Datei sein, und die Uploadgröße ist auf 50 MB begrenzt.

Screenshot der Registerkarte „Dateien hochladen“.

Konfigurieren von Regeln

  1. Wählen Sie Regeln konfigurieren aus.

  2. Überprüfen Sie die Analyse des Splunk-Exports.

    • Der Name ist der ursprüngliche Splunk-Erkennungsregelname.
    • Übersetzungstyp gibt an, ob eine Sentinel-OOTB-Analyseregel der Splunk-Erkennungslogik entspricht.
    • Übersetzungsstatus hat die folgenden Werte:
      • Vollständig übersetzte Abfragen in dieser Regel wurden vollständig in KQL übersetzt
      • Teilweise übersetzte Abfragen in dieser Regel wurden nicht vollständig in KQL übersetzt
      • Nicht übersetzt weist auf einen Fehler bei der Übersetzung hin
      • Manuell übersetzt, wenn eine Regel überprüft und gespeichert wird

    Screenshot mit den Ergebnissen der automatischen Regelzuordnung.

    Hinweis

    Überprüfen Sie das Schema der Datentypen und Felder, die in der Regellogik verwendet werden. Microsoft Sentinel Analytics erfordert, dass der Datentyp im Log Analytics-Arbeitsbereich vorhanden ist, bevor die Regel aktiviert ist. Es ist auch wichtig, dass die in der Abfrage verwendeten Felder für das definierte Datentypschema genau sind.

  3. Markieren Sie eine Regel zum Auflösen der Übersetzung, und wählen Sie Bearbeiten aus. Wenn Sie mit den Ergebnissen zufrieden sind, wählen Sie Änderungen speichern aus.

  4. Aktivieren Sie die Bereit für die Bereitstellung-Umschaltfläche für Analyseregeln, die Sie bereitstellen möchten.

  5. Wenn die Überprüfung abgeschlossen ist, wählen Sie Überprüfen und Migrieren aus.

Bereitstellen der Analyseregeln

  1. Klicken Sie auf Bereitstellen.

    Übersetzungstyp Bereitgestellte Ressource
    Vorgefertigt Die entsprechenden Lösungen aus Content Hub, die die übereinstimmenen Analyseregelvorlagen enthalten, werden installiert. Die übereinstimmenen Regeln werden als aktive Analyseregeln im deaktivierten Zustand bereitgestellt.

    Weitere Informationen finden Sie unter Verwalten von Analytics-Regelvorlagen.
    Benutzerdefiniert Regeln werden als aktive Analyseregeln im deaktivierten Zustand bereitgestellt.

  2. (Optional) Wählen Sie Analyseregeln aus, und wählen Sie Exportieren von Vorlagen aus, um sie als ARM-Vorlagen zur Verwendung in Ihren CI/CD- oder benutzerdefinierten Bereitstellungsprozessen herunterzuladen.

    Screenshot der Registerkarte „Überprüfen und Migrieren“ mit hervorgehobener Schaltfläche „Vorlagen exportieren“.

  3. Wählen Sie vor dem Beenden der SIEM-Migrationsumgebung Zusammenfassung der Migration herunterladen aus, um eine Zusammenfassung der Analytics-Bereitstellung beizubehalten.

    Screenshot der Schaltfläche „Zusammenfassung der Migration herunterladen“ auf der Registerkarte „Überprüfen und Migrieren“.

Überprüfen und Aktivieren von Regeln

  1. Zeigen Sie die Eigenschaften der bereitgestellten Regeln aus Microsoft Sentinel Analytics an.

    • Alle migrierten Regeln werden mit dem Präfix [Splunk Migrated]bereitgestellt.
    • Alle migrierten Regeln sind auf "deaktiviert" festgelegt.
    • Die folgenden Eigenschaften werden nach Möglichkeit aus dem Splunk-Export beibehalten:
      Severity
      queryFrequency
      queryPeriod
      triggerOperator
      triggerThreshold
      suppressionDuration

  2. Aktivieren Sie Regeln, nachdem Sie sie überprüft und überprüft haben.

    Screenshot mit Analyseregeln mit hervorgehobenen bereitgestellten Splunk-Regeln, die für die Aktivierung bereit sind.

Nächster Schritt

In diesem Artikel haben Sie erfahren, wie Sie die SIEM-Migrationsumgebung verwenden.

Migrieren von Splunk-Erkennungsregeln