Migrieren zu Microsoft Sentinel mit der SIEM-Migrationsumgebung

  • Gilt für:: Microsoft Sentinel in the Microsoft Defender portal

Das SIEM-Migrationstool analysiert Splunk- und QRadar-Erkennungen, einschließlich benutzerdefinierter Erkennungen, und empfiehlt am besten geeignete Microsoft Sentinel Erkennungsregeln. Außerdem werden Empfehlungen für Datenconnectors bereitgestellt, sowohl für Microsoft- als auch für Drittanbieterconnectors, die im Content Hub verfügbar sind, um die empfohlenen Erkennungen zu ermöglichen. Kunden können die Migration nachverfolgen, indem sie jedem Empfehlungs-Karte die richtigen status zuweisen.

Hinweis

Das alte Migrationstool ist veraltet. In diesem Artikel wird die aktuelle SIEM-Migrationserfahrung beschrieben.

Die SIEM-Migrationsumgebung umfasst die folgenden Features:

  • Die Erfahrung konzentriert sich auf die Migration der Splunk- und QRadar-Sicherheitsüberwachung zu Microsoft Sentinel und das Zuordnen von OOTB-Analyseregeln (Out-of-the-Box) nach Möglichkeit.
  • Die Erfahrung unterstützt die Migration von Splunk- und QRadar-Erkennungen zu Microsoft Sentinel Analyseregeln.

Voraussetzungen

Hinweis

Das SIEM-Migrationstool basiert auf Security Copilot, sodass Sie Security Copilot in Ihrem Mandanten aktivieren müssen, um es verwenden zu können. Es nutzt jedoch keine SCUs und generiert keine SCU-basierten Gebühren, unabhängig davon, wie Sie sie konfigurieren. Sie können Ihre Security Copilot-Einrichtung basierend auf Ihren Präferenzen für die Zugriffs- und Kostenverwaltung optimieren, und der Workflow bleibt vollständig SCU-frei. Jede SCU-Nutzung würde nur für andere Security Copilot Features gelten, die Sie absichtlich verwenden.

Screenshot der Einstellungen für die Security Copilot nutzungsüberwachung.

Exportieren von Erkennungsregeln aus Ihrem aktuellen SIEM

Führen Sie in der Such- und Berichterstellungs-App in Splunk die folgende Abfrage aus:

| rest splunk_server=local count=0 /servicesNS/-/-/saved/searches | search disabled=0 | search alert_threshold != "" | table title, search, description, cron_schedule, dispatch.earliest_time, alert.severity, alert_comparator, alert_threshold, alert.suppress.period, id, eai:acl.app, actions, action.correlationsearch.annotations, action.correlationsearch.enabled | tojson | table _raw | rename _raw as alertrules | mvcombine delim=", " alertrules | append [ | rest splunk_server=local count=0 /servicesNS/-/-/admin/macros | table title,definition,args,iseval | tojson | table _raw | rename _raw as macros | mvcombine delim=", " macros ] | filldown alertrules |tail 1

Sie benötigen eine Splunk-Administratorrolle, um alle Splunk-Warnungen zu exportieren. Weitere Informationen finden Sie unter Rollenbasierter Benutzerzugriff in Splunk.

Starten der SIEM-Migrationsumgebung

Gehen Sie nach dem Exportieren der Regeln wie folgt vor:

  1. Gehen Sie zu security.microsoft.com.

  2. Wählen Sie auf der Registerkarte SOC-Optimierungdie Option Neue SIEM einrichten aus.

    Screenshot der Option

  3. Wählen Sie Von Ihrem aktuellen SIEM migrieren aus:

    Screenshot der Option

  4. Wählen Sie das SIEM aus, von dem Sie migrieren möchten.

    Screenshot der Benutzeroberfläche, auf der der Benutzer aufgefordert wird, das SIEM auszuwählen, von dem er migriert wird.

  5. Laden Sie die Konfigurationsdaten hoch, die Sie aus Ihrem aktuellen SIEM exportiert haben, und wählen Sie Weiter aus.

    Das Migrationstool analysiert den Export und identifiziert die Anzahl der Datenquellen und Erkennungsregeln in der von Ihnen bereitgestellten Datei. Verwenden Sie diese Informationen, um zu bestätigen, dass Sie über den richtigen Export verfügen.

    Wenn die Daten nicht korrekt aussehen, wählen Sie in der oberen rechten Ecke Datei ersetzen aus, und laden Sie einen neuen Export hoch. Wenn die richtige Datei hochgeladen wird, wählen Sie Weiter aus.

    Screenshot des Bestätigungsbildschirms mit der Anzahl der Datenquellen und Erkennungsregeln.

  6. Wählen Sie einen Arbeitsbereich und dann Analyse starten aus.

    Screenshot der Benutzeroberfläche, auf der der Benutzer aufgefordert wird, einen Arbeitsbereich auszuwählen.

    Das Migrationstool ordnet die Erkennungsregeln Microsoft Sentinel Datenquellen und Erkennungsregeln zu. Wenn im Arbeitsbereich keine Empfehlungen vorhanden sind, werden Empfehlungen erstellt. Wenn bereits Empfehlungen vorhanden sind, löscht das Tool diese und ersetzt sie durch neue Empfehlungen.

    Screenshot: Vorbereitung des Migrationstools zur Analyse der Regeln

  7. Aktualisieren Sie die Seite, und wählen Sie die status SIEM-Setupanalyse aus, um den Fortschritt der Analyse anzuzeigen:

    Screenshot der SIEM-Einrichtungsanalyse status mit dem Fortschritt der Analyse

    Diese Seite wird nicht automatisch aktualisiert. Um die neuesten status anzuzeigen, schließen Sie die Seite, und öffnen Sie sie erneut.

    Die Analyse ist abgeschlossen, wenn alle drei Häkchen grün sind. Wenn die drei Häkchen grün sind, aber keine Empfehlungen vorhanden sind, bedeutet dies, dass keine Übereinstimmungen für Ihre Regeln gefunden wurden.

    Screenshot mit allen drei grünen Häkchen, die angibt, dass die Analyse abgeschlossen ist.

    Nach Abschluss der Analyse generiert das Migrationstool anwendungsfallbasierte Empfehlungen, gruppiert nach Content Hub-Lösungen. Sie können auch einen detaillierten Bericht der Analyse herunterladen. Der Bericht enthält eine detaillierte Analyse empfohlener Migrationsaufträge, einschließlich Splunk-Regeln, für die wir keine gute Lösung gefunden, nicht erkannt oder nicht anwendbar sind.

    Screenshot: Vom Migrationstool generierte Empfehlungen.

    Filtern Sie den Empfehlungstyp nach SIEM-Setup , um Migrationsempfehlungen anzuzeigen.

  8. Wählen Sie eine der Empfehlungskarten aus, um die zugeordneten Datenquellen und Regeln anzuzeigen.

    Screenshot einer Empfehlungs-Karte.

    Das Tool gleicht die Splunk-Regeln mit sofort einsatzbereiten Microsoft Sentinel Datenconnectors und sofort einsatzbereiten Microsoft Sentinel Erkennungsregeln ab. Auf der Registerkarte Connectors werden die Datenconnectors angezeigt, die mit den Regeln ihres SIEM und der status (verbunden oder nicht getrennt) übereinstimmen. Wenn der connector, den Sie verwenden möchten, noch nicht verbunden ist, können Sie die Verbindung über die Registerkarte Connector herstellen. Wenn kein Connector installiert ist, wechseln Sie zum Inhaltshub, und installieren Sie die Lösung, die den connector enthält, den Sie verwenden möchten.

    Screenshot: Microsoft Sentinel Datenconnectors, die mit Splunk- oder QRadar-Regeln abgeglichen sind

    Auf der Registerkarte Erkennungen werden die folgenden Informationen angezeigt:

    • Empfehlungen aus dem SIEM-Migrationstool.
    • Die aktuelle Splunk-Erkennungsregel aus Ihrer hochgeladenen Datei.
    • Die status der Erkennungsregel in Microsoft Sentinel. Die status können wie folgt sein:
      • Aktiviert: Die Erkennungsregel wird aus der Regelvorlage erstellt, aktiviert und aktiv (aus einer vorherigen Aktion)
      • Deaktiviert: Die Erkennungsregel wird im Inhaltshub installiert, aber nicht im Microsoft Sentinel-Arbeitsbereich aktiviert.
      • Nicht verwendet: Die Erkennungsregel wurde über den Inhaltshub installiert und steht als Vorlage zur Aktivierung zur Verfügung.
      • Nicht installiert: Die Erkennungsregel wurde nicht über den Inhaltshub installiert.
    • Die erforderlichen Connectors, die konfiguriert werden müssen, um die Protokolle zu verwenden, die für die empfohlene Erkennungsregel erforderlich sind. Wenn ein erforderlicher Connector nicht verfügbar ist, gibt es einen Seitenbereich mit einem Assistenten, um ihn über den Content Hub zu installieren. Wenn alle erforderlichen Connectors verbunden sind, wird ein grünes Häkchen angezeigt.

    Screenshot: Microsoft Sentinel Erkennungsregeln, die mit Splunk- oder QRadar-Regeln abgeglichen sind.

Aktivieren von Erkennungsregeln

Wenn Sie eine Regel auswählen, wird der Seitenbereich mit den Regeldetails geöffnet, und Sie können die Details der Regelvorlage anzeigen.

Screenshot des Seitenbereichs mit den Regeldetails.

  • Wenn der zugeordnete Datenconnector installiert und konfiguriert ist, wählen Sie Erkennung aktivieren aus, um die Erkennungsregel zu aktivieren.

    Screenshot der Schaltfläche

  • Wählen Sie Weitere Aktionen>Manuell erstellen aus, um den Analyseregel-Assistenten zu öffnen, damit Sie die Regel überprüfen und bearbeiten können, bevor Sie sie aktivieren.

  • Wenn die Regel bereits aktiviert ist, wählen Sie Bearbeiten aus, um den Analyseregel-Assistenten zu öffnen, um die Regel zu überprüfen und zu bearbeiten.

    Screenshot der Schaltfläche

    Der Assistent zeigt die Splunk-SPL-Regel an, und Sie können sie mit der Microsoft Sentinel KQL vergleichen.

    Screenshot: Vergleich zwischen Splunk-SPL-Regel und Microsoft Sentinel KQL

Tipp

Anstatt Regeln manuell von Grund auf neu zu erstellen, kann es schneller und einfacher sein, die Regel aus der Vorlage zu aktivieren und dann nach Bedarf zu bearbeiten.

Wenn der Datenconnector nicht installiert und für das Streamen von Protokollen konfiguriert ist, ist Erkennung aktivieren deaktiviert.

  • Sie können mehrere Regeln gleichzeitig aktivieren, indem Sie die Kontrollkästchen neben jeder Regel aktivieren, die Sie aktivieren möchten, und dann oben auf der Seite ausgewählte Erkennungen aktivieren auswählen.

    Screenshot: Liste der Regeln auf der Registerkarte

Das SIEM-Migrationstool installiert weder explizit Connectors noch aktiviert Erkennungsregeln.

Begrenzungen

  • Das Migrationstool ordnet den Exportregeln sofort einsatzbereiten Microsoft Sentinel Datenconnectors und Erkennungsregeln zu.
  • Last updated on