Migración a Microsoft Sentinel con la experiencia de migración siem

  • Se aplica a: Microsoft Sentinel in the Microsoft Defender portal

La herramienta de migración SIEM analiza las detecciones de Splunk y QRadar, incluidas las detecciones personalizadas, y recomienda las reglas de detecciones Microsoft Sentinel más adecuadas. También proporciona recomendaciones para conectores de datos, tanto conectores de Microsoft como de terceros disponibles en Content Hub para habilitar las detecciones recomendadas. Los clientes pueden realizar un seguimiento de la migración asignando el estado correcto a cada tarjeta de recomendación.

Nota:

La herramienta de migración antigua está en desuso. En este artículo se describe la experiencia de migración de SIEM actual.

La experiencia de migración de SIEM incluye las siguientes características:

  • La experiencia se centra en la migración de la supervisión de seguridad de Splunk y QRadar a Microsoft Sentinel y la asignación de reglas de análisis integradas (OOTB) siempre que sea posible.
  • La experiencia admite la migración de detecciones de Splunk y QRadar a Microsoft Sentinel reglas de análisis.

Requisitos previos

Nota:

La herramienta de migración siem tiene tecnología de Security Copilot, por lo que necesita Security Copilot habilitada en el inquilino para usarla. Sin embargo, no consume SCU ni genera cargos basados en SCU, independientemente de cómo lo configure. Puede optimizar la configuración de Security Copilot en función de sus preferencias de acceso y administración de costos, y el flujo de trabajo permanece completamente libre de SCU. Cualquier uso de SCU solo se aplicaría a otras características de Security Copilot que use intencionadamente.

Captura de pantalla de la configuración de supervisión de uso de Security Copilot.

Exportación de reglas de detección desde el SIEM actual

En la aplicación Buscar e informes de Splunk, ejecute la consulta siguiente:

| rest splunk_server=local count=0 /servicesNS/-/-/saved/searches | search disabled=0 | search alert_threshold != "" | table title, search, description, cron_schedule, dispatch.earliest_time, alert.severity, alert_comparator, alert_threshold, alert.suppress.period, id, eai:acl.app, actions, action.correlationsearch.annotations, action.correlationsearch.enabled | tojson | table _raw | rename _raw as alertrules | mvcombine delim=", " alertrules | append [ | rest splunk_server=local count=0 /servicesNS/-/-/admin/macros | table title,definition,args,iseval | tojson | table _raw | rename _raw as macros | mvcombine delim=", " macros ] | filldown alertrules |tail 1

Necesita un rol de administrador de Splunk para exportar todas las alertas de Splunk. Para obtener más información, vea Acceso de usuario basado en rol de Splunk.

Inicio de la experiencia de migración de SIEM

Después de exportar las reglas, haga lo siguiente:

  1. Ve a security.microsoft.com.

  2. En la pestaña Optimización de SOC , seleccione Configurar el nuevo SIEM.

    Captura de pantalla de la opción Configurar el nuevo SIEM en la esquina superior derecha de la pantalla Optimización de SOC.

  3. Seleccione Migrar desde el SIEM actual:

    Captura de pantalla de la opción Migrar desde SIEM actual.

  4. Seleccione el SIEM desde el que va a migrar.

    Captura de pantalla de la interfaz de usuario en la que se pide al usuario que seleccione el SIEM desde el que va a migrar.

  5. Cargue los datos de configuración que exportó desde el SIEM actual y seleccione Siguiente.

    La herramienta de migración analiza la exportación e identifica el número de orígenes de datos y las reglas de detección en el archivo que proporcionó. Use esta información para confirmar que tiene la exportación correcta.

    Si los datos no tienen el aspecto correcto, seleccione Reemplazar archivo en la esquina superior derecha y cargue una nueva exportación. Cuando se cargue el archivo correcto, seleccione Siguiente.

    Captura de pantalla de la pantalla de confirmación que muestra el número de orígenes de datos y las reglas de detección.

  6. Seleccione un área de trabajo y, a continuación, seleccione Iniciar análisis.

    Captura de pantalla de la interfaz de usuario que pide al usuario que seleccione un área de trabajo.

    La herramienta de migración asigna las reglas de detección a Microsoft Sentinel orígenes de datos y reglas de detección. Si no hay ninguna recomendación en el área de trabajo, se crean recomendaciones. Si hay recomendaciones existentes, la herramienta las elimina y las reemplaza por otras nuevas.

    Captura de pantalla de la herramienta de migración que se prepara para analizar las reglas.

  7. Actualice la página y seleccione el estado del análisis de configuración de SIEM para ver el progreso del análisis:

    Captura de pantalla del estado del análisis de configuración de SIEM que muestra el progreso del análisis.

    Esta página no se actualiza automáticamente. Para ver el estado más reciente, cierre y vuelva a abrir la página.

    El análisis se completa cuando las tres marcas de verificación son verdes. Si las tres marcas de verificación son verdes pero no hay recomendaciones, significa que no se encontraron coincidencias para las reglas.

    Captura de pantalla que muestra las tres marcas de verificación verdes que indican que el análisis ha finalizado.

    Cuando se completa el análisis, la herramienta de migración genera recomendaciones basadas en casos de uso, agrupadas por soluciones de Content Hub. También puede descargar un informe detallado del análisis. El informe contiene un análisis detallado de los trabajos de migración recomendados, incluidas las reglas de Splunk para las que no hemos encontrado una buena solución, no se han detectado o no son aplicables.

    Captura de pantalla de las recomendaciones generadas por la herramienta de migración.

    Filtre el tipo de recomendación por el programa de instalación de SIEM para ver las recomendaciones de migración.

  8. Seleccione una de las tarjetas de recomendación para ver los orígenes de datos y las reglas asignadas.

    Captura de pantalla de una tarjeta de recomendación.

    La herramienta coincide con las reglas de Splunk con los conectores de datos Microsoft Sentinel y las reglas de detección de Microsoft Sentinel integradas. En la pestaña Conectores se muestran los conectores de datos coincidentes con las reglas del SIEM y el estado (conectado o no desconectado). Si el conector que desea usar aún no está conectado, puede conectarse desde la pestaña del conector. Si no está instalado un conector, vaya al centro de contenido e instale la solución que contiene el conector que desea usar.

    Captura de pantalla de Microsoft Sentinel conectores de datos coincidentes con las reglas de Splunk o QRadar.

    La pestaña de detecciones muestra la siguiente información:

    • Recomendaciones de la herramienta de migración SIEM.
    • La regla de detección de Splunk actual del archivo cargado.
    • Estado de la regla de detección en Microsoft Sentinel. El estado puede ser:
      • Habilitado: la regla de detección se crea a partir de la plantilla de regla, habilitada y activa (a partir de una acción anterior)
      • Deshabilitado: la regla de detección se instala desde el Centro de contenido, pero no está habilitada en el área de trabajo de Microsoft Sentinel
      • No en uso: la regla de detección se instaló desde Content Hub y está disponible como plantilla para habilitarse
      • No instalado: la regla de detección no se instaló desde el Centro de contenido
    • Los conectores necesarios que deben configurarse para traer los registros necesarios para la regla de detección recomendada. Si no hay disponible un conector necesario, hay un panel lateral con un asistente para instalarlo desde el Centro de contenido. Si todos los conectores necesarios están conectados, aparece una marca de verificación verde.

    Captura de pantalla de Microsoft Sentinel reglas de detección coincidentes con las reglas de Splunk o QRadar.

Habilitación de reglas de detección

Al seleccionar una regla, se abre el panel lateral de detalles de reglas y puede ver los detalles de la plantilla de reglas.

Captura de pantalla del panel lateral de detalles de la regla.

  • Si el conector de datos asociado está instalado y configurado, seleccione Habilitar detección para habilitar la regla de detección.

    Captura de pantalla del botón Habilitar detección en el panel lateral de detalles de la regla.

  • Seleccione Más acciones>Crear manualmente para abrir el Asistente para reglas de análisis para que pueda revisar y editar la regla antes de habilitarla.

  • Si la regla ya está habilitada, seleccione Editar para abrir el Asistente para reglas de análisis para revisar y editar la regla.

    Captura de pantalla del botón Más acciones en el Asistente para reglas.

    El asistente muestra la regla SPL de Splunk y puede compararla con la Microsoft Sentinel KQL.

    Captura de pantalla de la comparación entre la regla SPL de Splunk y Microsoft Sentinel KQL.

Sugerencia

En lugar de crear reglas manualmente desde cero, puede ser más rápido y sencillo habilitar la regla desde la plantilla y, a continuación, editarla según sea necesario.

Si el conector de datos no está instalado y configurado para transmitir registros, habilitar la detección está deshabilitado.

  • Para habilitar varias reglas a la vez, active las casillas situadas junto a cada regla que quiera habilitar y, a continuación, seleccione Habilitar detecciones seleccionadas en la parte superior de la página.

    Captura de pantalla de la lista de reglas de la pestaña de detección con casillas junto a ellas.

La herramienta de migración SIEM no instala explícitamente ningún conector ni habilita las reglas de detección.

Limitaciones

  • La herramienta de migración asigna la exportación de reglas a las reglas de detección y conectores de datos Microsoft Sentinel de fábrica.
  • Last updated on