Siirtyminen Microsoft Sentinel SIEM-siirtokokemuksen avulla

  • Koskee seuraavia:: Microsoft Sentinel in the Microsoft Defender portal

SIEM-siirtotyökalu analysoi Splunk- ja QRadar-tunnistuksia, mukaan lukien mukautetut tunnistuksia, ja suosittelee parhaan mahdollisen Microsoft Sentinel havaitsemissääntöjä. Se antaa myös suosituksia tietoliittimille, sekä Microsoftille että kolmannen osapuolen liittimille, jotka ovat käytettävissä Content Hubissa suositeltujen tunnistusten mahdollistamiseksi. Asiakkaat voivat seurata siirtoa määrittämällä kullekin suosituskortille oikean tilan.

Huomautus

Vanha siirtotyökalu on vanhentunut. Tässä artikkelissa kuvataan nykyinen SIEM-siirtokokemus.

SIEM-siirtokokemus sisältää seuraavat ominaisuudet:

  • Kokemuksella keskitytään Splunkin ja QRadar-suojauksen valvonnan siirtämiseen Microsoft Sentinel ja OOTB (Out of the box) -analytiikkasääntöjen kartoittamiseen aina, kun se on mahdollista.
  • Kokemus tukee Splunk- ja QRadar-tunnistusten siirtämistä Microsoft Sentinel analysointisääntöihin.

Ennakkovaatimukset

Huomautus

SIEM-siirtotyökalun pohjana on Security Copilot, joten sinun on otettava Security Copilot käyttöön vuokraajassasi, jotta voit käyttää sitä. Se ei kuitenkaan kuluta SCU-yksiköitä tai luo SCU-pohjaisia maksuja riippumatta siitä, miten määrität sen. Voit optimoida Security Copilot asetukset käyttöoikeuksien ja kustannusten hallinnan asetusten mukaan, ja työnkulku pysyy täysin SCU-vapaana. Mikä tahansa SCU-käyttö koskee vain muita Security Copilot ominaisuuksia, joita olet tarkoituksellisesti käyttänyt.

Näyttökuva Security Copilot käytön valvonta-asetuksista.

Vie tunnistussäännöt nykyisestä SIEM:stä

Suorita seuraava kysely Splunkin Haku ja raportointi -sovelluksessa:

| rest splunk_server=local count=0 /servicesNS/-/-/saved/searches | search disabled=0 | search alert_threshold != "" | table title, search, description, cron_schedule, dispatch.earliest_time, alert.severity, alert_comparator, alert_threshold, alert.suppress.period, id, eai:acl.app, actions, action.correlationsearch.annotations, action.correlationsearch.enabled | tojson | table _raw | rename _raw as alertrules | mvcombine delim=", " alertrules | append [ | rest splunk_server=local count=0 /servicesNS/-/-/admin/macros | table title,definition,args,iseval | tojson | table _raw | rename _raw as macros | mvcombine delim=", " macros ] | filldown alertrules |tail 1

Kaikkien Splunk-ilmoitusten viemiseen tarvitaan Splunk-järjestelmänvalvojan rooli. Lisätietoja on artikkelissa Roolipohjaisen käytön Splunk-käyttö.

SIEM-siirtokokemuksen aloittaminen

Kun olet vienyt säännöt, toimi seuraavasti:

  1. Siirry osoitteeseen security.microsoft.com.

  2. Valitse SOC-optimointi-välilehdeltäMääritä uusi SIEM.

    Näyttökuva UUDEN SIEM-asetuksen määrittämisestä SOC-optimointinäytön oikeassa yläkulmassa.

  3. Valitse Siirrä nykyisestä SIEM:stä:

    Näyttökuva Siirry nykyisestä SIEM-toiminnosta -vaihtoehdosta.

  4. Valitse SIEM, josta olet siirtämässä.

    Näyttökuva käyttöliittymästä, jossa käyttäjää pyydetään valitsemaan SIEM, josta hän on siirtymässä.

  5. Lataa määritystiedot, jotka veit nykyisestä SIEM:stä, ja valitse Seuraava.

    Siirtotyökalu analysoi viennin ja tunnistaa tietolähteiden määrän ja tunnistussäännöt antamassasi tiedostossa. Näiden tietojen avulla voit vahvistaa, että vienti on oikein.

    Jos tiedot eivät näytä oikeilta, valitse Korvaa tiedosto oikeasta yläkulmasta ja lataa uusi vienti. Kun oikea tiedosto on ladattu, valitse Seuraava.

    Näyttökuva vahvistusnäytöstä, joka näyttää tietolähteiden määrän ja tunnistussäännöt.

  6. Valitse työtila ja valitse sitten Aloita analysointi.

    Näyttökuva käyttöliittymästä, jossa käyttäjää pyydetään valitsemaan työtila.

    Siirtotyökalu yhdistää tunnistussäännöt Microsoft Sentinel tietolähteisiin ja tunnistussääntöihin. Jos työtilassa ei ole suosituksia, luodaan suosituksia. Jos olemassa on suosituksia, työkalu poistaa ja korvaa ne uusilla suosituksilla.

    Näyttökuva siirtotyökalusta, joka valmistautuu analysoimaan sääntöjä.

  7. Päivitä sivu ja valitse SIEM-määritysanalyysin tila , jotta voit tarkastella analyysin edistymistä:

    Näyttökuva SIEM-määritysanalyysin tilasta, joka näyttää analyysin edistymisen.

    Tämä sivu ei päivity automaattisesti. Jos haluat nähdä viimeisimmän tilan, sulje sivu ja avaa se uudelleen.

    Analyysi on valmis, kun kaikki kolme valintamerkkiä ovat vihreitä. Jos kolme valintamerkkiä ovat vihreitä, mutta suosituksia ei ole, se tarkoittaa, että säännöillesi ei löytynyt vastaavuuksia.

    Näyttökuva, jossa näkyy kaikki kolme valintamerkkiä vihreinä, jotka ilmaisevat analyysin olevan valmis.

    Kun analyysi on valmis, siirtotyökalu luo käyttötapauspohjaisia suosituksia Sisältökeskus-ratkaisujen ryhmittelemänä. Voit myös ladata yksityiskohtaisen raportin analyysistä. Raportti sisältää yksityiskohtaisen analyysin suositelluista siirtotöistä, mukaan lukien Splunk-säännöt, joihin emme löytäneet hyvää ratkaisua, joita ei havaittu tai jotka eivät olleet sovellettavissa.

    Näyttökuva siirtotyökalun luomista suosituksista.

    Suodata suositustyyppiSIEM-asennuksen mukaan, jotta näet siirtosuositukset.

  8. Valitse jokin suosituskorteista, jotta voit tarkastella yhdistettyjä tietolähteitä ja sääntöjä.

    Näyttökuva suosituskortista.

    Työkalu vastaa Splunk-sääntöjä valmiisiin Microsoft Sentinel tietoliittimiä ja valmiita Microsoft Sentinel tunnistussääntöjä. Liittimet-välilehdessä näkyvät tietoliittimet, jotka vastaavat SIEM:n sääntöjä ja tilaa (yhdistetty tai katkaistu). Jos haluamasi liitin ei ole vielä yhdistetty, voit muodostaa yhteyden liitinvälilehden kautta. Jos liitintä ei ole asennettu, siirry sisältökeskukseen ja asenna ratkaisu, joka sisältää haluamasi liittimen.

    Näyttökuva Microsoft Sentinel Splunk- tai QRadar-sääntöihin vastaavat tietoliittimet.

    Tunnistuksia-välilehdessä näkyvät seuraavat tiedot:

    • SIEM-siirtotyökalun suositukset.
    • Nykyinen Splunk-tunnistussääntö ladatusta tiedostosta.
    • Tunnistussäännön tila Microsoft Sentinel. Tila voi olla:
      • Käytössä: Tunnistussääntö luodaan sääntömallista, käytössä ja aktiivisena (aiemmasta toiminnosta)
      • Poistettu käytöstä: Tunnistussääntö on asennettu sisältökeskuksesta, mutta sitä ei ole otettu käyttöön Microsoft Sentinel työtilassa
      • Ei käytössä: Tunnistussääntö asennettiin sisältökeskuksesta, ja se on käytettävissä mallina, joka voidaan ottaa käyttöön
      • Ei asennettu: Tunnistussääntöä ei ole asennettu sisältökeskuksesta
    • Pakolliset liittimet, jotka on määritettävä tuomaan suositellun tunnistussäännön edellyttämät lokit. Jos tarvittava liitin ei ole käytettävissä, sen voi asentaa sisältökeskuksesta ohjatulla sivupaneelilla. Jos kaikki tarvittavat liittimet on yhdistetty, näkyviin tulee vihreä valintamerkki.

    Näyttökuva Microsoft Sentinel tunnistussäännöistä, jotka vastaavat Splunk- tai QRadar-sääntöjä.

Ota tunnistussäännöt käyttöön

Kun valitset säännön, sääntöjen tietojen sivupaneeli avautuu ja voit tarkastella sääntömallin tietoja.

Näyttökuva säännön tietojen sivupaneelista.

  • Jos liittyvä tietoyhdistin on asennettu ja määritetty, ota tunnistussääntö käyttöön valitsemalla Ota tunnistus käyttöön.

    Näyttökuva Ota tunnistus käyttöön -painikkeesta säännön tietojen sivupaneelissa.

  • Valitse Lisää toimintoja>Luo manuaalisesti , jos haluat avata ohjatun analytiikkasääntöjen luomisen, jotta voit tarkastella ja muokata sääntöä ennen sen käyttöönottoa.

  • Jos sääntö on jo käytössä, avaa ohjattu analytiikkasääntöjen luominen säännön tarkistamista ja muokkaamista varten valitsemalla Muokkaa .

    Näyttökuva ohjatun sääntöjen luomisen Lisää toimintoja -painikkeesta.

    Ohjattu toiminto näyttää Splunk SPL -säännön, ja voit verrata sitä Microsoft Sentinel KQL:hen.

    Näyttökuva Splunk SPL -säännön ja Microsoft Sentinel KQL:n välisestä vertailusta.

Vihje

Sen sijaan, että luot sääntöjä manuaalisesti alusta alkaen, voi olla nopeampaa ja yksinkertaisempaa ottaa sääntö käyttöön mallista ja muokata sitä sitten tarpeen mukaan.

Jos tietoyhdistintä ei ole asennettu ja määritetty virtalokeihin, Ota tunnistaminen käyttöön on poistettu käytöstä.

  • Voit ottaa käyttöön useita sääntöjä kerralla valitsemalla valintaruutuja jokaisen käyttöön otettavan säännön vieressä ja valitsemalla sitten ota valitut tunnistuksia käyttöön sivun yläreunassa.

    Näyttökuva tunnistusvälilehden sääntöluettelosta, jonka vieressä on valintaruutuja.

SIEM-siirtotyökalu ei nimenomaisesti asenna yhdistimiä tai ota tunnistussääntöjä käyttöön.

Rajoitukset

  • Siirtotyökalu yhdistää sääntöjen viennin valmiisiin Microsoft Sentinel tietoyhdistimiä ja tunnistussääntöjä.
  • Last updated on