SIEM 移行エクスペリエンスを使用してMicrosoft Sentinelに移行する

適用対象: Microsoft Sentinel in the Microsoft Defender portal

SIEM 移行ツールは、カスタム検出を含む Splunk と QRadar の検出を分析し、最適なMicrosoft Sentinel検出ルールを推奨します。また、推奨される検出を有効にするために、Content Hub で使用できる Microsoft コネクタとサードパーティコネクタの両方のデータコネクタに関する推奨事項も提供します。お客様は、各推奨事項カードに適切な状態を割り当てることで、移行を追跡できます。

注:

古い移行ツールは非推奨です。この記事では、現在の SIEM 移行エクスペリエンスについて説明します。

SIEM 移行エクスペリエンスには、次の機能が含まれています。

このエクスペリエンスでは、Splunk と QRadar のセキュリティ監視をMicrosoft Sentinelに移行し、可能な限りすぐに使用できる (OOTB) 分析ルールをマッピングすることに重点を置いています。
このエクスペリエンスでは、Splunk と QRadar の検出をMicrosoft Sentinel分析ルールに移行できます。

前提条件

Microsoft Defender ポータルでのMicrosoft Sentinel
Microsoft Sentinel ワークスペースの少なくともMicrosoft Sentinel共同作成者のアクセス許可
少なくともワークスペースオペレーターロールが割り当てられているテナントで有効になっているSecurity Copilot

注:

SIEM 移行ツールはSecurity Copilotを利用するため、テナントで有効Security Copilot使用する必要があります。ただし、SCU を使用したり、SCU ベースの料金を生成したりすることはありません。構成方法は関係ありません。アクセスとコスト管理の設定に基づいてSecurity Copilotの設定を最適化でき、ワークフローは完全に SCU フリーのままです。 SCU の使用は、意図的に使用する他のSecurity Copilot機能にのみ適用されます。

Security Copilot使用状況監視設定のスクリーンショット。

Splunk の 検索およびレポート アプリで、次のクエリを実行します。

| rest splunk_server=local count=0 /servicesNS/-/-/saved/searches | search disabled=0 | search alert_threshold != "" | table title, search, description, cron_schedule, dispatch.earliest_time, alert.severity, alert_comparator, alert_threshold, alert.suppress.period, id, eai:acl.app, actions, action.correlationsearch.annotations, action.correlationsearch.enabled | tojson | table _raw | rename _raw as alertrules | mvcombine delim=", " alertrules | append [ | rest splunk_server=local count=0 /servicesNS/-/-/admin/macros | table title,definition,args,iseval | tojson | table _raw | rename _raw as macros | mvcombine delim=", " macros ] | filldown alertrules |tail 1

Splunk のすべてのアラートをエクスポートするには、Splunk 管理者ロールが必要です。詳細については、「 Splunk ロールベースのユーザーアクセス」を参照してください。

SIEM 移行エクスペリエンスを開始する

ルールをエクスポートした後、次の操作を行います。

security.microsoft.comに移動します。
[ SOC の最適化 ] タブで、[ 新しい SIEM の設定] を選択します。
[現在の SIEM から移行する] を選択します。
移行元の SIEM を選択します。
現在の SIEM からエクスポートした構成データをアップロードし、[次へ] を選択します。

移行ツールはエクスポートを分析し、指定したファイル内のデータソースと検出ルールの数を識別します。この情報を使用して、適切なエクスポートがあることを確認します。

データが正しく見えない場合は、右上隅にある [ ファイルの置換 ] を選択し、新しいエクスポートをアップロードします。正しいファイルがアップロードされたら、[ 次へ] を選択します。
ワークスペースを選択し、[ 分析の開始] を選択します。

移行ツールは、検出ルールをデータソースと検出ルールMicrosoft Sentinelマップします。ワークスペースに推奨事項がない場合は、推奨事項が作成されます。既存の推奨事項がある場合は、ツールによって削除され、新しい推奨事項に置き換えられます。
ページを更新し、 SIEM セットアップ分析の状態 を選択して、分析の進行状況を表示します。

このページは自動的に更新されません。最新の状態を確認するには、ページを閉じてもう一度開きます。

3 つのチェックマークがすべて緑色の場合、分析は完了です。 3 つのチェックマークが緑色で、推奨事項がない場合は、ルールに一致するものが見つからなかったことを意味します。

分析が完了すると、移行ツールによってユースケースベースの推奨事項が生成され、Content Hub ソリューション別にグループ化されます。分析の詳細なレポートをダウンロードすることもできます。このレポートには、推奨される移行ジョブの詳細な分析が含まれています。これには、適切なソリューションが見つからなかった、検出されなかった、または該当しない Splunk ルールが含まれます。

SIEM セットアップで推奨事項の種類をフィルター処理して、移行に関する推奨事項を確認します。
いずれかのレコメンデーションカードを選択して、マップされたデータソースとルールを表示します。

このツールは、Splunk ルールを、すぐに使用できるMicrosoft Sentinelデータコネクタと、すぐに使用できるMicrosoft Sentinel検出ルールに一致します。 [ コネクタ ] タブには、SIEM のルールと一致したデータコネクタと状態 (接続されているか切断されていないか) が表示されます。使用するコネクタがまだ接続されていない場合は、[コネクタ] タブから接続できます。コネクタがインストールされていない場合は、コンテンツハブに移動し、使用するコネクタを含むソリューションをインストールします。

[ 検出 ] タブには、次の情報が表示されます。
- SIEM 移行ツールからの推奨事項。
- アップロードしたファイルからの現在の Splunk 検出ルール。
- Microsoft Sentinelの検出ルールの状態。状態は次のようになります。
  - 有効: 検出ルールは、ルールテンプレートから作成され、有効にされ、アクティブです (前のアクションから)
  - 無効: 検出ルールは Content Hub からインストールされますが、Microsoft Sentinel ワークスペースでは有効になっていません
  - [使用されていません]: 検出ルールは Content Hub からインストールされ、有効にするテンプレートとして使用できます
  - インストールされていない: 検出規則が Content Hub からインストールされていません
- 推奨される検出規則に必要なログを取り込むよう構成する必要がある必要があるコネクタ。必要なコネクタが使用できない場合は、サイドパネルにウィザードが表示され、コンテンツハブからインストールします。必要なすべてのコネクタが接続されている場合は、緑色のチェックマークが表示されます。

検出ルールを有効にする

ルールを選択すると、ルールの詳細サイドパネルが開き、ルールテンプレートの詳細を表示できます。

ルールの詳細サイドパネルのスクリーンショット。

関連付けられているデータコネクタがインストールされ、構成されている場合は、[ 検出を有効にする ] を選択して検出規則を有効にします。
[その他のアクション] を選択します>手動で作成して分析ルールウィザードを開き、有効にする前にルールを確認および編集できます。
ルールが既に有効になっている場合は、[ 編集] を選択して分析ルールウィザードを開き、ルールを確認して編集します。

ウィザードに Splunk SPL ルールが表示され、Microsoft Sentinel KQL と比較できます。