Overfør til Microsoft Sentinel med SIEM-overføringsopplevelsen

  • Gjelder for: Microsoft Sentinel in the Microsoft Defender portal

SIEM-overføringsverktøyet analyserer Splunk- og QRadar-gjenkjenninger, inkludert egendefinerte gjenkjenninger, og anbefaler best egnet Microsoft Sentinel gjenkjenningsregler. Den gir også anbefalinger for datakoblinger, både Microsoft- og tredjepartskoblinger som er tilgjengelige i Innholdshub for å aktivere anbefalte gjenkjenninger. Kunder kan spore overføringen ved å tilordne riktig status til hvert anbefalingskort.

Obs!

Det gamle overføringsverktøyet er avskrevet. Denne artikkelen beskriver den gjeldende SIEM-overføringsopplevelsen.

SIEM Migration-opplevelsen inkluderer følgende funksjoner:

  • Opplevelsen fokuserer på å overføre Splunk- og QRadar-sikkerhetsovervåking til Microsoft Sentinel og kartlegge forhåndsdefinerte analyseregler (OOTB) der det er mulig.
  • Opplevelsen støtter overføring av Splunk- og QRadar-gjenkjenninger for å Microsoft Sentinel analyseregler.

Forutsetninger

Obs!

SIEM-overføringsverktøyet drives av Security Copilot, så du må Security Copilot aktivert i leieren for å bruke det. Den bruker imidlertid ikke SCU-er eller genererer SCU-baserte belastninger uansett hvordan du konfigurerer den. Du kan optimalisere Security Copilot-oppsettet basert på preferansene dine for tilgang og kostnadsstyring, og arbeidsflyten forblir helt SCU-fri. All SCU-bruk gjelder bare for andre Security Copilot funksjoner du bruker med hensikt.

Skjermbilde av innstillingene for Security Copilot bruksovervåking.

Eksporter gjenkjenningsregler fra gjeldende SIEM

Kjør følgende spørring i søke- og rapporteringsappen i Splunk:

| rest splunk_server=local count=0 /servicesNS/-/-/saved/searches | search disabled=0 | search alert_threshold != "" | table title, search, description, cron_schedule, dispatch.earliest_time, alert.severity, alert_comparator, alert_threshold, alert.suppress.period, id, eai:acl.app, actions, action.correlationsearch.annotations, action.correlationsearch.enabled | tojson | table _raw | rename _raw as alertrules | mvcombine delim=", " alertrules | append [ | rest splunk_server=local count=0 /servicesNS/-/-/admin/macros | table title,definition,args,iseval | tojson | table _raw | rename _raw as macros | mvcombine delim=", " macros ] | filldown alertrules |tail 1

Du trenger en Splunk-administratorrolle for å eksportere alle Splunk-varsler. Hvis du vil ha mer informasjon, kan du se Rollebasert brukertilgang basert på Splunk.

Start SIEM-overføringsopplevelsen

Når du har eksportert reglene, gjør du følgende:

  1. Gå til security.microsoft.com.

  2. Velg Konfigurer den nye SIEM-en fra fanen SOC-optimalisering.

    Skjermbilde av alternativet Konfigurer det nye SIEM-alternativet øverst til høyre på soc-optimaliseringsskjermen.

  3. Velg Overfør fra gjeldende SIEM:

    Skjermbilde av alternativet Overfør fra gjeldende SIEM.

  4. Velg SIEM-en du overfører fra.

    Skjermbilde av brukergrensesnittet som ber brukeren om å velge SIEM-en de overfører fra.

  5. Last opp konfigurasjonsdataene du eksporterte fra gjeldende SIEM , og velg Neste.

    Overføringsverktøyet analyserer eksporten og identifiserer antall datakilder og gjenkjenningsregler i filen du oppgav. Bruk denne informasjonen til å bekrefte at du har riktig eksport.

    Hvis dataene ikke ser riktige ut, velger du Erstatt fil fra øverste høyre hjørne og laster opp en ny eksport. Når riktig fil lastes opp, velger du Neste.

    Skjermbilde av bekreftelsesskjermen som viser antall datakilder og gjenkjenningsregler.

  6. Velg et arbeidsområde, og velg deretter Start analysering.

    Skjermbilde av brukergrensesnittet som ber brukeren om å velge et arbeidsområde.

    Overføringsverktøyet tilordner gjenkjenningsreglene til Microsoft Sentinel datakilder og gjenkjenningsregler. Hvis det ikke finnes noen anbefalinger i arbeidsområdet, opprettes anbefalinger. Hvis det finnes eksisterende anbefalinger, sletter og erstatter verktøyet dem med nye.

    Skjermbilde av overføringsverktøyet som gjør seg klar til å analysere reglene.

  7. Oppdater siden, og velg statusen for siem-konfigurasjonsanalysen for å vise fremdriften for analysen:

    Skjermbilde av siem-oppsettsanalysestatusen som viser fremdriften til analysen.

    Denne siden oppdateres ikke automatisk. Hvis du vil se den nyeste statusen, lukker og åpner du siden på nytt.

    Analysen er fullført når alle de tre merkene er grønne. Hvis de tre hakene er grønne, men det ikke finnes noen anbefalinger, betyr det at ingen treff ble funnet for reglene.

    Skjermbilde som viser alle de tre hakemerkene grønn som indikerer at analysen er fullført.

    Når analysen er fullført, genererer overføringsverktøyet brukstilfellebaserte anbefalinger, gruppert etter Content Hub-løsninger. Du kan også laste ned en detaljert rapport over analysen. Rapporten inneholder en detaljert analyse av anbefalte overføringsjobber, inkludert Splunk-regler som vi ikke fant god løsning for, ikke ble oppdaget eller ikke tilgjengelig.

    Et skjermbilde av anbefalinger generert av overføringsverktøyet.

    Filtrer anbefalingstype etter SIEM-oppsett for å se overføringsanbefalinger.

  8. Velg ett av anbefalingskortene for å vise datakildene og reglene som er tilordnet.

    Et skjermbilde av et anbefalingskort.

    Verktøyet samsvarer med Splunk-reglene til forhåndsdefinerte Microsoft Sentinel datakoblinger og forhåndsdefinerte Microsoft Sentinel gjenkjenningsregler. Koblinger-fanen viser datakoblingene som samsvarer med reglene fra SIEM og statusen (tilkoblet eller ikke frakoblet). Hvis koblingen du vil bruke, ikke allerede er tilkoblet, kan du koble til fra koblingsfanen. Hvis en kobling ikke er installert, går du til innholdshuben og installerer løsningen som inneholder koblingen du vil bruke.

    Skjermbilde av Microsoft Sentinel datakoblinger som samsvarer med Splunk- eller QRadar-regler.

    Oppdagelser-fanen viser følgende informasjon:

    • Anbefalinger fra SIEM-overføringsverktøyet.
    • Gjeldende Splunk-gjenkjenningsregel fra den opplastede filen.
    • Statusen for gjenkjenningsregelen i Microsoft Sentinel. Statusen kan være:
      • Aktivert: Gjenkjenningsregelen opprettes fra regelmalen, aktivert og aktiv (fra en tidligere handling)
      • Deaktivert: Gjenkjenningsregelen er installert fra innholdshuben, men ikke aktivert i det Microsoft Sentinel arbeidsområdet
      • Ikke i bruk: Gjenkjenningsregelen ble installert fra Innholdshub og er tilgjengelig som en mal som skal aktiveres
      • Ikke installert: Gjenkjenningsregelen ble ikke installert fra innholdshuben
    • De nødvendige koblingene som må konfigureres for å hente loggene som kreves for den anbefalte gjenkjenningsregelen. Hvis en nødvendig kobling ikke er tilgjengelig, finnes det et sidepanel med en veiviser for å installere den fra innholdshuben. Hvis alle nødvendige koblinger er tilkoblet, vises en grønn hake.

    Skjermbilde av Microsoft Sentinel gjenkjenningsregler som samsvarer med Splunk- eller QRadar-regler.

Aktiver gjenkjenningsregler

Når du velger en regel, åpnes sidepanelet for regeldetaljene, og du kan vise detaljene for regelmalen.

Skjermbilde av sidepanelet for regeldetaljer.

  • Hvis den tilknyttede datakoblingen er installert og konfigurert, velger du Aktiver gjenkjenning for å aktivere gjenkjenningsregelen.

    Skjermbilde av Aktiver gjenkjenning-knappen i sidepanelet for regeldetaljer.

  • Velg Flere handlinger>Opprett manuelt for å åpne veiviseren for analyseregler, slik at du kan se gjennom og redigere regelen før du aktiverer den.

  • Hvis regelen allerede er aktivert, velger du Rediger for å åpne veiviseren for analyseregler for å se gjennom og redigere regelen.

    Skjermbilde av Flere handlinger-knappen i regelveiviseren.

    Veiviseren viser SPLunk SPL-regelen, og du kan sammenligne den med Microsoft Sentinel KQL.

    Skjermbilde av sammenligningen mellom Splunk SPL-regelen og Microsoft Sentinel KQL.

Tips

I stedet for å opprette regler manuelt fra grunnen av, kan det være raskere og enklere å aktivere regelen fra malen og deretter redigere den etter behov.

Hvis datakoblingen ikke er installert og konfigurert til strømmingslogger, deaktiveres Aktiver gjenkjenning .

  • Du kan aktivere flere regler samtidig ved å merke av for hver regel du vil aktivere, og deretter velge Aktiver valgte gjenkjenninger øverst på siden.

    Skjermbilde av listen over regler i gjenkjenningsfanen med avmerkingsbokser ved siden av seg.

SIEM-overføringsverktøyet installerer ikke eksplisitt noen koblinger eller aktiverer gjenkjenningsregler.

Begrensninger

  • Overføringsverktøyet tilordner reglene som eksporteres til forhåndsdefinerte Microsoft Sentinel datakoblinger og gjenkjenningsregler.
  • Last updated on