QRadar-detectieregels migreren naar Microsoft Sentinel

In dit artikel wordt beschreven hoe u uw QRadar-detectieregels kunt identificeren, vergelijken en migreren naar Microsoft Sentinel ingebouwde regels.

Regels identificeren en migreren

Microsoft Sentinel maakt gebruik van machine learning-analyse om incidenten met hoge kwaliteit en uitvoerbaar te maken. Sommige van uw bestaande detecties zijn mogelijk overbodig in Microsoft Sentinel. Migreer daarom niet al uw detectie- en analyseregels blindelings. Bekijk deze overwegingen bij het identificeren van uw bestaande detectieregels.

  • Zorg ervoor dat u use cases selecteert die regelmigratie rechtvaardigen, rekening houdend met bedrijfsprioriteit en efficiëntie.
  • Controleer of u Microsoft Sentinel regeltypen begrijpt.
  • Controleer of u de terminologie van de regel begrijpt.
  • Controleer eventuele regels die de afgelopen 6-12 maanden geen waarschuwingen hebben geactiveerd en bepaal of ze nog steeds relevant zijn.
  • Elimineer bedreigingen op laag niveau of waarschuwingen die u regelmatig negeert.
  • Gebruik bestaande functionaliteit en controleer of de ingebouwde analyseregels van Microsoft Sentinel uw huidige gebruiksscenario's kunnen aanpakken. Omdat Microsoft Sentinel gebruikmaakt van machine learning-analyse om incidenten met hoge kwaliteit en actie mogelijk te maken, zijn sommige van uw bestaande detecties waarschijnlijk niet meer vereist.
  • Bevestig verbonden gegevensbronnen en controleer uw gegevensverbindingsmethoden. Ga opnieuw naar gesprekken over gegevensverzameling om ervoor te zorgen dat de gegevens diep en breed zijn in de gebruiksscenario's die u wilt detecteren.
  • Verken communityresources zoals de SOC Prime Threat Detection Marketplace om te controleren of uw regels beschikbaar zijn.
  • Overweeg of een online queryconversieprogramma, zoals Uncoder.io, voor uw regels kan werken.
  • Als regels niet beschikbaar zijn of niet kunnen worden geconverteerd, moeten ze handmatig worden gemaakt met behulp van een KQL-query. Controleer de toewijzing van regels om nieuwe query's te maken.

Meer informatie over aanbevolen procedures voor het migreren van detectieregels.

Uw analyseregels migreren naar Microsoft Sentinel:

  1. Controleer of u een testsysteem hebt voor elke regel die u wilt migreren.

    1. Bereid een validatieproces voor voor uw gemigreerde regels, inclusief volledige testscenario's en scripts.

    2. Zorg ervoor dat uw team nuttige bronnen heeft om uw gemigreerde regels te testen.

    3. Controleer of u alle vereiste gegevensbronnen hebt verbonden en controleer uw gegevensverbindingsmethoden.

  2. Controleer of uw detecties beschikbaar zijn als ingebouwde sjablonen in de Content Hub:

    • Als de ingebouwde regels voldoende zijn, installeert u de relevante oplossingen en gebruikt u de sjablonen om regels voor uw werkruimte te maken.

      1. Ga in Microsoft Sentinel naar Inhoudsbeheer > Inhoudshub.
      2. Zoek en installeer de relevante analyseregel.

      Zie Microsoft Sentinel Out-of-the-Box-inhoud detecteren en beheren en Geplande analyseregels maken op basis van sjablonen voor meer informatie.

    • Als u detecties hebt die niet worden gedekt door de ingebouwde regels die beschikbaar zijn in de Inhoudshub, probeert u een online queryconversieprogramma, zoals Uncoder.io om uw query's te converteren naar KQL.

      Identificeer de triggervoorwaarde en regelactie en stel vervolgens uw KQL-query samen en controleer deze.

    • Als noch Content Hub-oplossingen noch een online regelconversieprogramma voldoende zijn, moet u de regel handmatig maken. Gebruik in dergelijke gevallen de volgende stappen om te beginnen met het maken van uw regel:

      1. Identificeer de gegevensbronnen die u in uw regel wilt gebruiken. U wilt een toewijzingstabel maken tussen gegevensbronnen en gegevenstabellen in Microsoft Sentinel om de tabellen te identificeren die u wilt opvragen.

      2. Identificeer kenmerken, velden of entiteiten in uw gegevens die u in uw regels wilt gebruiken.

      3. Identificeer uw regelcriteria en logica. In deze fase kunt u regelsjablonen gebruiken als voorbeelden voor het samenstellen van uw KQL-query's als voorbeelden voor het samenstellen van uw KQL-query's.

        Denk aan filters, correlatieregels, actieve lijsten, verwijzingssets, volglijsten, detectieafwijkingen, aggregaties, enzovoort. U kunt verwijzingen van uw verouderde SIEM gebruiken om te begrijpen hoe u de querysyntaxis het beste kunt toewijzen.

      4. Identificeer de triggervoorwaarde en regelactie en stel vervolgens uw KQL-query samen en controleer deze. Wanneer u uw query bekijkt, kunt u rekening houden met hulpmiddelen voor KQL-optimalisatie.

  3. Test de regel met elk van uw relevante use cases. Als er geen verwachte resultaten worden weergegeven, kunt u de KQL controleren en deze opnieuw testen.

  4. Wanneer u tevreden bent, kunt u overwegen de regel te migreren. Maak zo nodig een playbook voor uw regelactie. Zie Reactie op bedreigingen automatiseren met playbooks in Microsoft Sentinel voor meer informatie.

Meer informatie over analyseregels:

Regelterminologie vergelijken

Deze tabel helpt u het concept van een regel in Microsoft Sentinel te verduidelijken in vergelijking met QRadar.

QRadar Microsoft Sentinel
Regeltype •Gebeurtenissen
•Stroom
•Gemeenschappelijk
•Overtreding
• Anomaliedetectieregels		 • Geplande query
•Fusion
• Microsoft-beveiliging
• Machine Learning (ML) Behavior Analytics
Criteria Definiëren in testvoorwaarde Definiëren in KQL
Triggervoorwaarde Definiëren in regel Drempelwaarde: aantal queryresultaten
Actie • Beledigend maken
• Nieuwe gebeurtenis verzenden
• Toevoegen aan referentieset of gegevens
• En meer		 • Waarschuwing of incident maken
• Integreert met Logic Apps

Regelvoorbeelden toewijzen en vergelijken

Gebruik deze voorbeelden om regels van QRadar te vergelijken en toe te wijzen aan Microsoft Sentinel in verschillende scenario's.

Regel Syntaxis Voorbeelddetectieregel (QRadar) Voorbeeld van KQL-query Middelen
Algemene eigenschapstests QRadar-syntaxis Voorbeeld van reguliere expressie
Voorbeeld van AQL-filterquery
is gelijk aan/niet gelijk aan voorbeeld		 Voorbeeld van reguliere expressie
Voorbeeld van AQL-filterquery
is gelijk aan/niet gelijk aan voorbeeld		 • Reguliere expressie: komt overeen met regex
• AQL-filterquery: tekenreeksoperatoren
• is gelijk aan/niet gelijk aan: Tekenreeksoperatoren
Datum-/tijdtests QRadar-syntaxis Geselecteerde dag van de maandvoorbeeld
Voorbeeld van geselecteerde dag van de week
na/voor/bij voorbeeld		 Geselecteerde dag van de maandvoorbeeld
Voorbeeld van geselecteerde dag van de week
na/voor/bij voorbeeld		 Datum- en tijdoperators
• Geselecteerde dag van de maand: dayofmonth()
• Geselecteerde dag van de week: dayofweek()
• na/vóór/om: format_datetime()
Gebeurteniseigenschapstests QRadar-syntaxis VOORBEELD VAN IP-protocol
Voorbeeld van tekenreeks voor nettolading van gebeurtenis
 VOORBEELD VAN IP-protocol
Voorbeeld van tekenreeks voor nettolading van gebeurtenis
 • IP-protocol: tekenreeksoperatoren
• Tekenreeks voor gebeurtenislading: heeft
Functies: tellers QRadar-syntaxis Gebeurteniseigenschap en tijdvoorbeeld Gebeurteniseigenschap en tijdvoorbeeld Samenvatten
Functies: negatieve voorwaarden QRadar-syntaxis Voorbeeld van negatieve voorwaarden Voorbeeld van negatieve voorwaarden join()
Tekenreeksoperatoren
Numerieke operatoren
Functies: eenvoudig QRadar-syntaxis Voorbeeld van eenvoudige voorwaarden Voorbeeld van eenvoudige voorwaarden of
IP-/poorttests QRadar-syntaxis Voorbeeld van bronpoort
Voorbeeld van bron-IP		 Voorbeeld van bronpoort
Voorbeeld van bron-IP
Logboekbrontests QRadar-syntaxis Voorbeeld van logboekbron Voorbeeld van logboekbron

Algemene syntaxis voor eigenschapstests

Dit is de QRadar-syntaxis voor een algemene regel voor eigenschapstests.

Diagram dat de syntaxis van een algemene eigenschapstestregel illustreert.

Algemene eigenschapstests: Voorbeeld van reguliere expressie (QRadar)

Hier volgt de syntaxis voor een voorbeeld van een algemene QRadar-eigenschapstestregel die gebruikmaakt van een reguliere expressie:

when any of <these properties> match <this regular expression>

Dit is de voorbeeldregel in QRadar.

Diagram met een algemene eigenschapstestregel die gebruikmaakt van een reguliere expressie.

Algemene eigenschapstests: Voorbeeld van reguliere expressie (KQL)

Dit is de algemene eigenschapstestregel met een reguliere expressie in KQL.

CommonSecurityLog
| where tostring(SourcePort) matches regex @"\d{1,5}" or tostring(DestinationPort) matches regex @"\d{1,5}"

Algemene eigenschapstests: voorbeeld van AQL-filterquery (QRadar)

Hier volgt de syntaxis voor een voorbeeld van een algemene QRadar-eigenschapstestregel die gebruikmaakt van een AQL-filterquery.

when the event matches <this> AQL filter query

Dit is de voorbeeldregel in QRadar.

Diagram met een algemene eigenschapstestregel die gebruikmaakt van een A Q L-filterquery.

Algemene eigenschapstests: voorbeeld van een AQL-filterquery (KQL)

Hier volgt de algemene regel voor eigenschapstests met een AQL-filterquery in KQL.

CommonSecurityLog
| where SourceIP == '10.1.1.10'

Algemene eigenschapstests: is gelijk aan/niet gelijk aan voorbeeld (QRadar)

Hier volgt de syntaxis voor een voorbeeld van een algemene QRadar-eigenschapstestregel die gebruikmaakt van de equals operator of not equals .

and when <this property> <equals/not equals> <this property>

Dit is de voorbeeldregel in QRadar.

Diagram dat een algemene eigenschapstestregel illustreert die gebruikmaakt van gelijken/niet gelijk aans.

Algemene eigenschapstests: is gelijk aan/niet gelijk aan voorbeeld (KQL)

Dit is de algemene eigenschapstestregel met de equals operator of not equals in KQL.

CommonSecurityLog
| where SourceIP == DestinationIP

Syntaxis van datum-/tijdtests

Dit is de QRadar-syntaxis voor een datum-/tijdtestregel.

Diagram dat de syntaxis van een datum-/tijdtestregel illustreert.

Datum-/tijdtests: geselecteerde dag van het maandvoorbeeld (QRadar)

Hier volgt de syntaxis voor een voorbeeld van een QRadar-regel voor datum-/tijdtests die een geselecteerde dag van de maand gebruikt.

and when the event(s) occur <on/after/before> the <selected> day of the month

Dit is de voorbeeldregel in QRadar.

Diagram met een datum/tijd testregel die gebruikmaakt van een geselecteerde dag.

Datum-/tijdtests: geselecteerde dag van het maandvoorbeeld (KQL)

Hier volgt de regel voor datum-/tijdtests met een geselecteerde dag van de maand in KQL.

SecurityEvent
 | where dayofmonth(TimeGenerated) < 4

Datum-/tijdtests: voorbeeld van geselecteerde dag van de week (QRadar)

Hier volgt de syntaxis voor een voorbeeld van een QRadar-regel voor datum-/tijdtests die een geselecteerde dag van de week gebruikt:

and when the event(s) occur on any of <these days of the week{Monday, Tuesday, Wednesday, Thursday, Friday, Saturday, Sunday}>

Dit is de voorbeeldregel in QRadar.

Diagram met een datum/tijd-testregel die gebruikmaakt van een geselecteerde dag van de week.

Datum-/tijdtests: voorbeeld van geselecteerde dag van de week (KQL)

Dit is de regel voor datum-/tijdtests met een geselecteerde dag van de week in KQL.

SecurityEvent
 | where dayofweek(TimeGenerated) between (3d .. 5d)

Datum-/tijdtests: na/voor/bij voorbeeld (QRadar)

Hier volgt de syntaxis voor een voorbeeld van een QRadar-regel voor datum-/tijdtests die gebruikmaakt van de afteroperator , beforeof at .

and when the event(s) occur <after/before/at> <this time{12.00AM, 12.05AM, ...11.50PM, 11.55PM}>

Dit is de voorbeeldregel in QRadar.

Diagram met een datum/tijd-testregel die gebruikmaakt van de operator after/before/at.

Datum/tijd-tests: na/voor/bij voorbeeld (KQL)

Dit is de regel voor datum-/tijdtests die gebruikmaakt van de afteroperator , beforeof at in KQL.

SecurityEvent
| where format_datetime(TimeGenerated,'HH:mm')=="23:55"

TimeGenerated is in UTC/GMT.

Syntaxis van gebeurteniseigenschapstests

Dit is de QRadar-syntaxis voor een testregel voor een gebeurteniseigenschap.

Diagram dat de syntaxis van een gebeurteniseigenschap test.

Gebeurteniseigenschapstests: VOORBEELD VAN IP-protocol (QRadar)

Hier volgt de syntaxis voor een voorbeeld van een QRadar-gebeurteniseigenschapstestregel die gebruikmaakt van een IP-protocol.

and when the IP protocol is one of the following <protocols>

Dit is de voorbeeldregel in QRadar.

Diagram met een gebeurteniseigenschapstestregel die gebruikmaakt van een I P-protocol.

Gebeurteniseigenschapstests: VOORBEELD VAN IP-protocol (KQL)

CommonSecurityLog
| where Protocol in ("UDP","ICMP")

Tests van gebeurteniseigenschappen: Voorbeeld van tekenreeks voor gebeurtenislading (QRadar)

Hier volgt de syntaxis voor een voorbeeld van een QRadar-gebeurteniseigenschapsregel die gebruikmaakt van een Event Payload tekenreekswaarde.

and when the Event Payload contains <this string>

Dit is de voorbeeldregel in QRadar.

Diagram met een testregel voor een gebeurteniseigenschap die gebruikmaakt van een tekenreeks voor nettolading van gebeurtenissen.

Tests van gebeurteniseigenschappen: Voorbeeld van tekenreeks voor gebeurtenislading (KQL)

CommonSecurityLog
| where DeviceVendor has "Palo Alto"

search "Palo Alto"

Als u de prestaties wilt optimaliseren, vermijdt u het gebruik van de search opdracht als u de tabelnaam al kent.

Functies: syntaxis van tellers

Dit is de QRadar-syntaxis voor een functieregel die gebruikmaakt van tellers.

Diagram dat de syntaxis illustreert van een functieregel die gebruikmaakt van tellers.

Tellers: voorbeeld van gebeurteniseigenschap en tijd (QRadar)

Hier volgt de syntaxis voor een voorbeeld van een QRadar-functieregel die gebruikmaakt van een gedefinieerd aantal gebeurteniseigenschappen in een gedefinieerd aantal minuten.

and when at least <this many> events are seen with the same <event properties> in <this many> <minutes>

Dit is de voorbeeldregel in QRadar.

Diagram met een functieregel die gebruikmaakt van gebeurteniseigenschappen.

Tellers: gebeurteniseigenschap en tijdvoorbeeld (KQL)

CommonSecurityLog
| summarize Count = count() by SourceIP, DestinationIP
| where Count >= 5

Functies: syntaxis van negatieve voorwaarden

Dit is de QRadar-syntaxis voor een functieregel die gebruikmaakt van negatieve voorwaarden.

Diagram dat de syntaxis illustreert van een functieregel die negatieve voorwaarden gebruikt.

Voorbeeld van negatieve voorwaarden (QRadar)

Hier volgt de syntaxis voor een voorbeeld van een QRadar-functieregel die negatieve voorwaarden gebruikt.

and when none of <these rules> match in <this many> <minutes> after <these rules> match with the same <event properties>

Hier volgen twee gedefinieerde regels in QRadar. De negatieve voorwaarden zijn gebaseerd op deze regels.

Diagram dat een gebeurteniseigenschap testregel illustreert die moet worden gebruikt voor een regel met negatieve voorwaarden.

Diagram met een algemene eigenschapstestregel die moet worden gebruikt voor een regel met negatieve voorwaarden.

Hier volgt een voorbeeld van de regel voor negatieve voorwaarden op basis van de bovenstaande regels.

Diagram van een functieregel met negatieve voorwaarden.

Voorbeeld van negatieve voorwaarden (KQL)

let spanoftime = 10m;
let Test2 = (
CommonSecurityLog
| where Protocol !in ("UDP","ICMP")
| where TimeGenerated > ago(spanoftime)
);
let Test6 = (
CommonSecurityLog
| where SourceIP == DestinationIP
);
Test2
| join kind=rightanti Test6 on $left. SourceIP == $right. SourceIP and $left. Protocol ==$right. Protocol

Functies: syntaxis van eenvoudige voorwaarden

Hier volgt de QRadar-syntaxis voor een functieregel die gebruikmaakt van eenvoudige voorwaarden.

Diagram dat de syntaxis illustreert van een functieregel die gebruikmaakt van eenvoudige voorwaarden.

Voorbeeld van eenvoudige voorwaarden (QRadar)

Hier volgt de syntaxis voor een voorbeeld van een QRadar-functieregel die gebruikmaakt van eenvoudige voorwaarden.

and when an event matches <any|all> of the following <rules>

Dit is de voorbeeldregel in QRadar.

Diagram met een functieregel met eenvoudige voorwaarden.

Voorbeeld van eenvoudige voorwaarden (KQL)

CommonSecurityLog
| where Protocol !in ("UDP","ICMP") or SourceIP == DestinationIP

Syntaxis van IP-/poorttests

Dit is de QRadar-syntaxis voor een IP-/poorttestregel.

Diagram dat de syntaxis van een IP-/poorttestregel illustreert.

IP-/poorttests: voorbeeld van bronpoort (QRadar)

Dit is de syntaxis voor een voorbeeld van een QRadar-regel die een bronpoort opgeeft.

and when the source port is one of the following <ports>

Dit is de voorbeeldregel in QRadar.

Diagram met een regel die een bronpoort aangeeft.

IP-/poorttests: voorbeeld van bronpoort (KQL)

CommonSecurityLog
| where SourcePort == 20

IP-/poorttests: voorbeeld van bron-IP (QRadar)

Hier volgt de syntaxis voor een voorbeeld-QRadar-regel die een bron-IP opgeeft.

and when the source IP is one of the following <IP addresses>

Dit is de voorbeeldregel in QRadar.

Diagram met een regel die een bron-IP-adres aangeeft.

IP-/poorttests: Voorbeeld van bron-IP (KQL)

CommonSecurityLog
| where SourceIP in ("10.1.1.1","10.2.2.2")

Syntaxis van logboekbrontests

Dit is de QRadar-syntaxis voor een regel voor logboekbrontests.

Diagram waarin de syntaxis van een testregel voor logboekbronnen wordt geïllustreerd.

Voorbeeld van logboekbron (QRadar)

Hier volgt de syntaxis voor een QRadar-voorbeeldregel die logboekbronnen opgeeft.

and when the event(s) were detected by one or more of these <log source types>

Dit is de voorbeeldregel in QRadar.

Diagram met een regel die logboekbronnen opgeeft.

Voorbeeld van logboekbron (KQL)

OfficeActivity
| where OfficeWorkload == "Exchange"

Volgende stappen

In dit artikel hebt u geleerd hoe u uw migratieregels van QRadar kunt toewijzen aan Microsoft Sentinel.

Uw SOAR-automatisering migreren

  • Last updated on