Migreren naar Microsoft Sentinel met de SIEM-migratie-ervaring

  • Van toepassing op: Microsoft Sentinel in the Microsoft Defender portal

Het SIEM-migratieprogramma analyseert Splunk- en QRadar-detecties, inclusief aangepaste detecties, en raadt de best passende Microsoft Sentinel detectieregels aan. Het biedt ook aanbevelingen voor gegevensconnectors, zowel connectors van Microsoft als van derden die beschikbaar zijn in Content Hub om de aanbevolen detecties in te schakelen. Klanten kunnen de migratie bijhouden door de juiste status toe te wijzen aan elke aanbevelingskaart.

Opmerking

Het oude migratieprogramma is afgeschaft. In dit artikel wordt de huidige SIEM-migratie-ervaring beschreven.

De SIEM-migratie-ervaring bevat de volgende functies:

  • De ervaring is gericht op het migreren van Splunk- en QRadar-beveiligingsbewaking naar Microsoft Sentinel en het waar mogelijk toewijzen van out-of-the-box (OOTB) analyseregels.
  • De ervaring ondersteunt de migratie van Splunk- en QRadar-detecties naar Microsoft Sentinel analyseregels.

Vereisten

Opmerking

Het SIEM-migratieprogramma wordt mogelijk gemaakt door Security Copilot, dus u moet Security Copilot ingeschakeld in uw tenant om het te gebruiken. Het verbruikt echter geen SKU's of genereert geen kosten op basis van SCU, ongeacht hoe u deze configureert. U kunt uw Security Copilot instellen optimaliseren op basis van uw voorkeuren voor toegang en kostenbeheer, en de werkstroom blijft volledig SCU-vrij. Elk SCU-gebruik is alleen van toepassing op andere Security Copilot functies die u opzettelijk gebruikt.

Schermopname van de Security Copilot instellingen voor gebruikscontrole.

Detectieregels exporteren vanuit uw huidige SIEM

Voer in de app Zoeken en rapporteren in Splunk de volgende query uit:

| rest splunk_server=local count=0 /servicesNS/-/-/saved/searches | search disabled=0 | search alert_threshold != "" | table title, search, description, cron_schedule, dispatch.earliest_time, alert.severity, alert_comparator, alert_threshold, alert.suppress.period, id, eai:acl.app, actions, action.correlationsearch.annotations, action.correlationsearch.enabled | tojson | table _raw | rename _raw as alertrules | mvcombine delim=", " alertrules | append [ | rest splunk_server=local count=0 /servicesNS/-/-/admin/macros | table title,definition,args,iseval | tojson | table _raw | rename _raw as macros | mvcombine delim=", " macros ] | filldown alertrules |tail 1

U hebt een Splunk-beheerdersrol nodig om alle Splunk-waarschuwingen te exporteren. Zie Op rollen gebaseerde gebruikerstoegang van Splunk voor meer informatie.

De SIEM-migratie-ervaring starten

Ga als volgt te werk nadat u de regels hebt geëxporteerd:

  1. Ga naar security.microsoft.com.

  2. Selecteer op het tabblad SOC-optimalisatiede optie Uw nieuwe SIEM instellen.

    Schermopname van de optie Uw nieuwe SIEM instellen in de rechterbovenhoek van het scherm SOC-optimalisatie.

  3. Selecteer Migreren vanuit uw huidige SIEM:

    Schermopname van de optie Migreren vanaf huidige SIEM.

  4. Selecteer de SIEM van waaruit u migreert.

    Schermopname van de gebruikersinterface waarin de gebruiker wordt gevraagd de SIEM te selecteren van waaruit ze migreren.

  5. Upload de configuratiegegevens die u hebt geëxporteerd vanuit uw huidige SIEM en selecteer Volgende.

    Het migratieprogramma analyseert de export en identificeert het aantal gegevensbronnen en detectieregels in het bestand dat u hebt opgegeven. Gebruik deze informatie om te bevestigen dat u de juiste export hebt.

    Als de gegevens er niet correct uitzien, selecteert u Bestand vervangen in de rechterbovenhoek en uploadt u een nieuwe export. Wanneer het juiste bestand is geüpload, selecteert u Volgende.

    Schermopname van het bevestigingsscherm met het aantal gegevensbronnen en detectieregels.

  6. Selecteer een werkruimte en selecteer vervolgens Analyseren starten.

    Schermopname van de gebruikersinterface waarin de gebruiker wordt gevraagd een werkruimte te selecteren.

    Het migratiehulpprogramma wijst de detectieregels toe aan Microsoft Sentinel gegevensbronnen en detectieregels. Als er geen aanbevelingen in de werkruimte zijn, worden er aanbevelingen gemaakt. Als er bestaande aanbevelingen zijn, verwijdert het hulpprogramma deze en vervangt deze door nieuwe.

    Schermopname van het migratieprogramma dat zich voorbereidt op het analyseren van de regels.

  7. Vernieuw de pagina en selecteer de status van de SIEM-installatieanalyse om de voortgang van de analyse weer te geven:

    Schermopname van de siem-instellingsanalysestatus met de voortgang van de analyse.

    Deze pagina wordt niet automatisch vernieuwd. Als u de meest recente status wilt zien, sluit u de pagina en opent u deze opnieuw.

    De analyse is voltooid wanneer alle drie de vinkjes groen zijn. Als de drie vinkjes groen zijn, maar er geen aanbevelingen zijn, betekent dit dat er geen overeenkomsten zijn gevonden voor uw regels.

    Schermopname van alle drie de vinkjes groen om aan te geven dat de analyse is voltooid.

    Wanneer de analyse is voltooid, genereert het migratieprogramma aanbevelingen op basis van use-case, gegroepeerd op Content Hub-oplossingen. U kunt ook een gedetailleerd rapport van de analyse downloaden. Het rapport bevat een gedetailleerde analyse van aanbevolen migratietaken, inclusief Splunk-regels waarvoor we geen goede oplossing hebben gevonden, niet zijn gedetecteerd of die niet van toepassing zijn.

    Een schermopname van aanbevelingen die zijn gegenereerd door het migratiehulpprogramma.

    Filter aanbevelingstype op SIEM Setup om migratieaanbevelingsaanbeveling te zien.

  8. Selecteer een van de aanbevelingskaarten om de toegewezen gegevensbronnen en regels weer te geven.

    Een schermopname van een aanbevelingskaart.

    Het hulpprogramma komt overeen met de Splunk-regels voor out-of-box Microsoft Sentinel gegevensconnectors en out-of-box Microsoft Sentinel detectieregels. Op het tabblad Connectors ziet u de gegevensconnectors die overeenkomen met de regels van uw SIEM en de status (verbonden of niet verbroken). Als de connector die u wilt gebruiken nog niet is verbonden, kunt u verbinding maken via het tabblad Connector. Als er geen connector is geïnstalleerd, gaat u naar de hub Inhoud en installeert u de oplossing die de connector bevat die u wilt gebruiken.

    Schermopname van Microsoft Sentinel gegevensconnectors die overeenkomen met Splunk- of QRadar-regels.

    Op het tabblad Detecties ziet u de volgende informatie:

    • Aanbevelingen van het SIEM-migratiehulpprogramma.
    • De huidige Splunk-detectieregel uit het geüploade bestand.
    • De status van de detectieregel in Microsoft Sentinel. De status kan zijn:
      • Ingeschakeld: de detectieregel wordt gemaakt op basis van de regelsjabloon, ingeschakeld en actief (op basis van een vorige actie)
      • Uitgeschakeld: de detectieregel wordt geïnstalleerd vanuit de Content Hub, maar niet ingeschakeld in de Microsoft Sentinel-werkruimte
      • Niet in gebruik: de detectieregel is geïnstalleerd vanuit Content Hub en is beschikbaar als een sjabloon die moet worden ingeschakeld
      • Niet geïnstalleerd: de detectieregel is niet geïnstalleerd vanuit de Content Hub
    • De vereiste connectors die moeten worden geconfigureerd om de logboeken te brengen die vereist zijn voor de aanbevolen detectieregel. Als er geen vereiste connector beschikbaar is, is er een zijpaneel met een wizard om deze te installeren vanuit de Content Hub. Als alle vereiste connectors zijn verbonden, wordt er een groen vinkje weergegeven.

    Schermopname van Microsoft Sentinel detectieregels die overeenkomen met Splunk- of QRadar-regels.

Detectieregels inschakelen

Wanneer u een regel selecteert, wordt het zijpaneel regelsdetails geopend en kunt u de details van de regelsjabloon bekijken.

Schermopname van het zijpaneel met regeldetails.

  • Als de gekoppelde gegevensconnector is geïnstalleerd en geconfigureerd, selecteert u Detectie inschakelen om de detectieregel in te schakelen.

    Schermopname van de knop Detectie inschakelen in het zijpaneel met regeldetails.

  • Selecteer Meer acties>Handmatig maken om de wizard Analyseregels te openen, zodat u de regel kunt bekijken en bewerken voordat u deze inschakelt.

  • Als de regel al is ingeschakeld, selecteert u Bewerken om de wizard Analyseregels te openen om de regel te controleren en te bewerken.

    Schermopname van de knop Meer acties in de wizard Regels.

    De wizard toont de Splunk SPL-regel en u kunt deze vergelijken met de Microsoft Sentinel KQL.

    Schermopname van de vergelijking tussen de Splunk SPL-regel en Microsoft Sentinel KQL.

Tip

In plaats van handmatig nieuwe regels te maken, kan het sneller en eenvoudiger zijn om de regel in te schakelen vanuit de sjabloon en deze vervolgens zo nodig te bewerken.

Als de gegevensconnector niet is geïnstalleerd en geconfigureerd voor het streamen van logboeken, is Detectie inschakelen uitgeschakeld.

  • U kunt meerdere regels tegelijk inschakelen door de selectievakjes naast elke regel die u wilt inschakelen in te schakelen en vervolgens Geselecteerde detecties inschakelen bovenaan de pagina te selecteren.

    Schermopname van de lijst met regels op het tabblad Detectie met selectievakjes ernaast.

Het SIEM-migratieprogramma installeert geen connectors en schakelt geen detectieregels in.

Beperkingen

  • Het migratiehulpprogramma wijst de exportregels toe aan out-of-the-box Microsoft Sentinel gegevensconnectors en detectieregels.
  • Last updated on