Migrar regras de deteção do QRadar para Microsoft Sentinel

Este artigo descreve como identificar, comparar e migrar as regras de deteção do QRadar para Microsoft Sentinel regras incorporadas.

Identificar e migrar regras

Microsoft Sentinel utiliza a análise de machine learning para criar incidentes de alta fidelidade e acionáveis e algumas das suas deteções existentes podem ser redundantes no Microsoft Sentinel. Por conseguinte, não migre todas as regras de deteção e análise de forma cega. Reveja estas considerações à medida que identifica as regras de deteção existentes.

• Certifique-se de que seleciona casos de utilização que justificam a migração de regras, considerando a prioridade comercial e a eficiência.
• Verifique se compreende Microsoft Sentinel tipos de regras.
• Verifique se compreende a terminologia da regra.
• Reveja as regras que não acionaram quaisquer alertas nos últimos 6 a 12 meses e determine se ainda são relevantes.
• Elimine alertas ou ameaças de baixo nível que ignora regularmente.
• Utilize a funcionalidade existente e verifique se as regras de análise incorporadas do Microsoft Sentinel podem resolver os seus casos de utilização atuais. Uma vez que Microsoft Sentinel utiliza a análise de machine learning para produzir incidentes acionáveis e de alta fidelidade, é provável que algumas das suas deteções existentes já não sejam necessárias.
• Confirme as origens de dados ligadas e reveja os métodos de ligação de dados. Revisite as conversações de recolha de dados para garantir a profundidade e a amplitude dos dados em todos os casos de utilização que planeia detetar.
• Explore os recursos da comunidade, como o Marketplace de Deteção de Ameaças Principais do SOC , para verificar se as suas regras estão disponíveis.
• Considere se um conversor de consulta online, como Uncoder.io, pode funcionar para as suas regras.
• Se as regras não estiverem disponíveis ou não puderem ser convertidas, têm de ser criadas manualmente através de uma consulta KQL. Reveja o mapeamento de regras para criar novas consultas.

Saiba mais sobre as melhores práticas para migrar regras de deteção.

Para migrar as regras de análise para Microsoft Sentinel:

1. Verifique se tem um sistema de teste implementado para cada regra que pretende migrar.

   1. Prepare um processo de validação para as regras migradas, incluindo scripts e cenários de teste completos.

   2. Certifique-se de que a sua equipa tem recursos úteis para testar as regras migradas.

   3. Confirme que tem as origens de dados necessárias ligadas e reveja os métodos de ligação de dados.

2. Verifique se as deteções estão disponíveis como modelos incorporados no Hub de Conteúdos:

   • Se as regras incorporadas forem suficientes, instale as soluções relevantes e utilize os modelos para criar regras para a área de trabalho.

     1. No Microsoft Sentinel, aceda a Hub de conteúdo gestão > de conteúdos.
     2. Procure e instale a regra de análise relevante.

     Para obter mais informações, consulte Detetar e gerir Microsoft Sentinel conteúdo inicial e Criar regras de análise agendada a partir de modelos.

   • Se tiver deteções que não estão abrangidas pelas regras incorporadas disponíveis no HubContent, experimente um conversor de consultas online, como Uncoder.io para converter as suas consultas em KQL.

     Identifique a condição do acionador e a ação da regra e, em seguida, construa e reveja a consulta KQL.

   • Se nem as soluções do Hub de Conteúdos nem um conversor de regras online forem suficientes, terá de criar a regra manualmente. Nestes casos, utilize os seguintes passos para começar a criar a regra:

     1. Identifique as origens de dados que pretende utilizar na regra. Vai querer criar uma tabela de mapeamento entre origens de dados e tabelas de dados no Microsoft Sentinel para identificar as tabelas que pretende consultar.

     2. Identifique quaisquer atributos, campos ou entidades nos seus dados que pretenda utilizar nas suas regras.

     3. Identifique os critérios e a lógica da regra. Nesta fase, poderá querer utilizar modelos de regras como exemplos de como construir as suas consultas KQL como exemplos de como construir as suas consultas KQL.

        Considere filtros, regras de correlação, listas ativas, conjuntos de referência, listas de observação, anomalias de deteção, agregações, etc. Pode utilizar referências fornecidas pelo siEM legado para compreender como mapear melhor a sintaxe da consulta.

     4. Identifique a condição do acionador e a ação da regra e, em seguida, construa e reveja a consulta KQL. Ao rever a consulta, considere os recursos de orientação de otimização do KQL.

3. Teste a regra com cada um dos seus casos de utilização relevantes. Se não fornecer os resultados esperados, poderá querer rever o KQL e testá-lo novamente.

4. Quando estiver satisfeito, pode considerar a regra migrada. Crie um manual de procedimentos para a sua ação de regra conforme necessário. Para obter mais informações, veja Automatizar a resposta a ameaças com manuais de procedimentos no Microsoft Sentinel.

Saiba mais sobre as regras de análise:

• Regras de análise agendadas no Microsoft Sentinel. Utilize o agrupamento de alertas para reduzir a fadiga dos alertas ao agrupar alertas que ocorrem dentro de um determinado período de tempo.
• Mapeie campos de dados para entidades no Microsoft Sentinel para permitir que os engenheiros do SOC definam entidades como parte das provas a controlar durante uma investigação. O mapeamento de entidades também permite que os analistas do SOC tirem partido de um gráfico de investigação intuitivo que pode ajudar a reduzir o tempo e o esforço.
• Investigue incidentes com dados UEBA, como exemplo de como utilizar provas para ver eventos, alertas e quaisquer marcadores associados a um incidente específico no painel de pré-visualização de incidentes.
• Linguagem de Pesquisa Kusto (KQL), que pode utilizar para enviar pedidos só de leitura para a base de dados do Log Analytics para processar dados e devolver resultados. O KQL também é utilizado noutros serviços Microsoft, como o Microsoft Defender para Endpoint e o Application Insights.

Comparar terminologia de regra

Esta tabela ajuda-o a clarificar o conceito de uma regra no Microsoft Sentinel em comparação com o QRadar.

Mapear e comparar exemplos de regras

Utilize estes exemplos para comparar e mapear regras do QRadar para Microsoft Sentinel em vários cenários.

Sintaxe de testes de propriedade comuns

Eis a sintaxe QRadar para uma regra de testes de propriedade comum.

Testes de propriedade comuns: Exemplo de expressão regular (QRadar)

Eis a sintaxe de uma regra de testes de propriedade comum do QRadar de exemplo que utiliza uma expressão regular:

when any of <these properties> match <this regular expression>

Eis a regra de exemplo no QRadar.

Testes de propriedade comuns: Exemplo de expressão regular (KQL)

Eis a regra de testes de propriedade comum com uma expressão regular no KQL.

CommonSecurityLog
| where tostring(SourcePort) matches regex @"\d{1,5}" or tostring(DestinationPort) matches regex @"\d{1,5}"

Testes de propriedade comuns: exemplo de consulta de filtro AQL (QRadar)

Eis a sintaxe de uma regra de teste de propriedade comum do QRadar de exemplo que utiliza uma consulta de filtro do AQL.

when the event matches <this> AQL filter query

Eis a regra de exemplo no QRadar.

Testes de propriedade comuns: exemplo de consulta de filtro AQL (KQL)

Eis a regra de testes de propriedades comuns com uma consulta de filtro AQL no KQL.

CommonSecurityLog
| where SourceIP == '10.1.1.10'

Testes de propriedade comuns: é igual/não é igual a exemplo (QRadar)

Eis a sintaxe de uma regra de teste de propriedade comum QRadar de exemplo que utiliza o equals operador ou not equals .

and when <this property> <equals/not equals> <this property>

Eis a regra de exemplo no QRadar.

Testes de propriedade comuns: é igual/não é igual a exemplo (KQL)

Eis a regra de testes de propriedades comuns com o equals operador ou not equals no KQL.

CommonSecurityLog
| where SourceIP == DestinationIP

Sintaxe de testes de data/hora

Eis a sintaxe QRadar para uma regra de testes de data/hora.

Testes de data/hora: Dia selecionado do exemplo do mês (QRadar)

Eis a sintaxe de uma regra de teste de data/hora do QRadar de exemplo que utiliza um dia do mês selecionado.

and when the event(s) occur <on/after/before> the <selected> day of the month

Eis a regra de exemplo no QRadar.

Testes de data/hora: Dia selecionado do exemplo de mês (KQL)

Eis a regra de testes de data/hora com um dia do mês selecionado na KQL.

SecurityEvent
 | where dayofmonth(TimeGenerated) < 4

Testes de data/hora: Exemplo de dia da semana selecionado (QRadar)

Eis a sintaxe de uma regra de teste de data/hora do QRadar de exemplo que utiliza um dia da semana selecionado:

and when the event(s) occur on any of <these days of the week{Monday, Tuesday, Wednesday, Thursday, Friday, Saturday, Sunday}>

Eis a regra de exemplo no QRadar.

Testes de data/hora: dia selecionado do exemplo de semana (KQL)

Eis a regra de testes de data/hora com um dia da semana selecionado na KQL.

SecurityEvent
 | where dayofweek(TimeGenerated) between (3d .. 5d)

Testes de data/hora: depois/antes/no exemplo (QRadar)

Eis a sintaxe de uma regra de teste de data/hora do QRadar de exemplo que utiliza o afteroperador , beforeou at .

and when the event(s) occur <after/before/at> <this time{12.00AM, 12.05AM, ...11.50PM, 11.55PM}>

Eis a regra de exemplo no QRadar.

Testes de data/hora: depois/antes/no exemplo (KQL)

Eis a regra de testes de data/hora que utiliza o afteroperador , beforeou at no KQL.

SecurityEvent
| where format_datetime(TimeGenerated,'HH:mm')=="23:55"

TimeGenerated está em UTC/GMT.

Sintaxe dos testes de propriedade do evento

Eis a sintaxe QRadar para uma regra de testes de propriedades de eventos.

Testes de propriedades de eventos: exemplo de protocolo IP (QRadar)

Eis a sintaxe de uma regra de testes de propriedades de eventos QRadar de exemplo que utiliza um protocolo IP.

and when the IP protocol is one of the following <protocols>

Eis a regra de exemplo no QRadar.

Testes de propriedades de eventos: exemplo de protocolo IP (KQL)

CommonSecurityLog
| where Protocol in ("UDP","ICMP")

Testes de propriedades de eventos: Exemplo de cadeia de payload de eventos (QRadar)

Eis a sintaxe de uma regra de testes de propriedades de eventos QRadar de exemplo que utiliza um Event Payload valor de cadeia.

and when the Event Payload contains <this string>

Eis a regra de exemplo no QRadar.

Testes de propriedades de eventos: Exemplo de cadeia de payload de eventos (KQL)

CommonSecurityLog
| where DeviceVendor has "Palo Alto"

search "Palo Alto"

Para otimizar o desempenho, evite utilizar o search comando se já souber o nome da tabela.

Funções: sintaxe de contadores

Eis a sintaxe QRadar para uma regra de funções que utiliza contadores.

Contadores: exemplo de tempo e propriedade do evento (QRadar)

Eis a sintaxe de uma regra de funções QRadar de exemplo que utiliza um número definido de propriedades de evento num número definido de minutos.

and when at least <this many> events are seen with the same <event properties> in <this many> <minutes>

Eis a regra de exemplo no QRadar.

Contadores: Exemplo de tempo e propriedade do evento (KQL)

CommonSecurityLog
| summarize Count = count() by SourceIP, DestinationIP
| where Count >= 5

Funções: sintaxe de condições negativas

Eis a sintaxe QRadar para uma regra de funções que utiliza condições negativas.

Exemplo de condições negativas (QRadar)

Eis a sintaxe de uma regra de funções QRadar de exemplo que utiliza condições negativas.

and when none of <these rules> match in <this many> <minutes> after <these rules> match with the same <event properties>

Eis duas regras definidas no QRadar. As condições negativas basear-se-ão nestas regras.

Eis uma amostra da regra de condições negativas com base nas regras acima.

Exemplo de condições negativas (KQL)

let spanoftime = 10m;
let Test2 = (
CommonSecurityLog
| where Protocol !in ("UDP","ICMP")
| where TimeGenerated > ago(spanoftime)
);
let Test6 = (
CommonSecurityLog
| where SourceIP == DestinationIP
);
Test2
| join kind=rightanti Test6 on $left. SourceIP == $right. SourceIP and $left. Protocol ==$right. Protocol

Funções: sintaxe de condições simples

Eis a sintaxe QRadar para uma regra de funções que utiliza condições simples.

Exemplo de condições simples (QRadar)

Eis a sintaxe de uma regra de funções QRadar de exemplo que utiliza condições simples.

and when an event matches <any|all> of the following <rules>

Eis a regra de exemplo no QRadar.

Exemplo de condições simples (KQL)

CommonSecurityLog
| where Protocol !in ("UDP","ICMP") or SourceIP == DestinationIP

Sintaxe dos testes de IP/porta

Eis a sintaxe QRadar para uma regra de testes de IP/porta.

Testes de IP/porta: exemplo de porta de origem (QRadar)

Eis a sintaxe de uma regra QRadar de exemplo que especifica uma porta de origem.

and when the source port is one of the following <ports>

Eis a regra de exemplo no QRadar.

Testes de IP/porta: exemplo de porta de origem (KQL)

CommonSecurityLog
| where SourcePort == 20

Testes de IP/porta: exemplo de IP de origem (QRadar)

Eis a sintaxe de uma regra QRadar de exemplo que especifica um IP de origem.

and when the source IP is one of the following <IP addresses>

Eis a regra de exemplo no QRadar.

Testes de IP/porta: exemplo de IP de origem (KQL)

CommonSecurityLog
| where SourceIP in ("10.1.1.1","10.2.2.2")

Sintaxe dos testes de origem de registo

Eis a sintaxe do QRadar para uma regra de testes de origem de registo.

Exemplo de origem de registo (QRadar)

Eis a sintaxe de uma regra QRadar de exemplo que especifica origens de registo.

and when the event(s) were detected by one or more of these <log source types>

Eis a regra de exemplo no QRadar.

Exemplo de origem de registo (KQL)

OfficeActivity
| where OfficeWorkload == "Exchange"

Passos seguintes

Neste artigo, aprendeu a mapear as regras de migração do QRadar para o Microsoft Sentinel.