Migrar para Microsoft Sentinel com a experiência de migração SIEM

  • Aplica-se a: Microsoft Sentinel in the Microsoft Defender portal

A ferramenta de migração SIEM analisa as deteções do Splunk e do QRadar, incluindo deteções personalizadas, e recomenda as regras de deteção de Microsoft Sentinel mais adequadas. Também fornece recomendações para conectores de dados, tanto a Microsoft como os conectores de terceiros disponíveis no Hub de Conteúdos para ativar as deteções recomendadas. Os clientes podem controlar a migração ao atribuir o estado certo a cada cartão de recomendação.

Nota

A ferramenta de migração antiga foi preterida. Este artigo descreve a experiência de migração de SIEM atual.

A experiência de Migração do SIEM inclui as seguintes funcionalidades:

  • A experiência centra-se na migração da monitorização de segurança do Splunk e do QRadar para Microsoft Sentinel e mapeamento de regras de análise de configuração inicial (OOTB) sempre que possível.
  • A experiência suporta a migração de deteções do Splunk e do QRadar para Microsoft Sentinel regras de análise.

Pré-requisitos

Nota

A ferramenta de Migração SIEM é alimentada por Security Copilot, pelo que precisa de Security Copilot ativada no seu inquilino para utilizá-la. No entanto, não consome SCUs nem gera quaisquer custos baseados em SCU, não importa como o configure. Pode otimizar a configuração do Security Copilot com base nas suas preferências de acesso e gestão de custos e o fluxo de trabalho permanece completamente livre de SCU. Qualquer utilização de SCU aplicar-se-ia apenas a outras funcionalidades Security Copilot que utiliza intencionalmente.

Captura de ecrã a mostrar as definições de monitorização da utilização do Security Copilot.

Exportar regras de deteção do SIEM atual

Na aplicação Pesquisa e Relatórios no Splunk, execute a seguinte consulta:

| rest splunk_server=local count=0 /servicesNS/-/-/saved/searches | search disabled=0 | search alert_threshold != "" | table title, search, description, cron_schedule, dispatch.earliest_time, alert.severity, alert_comparator, alert_threshold, alert.suppress.period, id, eai:acl.app, actions, action.correlationsearch.annotations, action.correlationsearch.enabled | tojson | table _raw | rename _raw as alertrules | mvcombine delim=", " alertrules | append [ | rest splunk_server=local count=0 /servicesNS/-/-/admin/macros | table title,definition,args,iseval | tojson | table _raw | rename _raw as macros | mvcombine delim=", " macros ] | filldown alertrules |tail 1

Precisa de uma função de administrador do Splunk para exportar todos os alertas do Splunk. Para obter mais informações, veja Splunk role-based user access (Acesso de utilizador baseado em funções do Splunk).

Iniciar a experiência de migração do SIEM

Depois de exportar as regras, faça o seguinte:

  1. Aceda a security.microsoft.com.

  2. No separador Otimização do SOC , selecione Configurar o novo SIEM.

    Captura de ecrã a mostrar a opção Configurar o novo SIEM no canto superior direito do ecrã Otimização do SOC.

  3. Selecione Migrar a partir do SIEM atual:

    Captura de ecrã a mostrar a opção Migrar do SIEM atual.

  4. Selecione o SIEM a partir do qual está a migrar.

    Captura de ecrã da IU a pedir ao utilizador para selecionar o SIEM a partir do qual está a migrar.

  5. Carregue os dados de configuração que exportou do SIEM atual e selecione Seguinte.

    A ferramenta de migração analisa a exportação e identifica o número de origens de dados e regras de deteção no ficheiro que forneceu. Utilize estas informações para confirmar que tem a exportação correta.

    Se os dados não parecerem corretos, selecione Substituir ficheiro no canto superior direito e carregue uma nova exportação. Quando o ficheiro correto for carregado, selecione Seguinte.

    Captura de ecrã do ecrã de confirmação a mostrar o número de origens de dados e regras de deteção.

  6. Selecione uma área de trabalho e, em seguida, selecione Iniciar Análise.

    Captura de ecrã da IU a pedir ao utilizador para selecionar uma área de trabalho.

    A ferramenta de migração mapeia as regras de deteção para Microsoft Sentinel origens de dados e regras de deteção. Se não existirem recomendações na área de trabalho, são criadas recomendações. Se existirem recomendações, a ferramenta elimina-as e substitui-as por novas.

    Captura de ecrã da ferramenta de migração a preparar-se para analisar as regras.

  7. Atualize a página e selecione o estado de análise da configuração do SIEM para ver o progresso da análise:

    Captura de ecrã a mostrar o estado da análise da Configuração do SIEM a mostrar o progresso da análise.

    Esta página não é atualizada automaticamente. Para ver o estado mais recente, feche e reabra a página.

    A análise é concluída quando as três marcas de verificação estiverem verdes. Se as três marcas de verificação estiverem verdes, mas não existirem recomendações, significa que não foram encontradas correspondências para as suas regras.

    Captura de ecrã a mostrar as três marcas de verificação a verde a indicar que a análise está concluída.

    Quando a análise estiver concluída, a ferramenta de migração gera recomendações baseadas em casos de utilização, agrupadas por soluções do Hub de Conteúdos. Também pode transferir um relatório detalhado da análise. O relatório contém uma análise detalhada das tarefas de migração recomendadas, incluindo regras do Splunk para as quais não encontrámos uma boa solução, não foram detetadas ou não foram aplicáveis.

    Uma captura de ecrã das recomendações geradas pela ferramenta de migração.

    Filtre o tipo de recomendação por Configuração do SIEM para ver as recomendações de migração.

  8. Selecione um dos cartões de recomendação para ver as origens de dados e as regras mapeadas.

    Uma captura de ecrã de um cartão de recomendação.

    A ferramenta corresponde às regras do Splunk aos conectores de dados de Microsoft Sentinel inicial e às regras de deteção de Microsoft Sentinel inicial. O separador conectores mostra que os conectores de dados correspondem às regras do SIEM e ao estado (ligados ou não desligados). Se o conector que pretende utilizar ainda não estiver ligado, pode ligar a partir do separador do conector. Se não estiver instalado um conector, aceda ao Hub de conteúdos e instale a solução que contém o conector que pretende utilizar.

    Captura de ecrã a mostrar Microsoft Sentinel conectores de dados correspondentes às regras do Splunk ou do QRadar.

    O separador de deteções mostra as seguintes informações:

    • Recomendações da ferramenta de migração SIEM.
    • A regra de deteção atual do Splunk do ficheiro carregado.
    • O estado da regra de deteção no Microsoft Sentinel. O estado pode ser:
      • Ativada: a regra de deteção é criada a partir do modelo de regra, ativada e ativa (a partir de uma ação anterior)
      • Desativada: a regra de deteção é instalada a partir do Hub de Conteúdos, mas não está ativada na área de trabalho Microsoft Sentinel
      • Não está a ser utilizada: a regra de deteção foi instalada a partir do Hub de Conteúdos e está disponível como um modelo para ser ativado
      • Não instalada: a regra de deteção não foi instalada a partir do Hub de Conteúdos
    • Os conectores necessários que precisam de ser configurados para trazer os registos necessários para a regra de deteção recomendada. Se um conector necessário não estiver disponível, existe um painel lateral com um assistente para instalá-lo a partir do Hub de Conteúdos. Se todos os conectores necessários estiverem ligados, é apresentada uma marca de verificação verde.

    Captura de ecrã a mostrar Microsoft Sentinel regras de deteção correspondidas às regras do Splunk ou do QRadar.

Ativar regras de deteção

Quando seleciona uma regra, o painel lateral detalhes das regras é aberto e pode ver os detalhes do modelo de regras.

Captura de ecrã do painel lateral de detalhes da regra.

  • Se o conector de dados associado estiver instalado e configurado, selecione Ativar deteção para ativar a regra de deteção.

    Captura de ecrã a mostrar o botão Ativar deteção no painel lateral de detalhes da regra.

  • Selecione Mais ações>Criar manualmente para abrir o assistente de regras de análise para que possa rever e editar a regra antes de a ativar.

  • Se a regra já estiver ativada, selecione Editar para abrir o assistente de regras de análise para rever e editar a regra.

    Captura de ecrã a mostrar o botão Mais ações no assistente de regras.

    O assistente mostra a regra splunk spl e pode compará-la com a Microsoft Sentinel KQL.

    Captura de ecrã a mostrar a comparação entre a regra SPLunk e Microsoft Sentinel KQL.

Sugestão

Em vez de criar regras manualmente do zero, pode ser mais rápido e simples ativar a regra a partir do modelo e, em seguida, editá-la conforme necessário.

Se o conector de dados não estiver instalado e configurado para transmitir registos, a opção Ativar deteção está desativada.

  • Pode ativar várias regras ao mesmo tempo ao selecionar as caixas de verificação junto a cada regra que pretende ativar e, em seguida, selecionar Ativar deteções selecionadas na parte superior da página.

    Captura de ecrã da lista de regras no separador de deteção com caixas de verificação junto às mesmas.

A ferramenta de migração SIEM não instala explicitamente nenhum conector ou ativa regras de deteção.

Limitações

  • A ferramenta de migração mapeia as regras exportadas para os conectores de dados e regras de deteção de Microsoft Sentinel inicial.
  • Last updated on