Migrera till Microsoft Sentinel med SIEM-migrering

  • Gäller för: Microsoft Sentinel in the Microsoft Defender portal

SIEM-migreringsverktyget analyserar Splunk- och QRadar-identifieringar, inklusive anpassade identifieringar, och rekommenderar bästa möjliga Microsoft Sentinel identifieringsregler. Det ger också rekommendationer för dataanslutningar, både Microsoft- och tredjepartsanslutningar som är tillgängliga i Content Hub för att aktivera de rekommenderade identifieringarna. Kunder kan spåra migreringen genom att tilldela rätt status till varje rekommendationskort.

Obs!

Det gamla migreringsverktyget är inaktuellt. Den här artikeln beskriver den aktuella SIEM-migreringsupplevelsen.

SIEM-migreringsupplevelsen innehåller följande funktioner:

  • Upplevelsen fokuserar på att migrera Splunk- och QRadar-säkerhetsövervakning för att Microsoft Sentinel och mappa OOTB-analysregler (out-of-the-box) där det är möjligt.
  • Upplevelsen stöder migrering av Splunk- och QRadar-identifieringar till Microsoft Sentinel analysregler.

Förhandskrav

Obs!

SIEM-migreringsverktyget drivs av Security Copilot, så du behöver Security Copilot aktiverat i klientorganisationen för att kunna använda det. Den förbrukar dock inte SKU:er eller genererar några SCU-baserade avgifter oavsett hur du konfigurerar den. Du kan optimera din Security Copilot konfiguration baserat på dina inställningar för åtkomst och kostnadshantering, och arbetsflödet förblir helt SCU-fritt. All SCU-användning gäller endast för andra Security Copilot funktioner som du avsiktligt använder.

Skärmbild av inställningarna för Security Copilot användningsövervakning.

Exportera identifieringsregler från din aktuella SIEM

Kör följande fråga i sök- och rapporteringsappen i Splunk:

| rest splunk_server=local count=0 /servicesNS/-/-/saved/searches | search disabled=0 | search alert_threshold != "" | table title, search, description, cron_schedule, dispatch.earliest_time, alert.severity, alert_comparator, alert_threshold, alert.suppress.period, id, eai:acl.app, actions, action.correlationsearch.annotations, action.correlationsearch.enabled | tojson | table _raw | rename _raw as alertrules | mvcombine delim=", " alertrules | append [ | rest splunk_server=local count=0 /servicesNS/-/-/admin/macros | table title,definition,args,iseval | tojson | table _raw | rename _raw as macros | mvcombine delim=", " macros ] | filldown alertrules |tail 1

Du behöver en Splunk-administratörsroll för att exportera alla Splunk-aviseringar. Mer information finns i Splunk rollbaserad användaråtkomst.

Starta SIEM-migreringsupplevelsen

När du har exporterat reglerna gör du följande:

  1. Gå till security.microsoft.com.

  2. På fliken SOC-optimering väljer du Konfigurera din nya SIEM.

    Skärmbild av alternativet Konfigurera ditt nya SIEM i det övre högra hörnet på skärmen SOC-optimering.

  3. Välj Migrera från din aktuella SIEM:

    Skärmbild av alternativet Migrera från aktuell SIEM.

  4. Välj den SIEM som du migrerar från.

    Skärmbild av användargränssnittet där användaren uppmanas att välja den SIEM som de migrerar från.

  5. Ladda upp konfigurationsdata som du exporterade från din aktuella SIEM och välj Nästa.

    Migreringsverktyget analyserar exporten och identifierar antalet datakällor och identifieringsregler i filen som du angav. Använd den här informationen för att bekräfta att du har rätt export.

    Om data inte ser korrekta ut väljer du Ersätt fil i det övre högra hörnet och laddar upp en ny export. När rätt fil har laddats upp väljer du Nästa.

    Skärmbild av bekräftelseskärmen som visar antalet datakällor och identifieringsregler.

  6. Välj en arbetsyta och välj sedan Börja analysera.

    Skärmbild av användargränssnittet där användaren uppmanas att välja en arbetsyta.

    Migreringsverktyget mappar identifieringsreglerna till Microsoft Sentinel datakällor och identifieringsregler. Om det inte finns några rekommendationer på arbetsytan skapas rekommendationer. Om det finns befintliga rekommendationer tar verktyget bort och ersätter dem med nya.

    Skärmbild av migreringsverktyget som gör sig redo att analysera reglerna.

  7. Uppdatera sidan och välj status för SIEM-installationsanalys för att visa förloppet för analysen:

    Skärmbild av status för SIEM-konfigurationsanalys som visar förloppet för analysen.

    Den här sidan uppdateras inte automatiskt. Om du vill se den senaste statusen stänger du och öppnar sidan igen.

    Analysen är klar när alla tre bockmarkeringarna är gröna. Om de tre bockmarkeringarna är gröna men det inte finns några rekommendationer innebär det att inga matchningar hittades för dina regler.

    Skärmbild som visar alla tre bockmarkeringarna gröna som indikerar att analysen är klar.

    När analysen är klar genererar migreringsverktyget användningsfallsbaserade rekommendationer grupperade efter Content Hub-lösningar. Du kan också ladda ned en detaljerad rapport över analysen. Rapporten innehåller en detaljerad analys av rekommenderade migreringsjobb, inklusive Splunk-regler som vi inte hittade någon bra lösning för, inte identifierades eller inte var tillämpliga.

    En skärmbild av rekommendationer som genereras av migreringsverktyget.

    Filtrera rekommendationstyp efter SIEM-installation för att se migreringsrekommendationer.

  8. Välj ett av rekommendationskorten för att visa de datakällor och regler som mappats.

    En skärmbild av ett rekommendationskort.

    Verktyget matchar Splunk-reglerna med färdiga Microsoft Sentinel dataanslutningar och färdiga Microsoft Sentinel identifieringsregler. Fliken Anslutningsappar visar de dataanslutningar som matchas med reglerna från SIEM och statusen (ansluten eller inte frånkopplad). Om anslutningsappen som du vill använda inte redan är ansluten kan du ansluta från fliken anslutningsprogram. Om en anslutningsapp inte är installerad går du till innehållshubben och installerar lösningen som innehåller anslutningsappen som du vill använda.

    Skärmbild av Microsoft Sentinel dataanslutningar som matchas med Splunk- eller QRadar-regler.

    Fliken Identifieringar visar följande information:

    • Rekommendationer från SIEM-migreringsverktyget.
    • Den aktuella Splunk-identifieringsregeln från den uppladdade filen.
    • Status för identifieringsregeln i Microsoft Sentinel. Statusen kan vara:
      • Aktiverad: Identifieringsregeln skapas från regelmallen, aktiverad och aktiv (från en tidigare åtgärd)
      • Inaktiverad: Identifieringsregeln installeras från innehållshubben men är inte aktiverad på Microsoft Sentinel-arbetsytan
      • Används inte: Identifieringsregeln installerades från Innehållshubben och är tillgänglig som en mall som ska aktiveras
      • Inte installerad: Identifieringsregeln installerades inte från innehållshubben
    • De anslutningsappar som krävs som måste konfigureras för att ta med loggarna som krävs för den rekommenderade identifieringsregeln. Om en nödvändig anslutningsapp inte är tillgänglig finns det en sidopanel med en guide för att installera den från innehållshubben. Om alla nödvändiga anslutningsappar är anslutna visas en grön bockmarkering.

    Skärmbild av Microsoft Sentinel identifieringsregler som matchas med Splunk- eller QRadar-regler.

Aktivera identifieringsregler

När du väljer en regel öppnas panelen med regelinformation och du kan visa information om regelmallen.

Skärmbild av panelen på sidan regelinformation.

  • Om den associerade dataanslutningen är installerad och konfigurerad väljer du Aktivera identifiering för att aktivera identifieringsregeln.

    Skärmbild av knappen Aktivera identifiering i panelen med regelinformation.

  • Välj Fler åtgärder>Skapa manuellt för att öppna guiden analysregler så att du kan granska och redigera regeln innan du aktiverar den.

  • Om regeln redan är aktiverad väljer du Redigera för att öppna guiden analysregler för att granska och redigera regeln.

    Skärmbild av knappen Fler åtgärder i regelguiden.

    Guiden visar Splunk SPL-regeln och du kan jämföra den med Microsoft Sentinel KQL.

    Skärmbild av jämförelsen mellan Splunk SPL-regeln och Microsoft Sentinel KQL.

Tips

I stället för att skapa regler manuellt från grunden kan det vara snabbare och enklare att aktivera regeln från mallen och sedan redigera den efter behov.

Om dataanslutningsappen inte är installerad och konfigurerad för att strömma loggar inaktiveras Aktivera identifiering .

  • Du kan aktivera flera regler samtidigt genom att markera kryssrutorna bredvid varje regel som du vill aktivera och sedan välja Aktivera valda identifieringar överst på sidan.

    Skärmbild av listan över regler på identifieringsfliken med kryssrutor bredvid sig.

SIEM-migreringsverktyget installerar inte uttryckligen några anslutningsappar eller aktiverar identifieringsregler.

Begränsningar

  • Migreringsverktyget mappar regelexporten till färdiga Microsoft Sentinel dataanslutningar och identifieringsregler.
  • Last updated on