Freigeben über

Migrieren zu Microsoft Sentinel mit der SIEM-Migrationserfahrung

  • Gilt für:: Microsoft Sentinel in the Microsoft Defender portal

Das SIEM-Migrationstool analysiert Splunk-Erkennungen, einschließlich benutzerdefinierter Erkennungen und empfiehlt am besten geeignete Microsoft Sentinel-Erkennungsregeln. Außerdem werden Empfehlungen für Daten-Connectors gegeben, sowohl von Microsoft als auch von Drittanbietern, die in Content Hub verfügbar sind, um die empfohlenen Erkennungen zu ermöglichen. Kunden können die Migration nachverfolgen, indem sie jeder Empfehlungskarte den richtigen Status zuweisen.

Hinweis

Das alte Migrationstool ist veraltet. In diesem Artikel wird die aktuelle SIEM-Migrationserfahrung beschrieben.

Die SIEM-Migrationsumgebung umfasst die folgenden Features:

  • Die Erfahrung konzentriert sich auf die Migration der Splunk-Sicherheitsüberwachung auf Microsoft Sentinel und die Abbildung von Out-of-the-Box (OOTB)-Analyseregeln, wo immer dies möglich ist.
  • Die Erfahrung unterstützt die Migration von Splunk-Erkennungen zu Microsoft Sentinel-Analyseregeln.

Voraussetzungen

  • Microsoft Sentinel im Microsoft Defender-Portal
  • Microsoft Sentinel Contributor-Berechtigungen im Microsoft Sentinel-Arbeitsbereich als Mindestanforderung
  • Security Copilot-Aktivierung in Ihrem Mandanten und mindestens eine zugewiesene Arbeitsbereich-Operator-Rolle

Hinweis

Obwohl Sie Security Copilot in Ihrem Mandanten aktiviert haben, verbraucht er keine SCUs, sodass es keine zusätzlichen Kosten verursacht. Um sicherzustellen, dass Ihnen nach der Einrichtung keine ungewollten Kosten entstehen, navigieren Sie zu Arbeitsbereich verwalten>Nutzungsüberwachung, setzen Sie SCUs auf Null und stellen Sie sicher, dass das Verwenden von Überschreitungseinheiten deaktiviert ist.

Screenshot der Einstellungen für die Nutzungsüberwachung von Security Copilot.

Exportieren von Erkennungsregeln aus Ihrem aktuellen SIEM

Führen Sie in der Such- und Berichterstellungs-App in Splunk die folgende Abfrage aus:

| rest splunk_server=local count=0 /servicesNS/-/-/saved/searches | search disabled=0 | search alert_threshold != "" | table title, search, description, cron_schedule, dispatch.earliest_time, alert.severity, alert_comparator, alert_threshold, alert.suppress.period, id, eai:acl.app, actions, action.correlationsearch.annotations, action.correlationsearch.enabled | tojson | table _raw | rename _raw as alertrules | mvcombine delim=", " alertrules | append [ | rest splunk_server=local count=0 /servicesNS/-/-/admin/macros | table title,definition,args,iseval | tojson | table _raw | rename _raw as macros | mvcombine delim=", " macros ] | filldown alertrules |tail 1

Sie benötigen eine Splunk-Administratorrolle, um alle Splunk-Warnungen zu exportieren. Weitere Informationen finden Sie unter rollenbasierten Benutzerzugriff von Splunk.

Starten der SIEM-Migrationsumgebung

Führen Sie nach dem Exportieren der Regeln die folgenden Schritte aus:

  1. Gehe zu security.microsoft.com.

  2. Wählen Sie auf der Registerkarte "SOC-Optimierung " die Option " Neue SIEM einrichten" aus.

    Screenshot der Option

  3. Wählen Sie "Migrieren aus Splunk" aus:

    Screenshot der Option

  4. Laden Sie die Konfigurationsdaten hoch, die Sie aus Dem aktuellen SIEM exportiert haben, und wählen Sie "Weiter" aus.

    Screenshot der Schaltfläche

    Das Migrationstool analysiert den Export und identifiziert die Anzahl der Datenquellen und Erkennungsregeln in der bereitgestellten Datei. Verwenden Sie diese Informationen, um zu bestätigen, dass Sie über den richtigen Export verfügen.

    Wenn die Daten nicht korrekt aussehen, wählen Sie "Datei ersetzen" in der oberen rechten Ecke aus, und laden Sie einen neuen Export hoch. Wenn die richtige Datei hochgeladen wird, wählen Sie "Weiter" aus.

    Screenshot des Bestätigungsbildschirms mit der Anzahl der Datenquellen und Erkennungsregeln.

  5. Wählen Sie einen Arbeitsbereich aus, und wählen Sie dann " Analyse starten" aus.

    Screenshot der Benutzeroberfläche, in der der Benutzer aufgefordert wird, einen Arbeitsbereich auszuwählen.

    Das Migrationstool ordnet die Erkennungsregeln den Microsoft Sentinel-Datenquellen und Erkennungsregeln zu. Wenn im Arbeitsbereich keine Empfehlungen vorhanden sind, werden Empfehlungen erstellt. Wenn vorhandene Empfehlungen vorhanden sind, löscht das Tool sie und ersetzt sie durch neue.

    Screenshot des Migrationstools, das bereit ist, um die Regeln zu analysieren.

  6. Aktualisieren Sie die Seite, und wählen Sie den SIEM-Setupanalysestatus aus, um den Fortschritt der Analyse anzuzeigen:

    Screenshot des SIEM-Einrichtungsanalysestatus mit dem Fortschritt der Analyse.

    Diese Seite wird nicht automatisch aktualisiert. Um den neuesten Status anzuzeigen, schließen Sie die Seite, und öffnen Sie sie erneut.

    Die Analyse ist abgeschlossen, wenn alle drei Häkchen grün sind. Wenn die drei Häkchen grün sind, aber keine Empfehlungen vorhanden sind, bedeutet dies, dass für Ihre Regeln keine Übereinstimmungen gefunden wurden.

    Screenshot, der alle drei Häkchen grün anzeigt, dass die Analyse abgeschlossen ist.

    Nach Abschluss der Analyse generiert das Migrationstool Anwendungsfall-basierte Empfehlungen, gruppiert nach Content Hub-Lösungen. Sie können auch einen detaillierten Bericht der Analyse herunterladen. Der Bericht enthält eine detaillierte Analyse der empfohlenen Migrationsaufträge, einschließlich Splunk-Regeln, für die wir keine gute Lösung gefunden haben, nicht erkannt oder nicht zutreffend wurden.

    Screenshot der empfehlungen, die vom Migrationstool generiert wurden.

    Filtern Sie den Empfehlungstyp nach SIEM Setup, um Migrationsempfehlungen anzuzeigen.

  7. Wählen Sie eine der Empfehlungskarten aus, um die abgebildeten Datenquellen und Regeln anzuzeigen.

    Screenshot einer Empfehlungskarte.

    Das Tool gleicht die Splunk-Regeln mit vordefinierten Microsoft Sentinel-Daten-Connectors und vordefinierten Microsoft Sentinel-Erkennungsregeln ab. Auf der Registerkarte "Connectors" werden die Datenverbinder angezeigt, die mit den Regeln Ihres SIEM-Systems und dem Status (verbunden oder nicht getrennt) übereinstimmen. Wenn Sie einen nicht verbundenen Verbinder verwenden möchten, können Sie über die Registerkarte "Verbinder" eine Verbindung herstellen. Wenn kein Connector installiert ist, wechseln Sie zum Inhaltshub, und installieren Sie die Lösung, die den zu verwendenden Connector enthält.

    Screenshot von Microsoft Sentinel-Datenverbindern, die auf Splunk- oder QRadar-Regelwerke abgestimmt sind.

    Auf der Registerkarte "Erkennungen " werden die folgenden Informationen angezeigt:

    • Empfehlungen aus dem SIEM-Migrationstool.
    • Die aktuelle Splunk-Erkennungsregel aus der hochgeladenen Datei.
    • Der Status der Erkennungsregel in Microsoft Sentinel. Der Status kann folgendes sein:
      • Eingeschaltet: Die Erkennungsregel wird aus der Regelvorlage erstellt, eingeschaltet und ist aktiv (durch eine vorherige Aktion).
      • Deaktiviert: Die Erkennungsregel wird über den Inhaltshub installiert, aber nicht im Microsoft Sentinel-Arbeitsbereich aktiviert.
      • Nicht verwendet: Die Erkennungsregel wurde über den Inhaltshub installiert und ist als Vorlage verfügbar, die aktiviert werden soll.
      • Nicht installiert: Die Erkennungsregel wurde nicht aus dem Inhaltshub installiert.
    • Die notwendigen Connectoren, die so konfiguriert werden müssen, dass die für die empfohlene Erkennungsregel benötigten Protokolle bereitgestellt werden. Wenn ein erforderlicher Connector nicht verfügbar ist, gibt es eine Seitenleiste mit einem Assistenten, um ihn über den Content Hub zu installieren. Wenn alle erforderlichen Verbinder verbunden sind, wird ein grünes Häkchen angezeigt.

    Screenshot der Microsoft Sentinel-Erkennungsregeln, die mit Splunk- oder QRadar-Regeln übereinstimmen.

Aktivieren von Erkennungsregeln

Wenn Sie eine Regel auswählen, wird der seitenseitige Bereich für Regeln geöffnet, und Sie können die Details der Regelvorlage anzeigen.

Screenshot des randseitigen Bereichs für Regeldetails.

  • Wenn der zugeordnete Datenconnector installiert und konfiguriert ist, wählen Sie "Erkennung aktivieren " aus, um die Erkennungsregel zu aktivieren.

    Screenshot der Schaltfläche

  • Wählen Sie "Weitere Aktionen>manuell erstellen" aus, um den Assistenten für Analyseregeln zu öffnen, damit Sie die Regel überprüfen und bearbeiten können, bevor Sie sie aktivieren.

  • Wenn die Regel bereits aktiviert ist, wählen Sie "Bearbeiten" aus, um den Assistenten für Analyseregeln zu öffnen, um die Regel zu überprüfen und zu bearbeiten.

    Screenshot der Schaltfläche

    Der Assistent zeigt die Splunk-SPL-Regel an, und Sie können sie mit dem Microsoft Sentinel KQL vergleichen.

    Screenshot des Vergleichs zwischen Splunk-SPL-Regel und Microsoft Sentinel KQL.

Tipp

Anstatt Regeln manuell von Grund auf neu zu erstellen, kann es schneller und einfacher sein, die Regel aus der Vorlage zu aktivieren und dann nach Bedarf zu bearbeiten.

Wenn der Daten-Connector nicht installiert und für das Streamen von Protokollen konfiguriert ist, ist Erkennung aktivieren deaktiviert.

  • Sie können mehrere Regeln gleichzeitig aktivieren, indem Sie die Kontrollkästchen neben jeder zu aktivierenden Regel aktivieren und dann Ausgewählte Erkennungen aktivieren oben auf der Seite auswählen.

    Screenshot der Liste der Regeln auf der Registerkarte

Das SIEM-Migrationstool installiert keine Connectors oder aktiviert Erkennungsregeln explizit.

Einschränkungen

  • Das Migrationstool ordnet den Regelexport den sofort einsatzbereiten Microsoft Sentinel-Daten-Connectors und Erkennungsregeln zu.
  • Last updated on