Partager via

Migrer vers Microsoft Sentinel avec l’expérience de migration SIEM

  • S’applique à: Microsoft Sentinel in the Microsoft Defender portal

L’outil de migration SIEM analyse les détections Splunk, y compris les détections personnalisées, et recommande de mieux adapter les règles de détections Microsoft Sentinel. Il fournit également des recommandations pour les connecteurs de données, qu'ils soient proposés par Microsoft ou par des tiers, disponibles dans Content Hub pour permettre les détections recommandées. Les clients peuvent suivre la migration en affectant l’état approprié à chaque carte de recommandation.

Remarque

L’ancien outil de migration est déconseillé. Cet article décrit l’expérience actuelle de migration SIEM.

L’expérience de migration SIEM comprend les fonctionnalités suivantes :

  • L'expérience se concentre sur la migration de la surveillance de sécurité Splunk vers Microsoft Sentinel et sur le mappage des règles analytiques prêtes à l'emploi (OOTB) dans la mesure du possible.
  • L’expérience prend en charge la migration des détections Splunk vers des règles d’analytique Microsoft Sentinel.

Prérequis

Remarque

Bien que vous ayez besoin d'activer Security Copilot dans votre espace de locataire, il n'utilise pas de SCUs, ce qui signifie qu'il n'entraîne pas de coûts supplémentaires. Pour vous assurer que vous n’engagez pas de coûts involontaires après la configuration, accédez à Gérer l’espace de travail>Surveillance de l’utilisation, définissez les SCU sur zéro et assurez-vous que l'option d'utiliser des unités supplémentaires est désactivée.

Capture d’écran des paramètres de surveillance de l’utilisation de Security Copilot.

Exporter des règles de détection à partir de votre SIEM actuel

Dans l’application Recherche et création de rapports dans Splunk, exécutez la requête suivante :

| rest splunk_server=local count=0 /servicesNS/-/-/saved/searches | search disabled=0 | search alert_threshold != "" | table title, search, description, cron_schedule, dispatch.earliest_time, alert.severity, alert_comparator, alert_threshold, alert.suppress.period, id, eai:acl.app, actions, action.correlationsearch.annotations, action.correlationsearch.enabled | tojson | table _raw | rename _raw as alertrules | mvcombine delim=", " alertrules | append [ | rest splunk_server=local count=0 /servicesNS/-/-/admin/macros | table title,definition,args,iseval | tojson | table _raw | rename _raw as macros | mvcombine delim=", " macros ] | filldown alertrules |tail 1

Vous avez besoin d’un rôle d’administrateur Splunk pour exporter toutes les alertes Splunk. Pour plus d'informations, consultez Accès utilisateur selon le rôle Splunk.

Démarrer l'expérience de migration SIEM

Après avoir exporté les règles, procédez comme suit :

  1. Accédez à security.microsoft.com.

  2. Sous l’onglet Optimisation SOC , sélectionnez Configurer votre nouveau SIEM.

    Capture d’écran de la configuration de votre nouvelle option SIEM dans le coin supérieur droit de l’écran Optimisation SOC.

  3. Sélectionnez Migrer à partir de Splunk :

    Capture d’écran de l’option Migration à partir de l’option SIEM actuelle.

  4. Chargez les données de configuration que vous avez exportées à partir de votre SIEM actuel , puis sélectionnez Suivant.

    Capture d’écran du bouton Charger le fichier pour charger les données de configuration exportées.

    L’outil de migration analyse l’exportation et identifie le nombre de sources de données et de règles de détection dans le fichier que vous avez fourni. Utilisez ces informations pour confirmer que vous avez le bon export.

    Si les données ne sont pas correctes, sélectionnez Remplacer le fichier dans le coin supérieur droit et chargez une nouvelle exportation. Lorsque le fichier correct est chargé, sélectionnez Suivant.

    Capture d’écran de l’écran de confirmation montrant le nombre de sources de données et de règles de détection.

  5. Sélectionnez un espace de travail, puis démarrez l’analyse.

    Capture d’écran de l’interface utilisateur demandant à l’utilisateur de sélectionner un espace de travail.

    L’outil de migration mappe les règles de détection aux sources de données microsoft Sentinel et aux règles de détection. S’il n’existe aucune recommandation dans l’espace de travail, les recommandations sont créées. S’il existe des recommandations existantes, l’outil les supprime et les remplace par de nouvelles recommandations.

    Capture d’écran de l’outil de migration prêt à analyser les règles.

  6. Actualisez la page et sélectionnez l’état d’analyse de configuration SIEM pour afficher la progression de l’analyse :

    Capture d’écran de l’état de l’analyse de configuration SIEM montrant la progression de l’analyse.

    Cette page ne s’actualise pas automatiquement. Pour afficher l’état le plus récent, fermez et rouvrez la page.

    L’analyse est terminée lorsque les trois coches sont vertes. Si les trois coches sont vertes, mais qu’il n’y a pas de recommandations, cela signifie qu’aucune correspondance n’a été trouvée pour vos règles.

    Capture d'écran montrant les trois coches vertes indiquant que l'achèvement de l'analyse.

    Une fois l’analyse terminée, l’outil de migration génère des recommandations basées sur des cas d’utilisation, regroupées par des solutions Content Hub. Vous pouvez également télécharger un rapport détaillé de l’analyse. Le rapport contient une analyse détaillée des travaux de migration recommandés, notamment les règles Splunk pour lesquelles nous n’avons pas trouvé de solution appropriée, n’ont pas été détectées ou non applicables.

    Capture d’écran des recommandations générées par l’outil de migration.

    Filtrez le type de recommandation par configuration SIEM pour voir les recommandations de migration.

  7. Sélectionnez l’une des cartes de recommandation pour afficher les sources de données et les règles mappées.

    Capture d’écran d’une carte de recommandation.

    L'outil associe les règles Splunk aux connecteurs de données prêts à l'emploi de Microsoft Sentinel et aux règles de détection prêtes à l'emploi de Microsoft Sentinel. L’onglet Connecteurs affiche les connecteurs de données mis en correspondance avec les règles de votre SIEM et l’état (connecté ou non déconnecté). Si vous souhaitez utiliser un connecteur qui n’est pas connecté, vous pouvez vous connecter à partir de l’onglet connecteur. Si un connecteur n’est pas installé, accédez au hub de contenu et installez la solution qui contient le connecteur que vous souhaitez utiliser.

    Capture d’écran des connecteurs de données Microsoft Sentinel mis en correspondance avec les règles Splunk ou QRadar.

    L’onglet Détections affiche les informations suivantes :

    • Recommandations de l’outil de migration SIEM.
    • Règle de détection Splunk actuelle depuis votre fichier importé.
    • État de la règle de détection dans Microsoft Sentinel. L’état peut être :
      • Activé : la règle de détection est créée à partir du modèle de règle, puis activée et rendue active suite à une action antérieure
      • Désactivé : la règle de détection est installée à partir du hub de contenu, mais pas activée dans l’espace de travail Microsoft Sentinel
      • Non utilisé : la règle de détection a été installée à partir du hub de contenu et est disponible en tant que modèle à activer
      • Non installé : la règle de détection n’a pas été installée à partir du hub de contenu
    • Les connecteurs nécessaires devant être configurés pour fournir les journaux requis par la règle de détection recommandée. Si un connecteur requis n’est pas disponible, il existe un panneau latéral avec un Assistant pour l’installer à partir du hub de contenu. Si tous les connecteurs requis sont connectés, une coche verte s’affiche.

    Capture d’écran des règles de détection Microsoft Sentinel mises en correspondance avec les règles Splunk ou QRadar.

Activer les règles de détection

Lorsque vous sélectionnez une règle, le panneau latéral détails des règles s’ouvre et vous pouvez afficher les détails du modèle de règles.

Capture d'écran du volet latéral présentant les informations sur la règle.

  • Si le connecteur de données associé est installé et configuré, sélectionnez Activer la détection pour activer la règle de détection.

    Capture d’écran du bouton Activer la détection dans le volet latéral détails de la règle.

  • Sélectionnez Plus d’actions>Créer manuellement pour ouvrir l’Assistant Règles d’analyse afin de pouvoir passer en revue et modifier la règle avant de l’activer.

  • Si la règle est déjà activée, sélectionnez Modifier pour ouvrir l’Assistant Règles d’analyse pour passer en revue et modifier la règle.

    Capture d’écran du bouton Plus d'actions dans l’Assistant de règles.

    L’assistant affiche la règle SPL de Splunk et vous pouvez la comparer à la KQL de Microsoft Sentinel.

    Capture d’écran de la comparaison entre la règle Splunk SPL et Microsoft Sentinel KQL.

Conseil / Astuce

Au lieu de créer manuellement des règles à partir de zéro, il peut être plus rapide et plus simple d’activer la règle à partir du modèle, puis de la modifier en fonction des besoins.

Si le connecteur de données n'est pas installé et configuré pour diffuser en continu les journaux, le paramètre Activer la détection est désactivé.

  • Vous pouvez activer plusieurs règles à la fois en sélectionnant les cases à cocher en regard de chaque règle que vous souhaitez activer, puis en sélectionnant Activer les détections sélectionnées en haut de la page.

    Capture d’écran de la liste des règles dans l’onglet détection avec des cases à cocher en regard d’elles.

L’outil de migration SIEM n’installe pas explicitement de connecteurs ni n’active les règles de détection.

Limites

  • L'outil de migration mappe l'exportation des règles vers des connecteurs de données Microsoft Sentinel intégrés et vers des règles de détection.
  • Last updated on