SIEM 移行エクスペリエンスを使用して Microsoft Sentinel に移行する

適用対象: Microsoft Sentinel in the Microsoft Defender portal

SIEM 移行ツールは、カスタム検出を含む Splunk 検出を分析し、最適な Microsoft Sentinel 検出ルールを推奨します。また、推奨される検出を有効にするために、コンテンツハブで使用できる Microsoft コネクタとサードパーティ製コネクタの両方のデータコネクタに関する推奨事項も提供します。顧客は、各レコメンデーションカードに適切な状態を割り当てることで、移行を追跡できます。

注

古い移行ツールは非推奨です。この記事では、現在の SIEM 移行エクスペリエンスについて説明します。

SIEM 移行エクスペリエンスには、次の機能が含まれています。

このエクスペリエンスでは、Splunk のセキュリティ監視を Microsoft Sentinel に移行し、すぐに使用できる (OOTB) 分析ルールを可能な限りマッピングすることに重点を置いています。
このエクスペリエンスでは、Splunk 検出を Microsoft Sentinel 分析ルールに移行できます。

前提条件

Microsoft Defender ポータルの Microsoft Sentinel
Microsoft Sentinel ワークスペースでは、少なくとも Microsoft Sentinel 共同作成者権限が必要です。
少なくともワークスペースオペレーターロールが割り当てられているテナントでセキュリティCopilotが有効になっている

注

テナントで Security Copilot を有効にする必要がありますが、追加コストが発生しないため、SCU は消費されません。セットアップ後に意図しないコストが発生しないようにするには、ワークスペースの管理>使用状況の監視にアクセスし、SCU をゼロに設定し、超過単位の使用が無効になっていることを確認します。

Security Copilot 使用状況の監視設定のスクリーンショット。

現在の SIEM から検出ルールをエクスポートする

Splunk の 検索およびレポート アプリで、次のクエリを実行します。

| rest splunk_server=local count=0 /servicesNS/-/-/saved/searches | search disabled=0 | search alert_threshold != "" | table title, search, description, cron_schedule, dispatch.earliest_time, alert.severity, alert_comparator, alert_threshold, alert.suppress.period, id, eai:acl.app, actions, action.correlationsearch.annotations, action.correlationsearch.enabled | tojson | table _raw | rename _raw as alertrules | mvcombine delim=", " alertrules | append [ | rest splunk_server=local count=0 /servicesNS/-/-/admin/macros | table title,definition,args,iseval | tojson | table _raw | rename _raw as macros | mvcombine delim=", " macros ] | filldown alertrules |tail 1

Splunk のすべてのアラートをエクスポートするには、Splunk 管理者ロールが必要です。詳細については、「 Splunk ロールベースのユーザーアクセス」を参照してください。

SIEM 移行エクスペリエンスを開始する

ルールをエクスポートした後、次の操作を行います。

security.microsoft.com にアクセスします。
[SOC の最適化] タブで、[新しい SIEM の設定] を選択します。
[Splunk から移行] を選択します。
現在の SIEM からエクスポートした構成データをアップロードし、[次へ] を選択します。

移行ツールはエクスポートを分析し、指定したファイル内のデータソースと検出ルールの数を識別します。この情報を使用して、適切なエクスポートがあることを確認します。

データが正しく表示されない場合は、右上隅にある [ ファイルの置換 ] を選択し、新しいエクスポートをアップロードします。正しいファイルがアップロードされたら、[ 次へ] を選択します。
ワークスペースを選択し、[ 分析の開始] を選択します。

移行ツールは、検出ルールを Microsoft Sentinel データソースと検出ルールにマップします。ワークスペースに推奨事項がない場合は、推奨事項が作成されます。既存の推奨事項がある場合、ツールによって削除され、新しい推奨事項に置き換えられます。
ページを更新し、 SIEM セットアップ分析の状態 を選択して、分析の進行状況を表示します。

このページは自動的に更新されません。最新の状態を表示するには、ページを閉じて再度開きます。

3 つのチェックマークがすべて緑色の場合、分析は完了です。 3 つのチェックマークが緑色で、推奨事項がない場合は、ルールの一致が見つからなかったことを意味します。

分析が完了すると、移行ツールによってユースケースベースの推奨事項が生成され、コンテンツハブソリューションごとにグループ化されます。分析の詳細なレポートをダウンロードすることもできます。このレポートには、適切なソリューションが見つからなかった、検出されなかった、または該当しない Splunk ルールなど、推奨される移行ジョブの詳細な分析が含まれています。

SIEM セットアップで推奨事項の種類をフィルター処理して、移行に関する推奨事項を確認します。
いずれかのレコメンデーションカードを選択して、マップされたデータソースとルールを表示します。

このツールは、Splunk ルールと組み込みの Microsoft Sentinel データコネクタ、および組み込みの Microsoft Sentinel 検出ルールを一致させます。 [ コネクタ ] タブには、SIEM のルールに一致したデータコネクタと状態 (接続されているか切断されていないか) が表示されます。接続されていないコネクタを使用する場合は、[コネクタ] タブから接続できます。コネクタがインストールされていない場合は、コンテンツハブに移動し、使用するコネクタを含むソリューションをインストールします。

[ 検出 ] タブには、次の情報が表示されます。
- SIEM 移行ツールからの推奨事項。
- アップロードしたファイルからの現在の Splunk 検出ルール。
- Microsoft Sentinel の検出ルールの状態。状態は次のようになります。
  - 有効: 検出ルールは、ルールテンプレートから作成され、有効になり、アクティブになります (前のアクションから)。
  - 無効: 検出ルールはコンテンツハブからインストールされますが、Microsoft Sentinel ワークスペースでは有効になっていません
  - 使用されていません: 検出ルールはコンテンツハブからインストールされ、有効にするテンプレートとして使用できます
  - インストールされていません: 検出ルールがコンテンツハブからインストールされませんでした
- 推奨される検出ルールに必要なログを取り込むよう構成する必要があるコネクタ。必要なコネクタが使用できない場合は、サイドパネルに、コンテンツハブからインストールするためのウィザードが表示されます。必要なすべてのコネクタが接続されている場合は、緑色のチェックマークが表示されます。

検出ルールを有効にする

ルールを選択すると、ルールの詳細サイドパネルが開き、ルールテンプレートの詳細を表示できます。

ルールの詳細サイドパネルのスクリーンショット。

関連付けられているデータコネクタがインストールされ、構成されている場合は、[ 検出を有効にする ] を選択して検出ルールを有効にします。
[その他のアクション] を選択>手動で作成して分析ルールウィザードを開き、ルールを有効にする前に確認および編集できるようにします。
ルールが既に有効になっている場合は、[ 編集] を選択して分析ルールウィザードを開き、ルールを確認および編集します。

ウィザードに Splunk SPL ルールが表示され、Microsoft Sentinel KQL と比較できます。