SIEM 마이그레이션 도구는 사용자 지정 검색을 포함하여 Splunk 검색을 분석하고 가장 적합한 Microsoft Sentinel 검색 규칙을 권장합니다. 또한 콘텐츠 허브에서 사용할 수 있는 Microsoft 및 타사 커넥터에 대해서, 권장 탐지를 활성화하기 위한 데이터 커넥터 권장 사항을 제공합니다. 고객은 각 권장 사항 카드에 올바른 상태를 할당하여 마이그레이션을 추적할 수 있습니다.
참고
이전 마이그레이션 도구는 더 이상 사용되지 않습니다. 이 문서에서는 현재 SIEM 마이그레이션 환경에 대해 설명합니다.
SIEM 마이그레이션 환경에는 다음과 같은 기능이 포함됩니다.
- 이 환경은 Splunk 보안 모니터링을 Microsoft Sentinel로 마이그레이션하고 가능한 한 OOTB(기본 제공) 분석 규칙을 매핑하는 데 중점을 둡니다.
- 이 기능은 Splunk 탐지를 Microsoft Sentinel 분석 규칙으로 마이그레이션하는 것을 지원합니다.
필수 구성 요소
- Microsoft Defender 포털의 Microsoft Sentinel
- Microsoft Sentinel 작업 영역에서 최소 Microsoft Sentinel 기여자 권한 필요
- 테넌트에서 최소한 작업 영역 운영자 역할이 할당된 보안 코파일럿 사용 설정
참고
테넌 트에서 보안 코필로트를 사용하도록 설정해야 하지만 SCU를 사용하지 않으므로 추가 비용이 발생하지 않습니다. 설정한 후 의도하지 않은 비용이 발생하지 않도록 하려면 작업 영역>사용량 모니터링 관리로 이동하여 SCU를 0으로 설정하고 사용 초과분 단위를 사용하지 않도록 설정합니다.
현재 SIEM에서 검색 규칙 내보내기
Splunk의 검색 및 보고 앱에서 다음 쿼리를 실행합니다.
| rest splunk_server=local count=0 /servicesNS/-/-/saved/searches | search disabled=0 | search alert_threshold != "" | table title, search, description, cron_schedule, dispatch.earliest_time, alert.severity, alert_comparator, alert_threshold, alert.suppress.period, id, eai:acl.app, actions, action.correlationsearch.annotations, action.correlationsearch.enabled | tojson | table _raw | rename _raw as alertrules | mvcombine delim=", " alertrules | append [ | rest splunk_server=local count=0 /servicesNS/-/-/admin/macros | table title,definition,args,iseval | tojson | table _raw | rename _raw as macros | mvcombine delim=", " macros ] | filldown alertrules |tail 1
모든 Splunk 경고를 내보내려면 Splunk 관리자 역할이 필요합니다. 자세한 내용은 Splunk 역할 기반 사용자 액세스를 참조하세요.
SIEM 마이그레이션 환경 시작
규칙을 내보낸 후 다음을 수행합니다.
security.microsoft.com로 이동합니다.SOC 최적화 탭에서 새 SIEM 설정을 선택합니다.
Splunk에서 마이그레이션을 선택합니다.
현재 SIEM에서 내보낸 구성 데이터를 업로드하고 다음을 선택합니다.
마이그레이션 도구는 내보내기를 분석하고 사용자가 제공한 파일의 데이터 원본 수 및 검색 규칙을 식별합니다. 이 정보를 사용하여 올바른 내보내기가 있는지 확인합니다.
데이터가 올바르지 않으면 오른쪽 위 모서리에서 파일 바꾸기 를 선택하고 새 내보내기를 업로드합니다. 올바른 파일이 업로드되면 다음을 선택합니다.
작업 영역을 선택한 다음 분석 시작을 선택합니다.
마이그레이션 도구는 검색 규칙을 Microsoft Sentinel 데이터 원본 및 검색 규칙에 매핑합니다. 작업 영역에 권장 사항이 없으면 권장 사항이 생성됩니다. 기존 권장 사항이 있는 경우 도구는 삭제하고 새 권장 사항으로 바꿉니다.
페이지를 새로 고치고 SIEM 설정 분석 상태를 선택하여 분석 진행률을 확인합니다.
이 페이지는 자동으로 새로 고쳐지지 않습니다. 최신 상태를 보려면 페이지를 닫고 다시 엽니다.
세 개의 확인 표시가 모두 녹색이면 분석이 완료됩니다. 세 개의 확인 표시가 녹색이지만 권장 사항이 없는 경우 규칙에 대한 일치 항목이 없음을 의미합니다.
분석이 완료되면 마이그레이션 도구는 콘텐츠 허브 솔루션별로 그룹화된 사용 사례 기반 권장 사항을 생성합니다. 분석에 대한 자세한 보고서를 다운로드할 수도 있습니다. 이 보고서에는 적절한 솔루션을 찾지 못했거나, 검색되지 않았거나, 적용할 수 없는 Splunk 규칙을 포함하여 권장되는 마이그레이션 작업에 대한 자세한 분석이 포함되어 있습니다.
SIEM 설치 프로그램을 통해 권장 사항 유형을 필터링하여 마이그레이션 권장 사항을 확인합니다.
매핑된 데이터 원본 및 규칙을 보려면 권장 사항 카드 중 하나를 선택합니다.
이 도구는 Splunk 규칙을 기본 제공 Microsoft Sentinel 데이터 커넥터와 기본 제공 Microsoft Sentinel 탐지 규칙에 매핑합니다. 커넥터 탭에는 SIEM의 규칙과 일치하는 데이터 커넥터와 상태(연결 여부)가 표시됩니다. 연결되지 않은 커넥터를 사용하려면 커넥터 탭에서 연결할 수 있습니다. 커넥터가 설치되지 않은 경우 콘텐츠 허브로 이동하여 사용하려는 커넥터가 포함된 솔루션을 설치합니다.
검색 탭에는 다음 정보가 표시됩니다.
- SIEM 마이그레이션 도구의 권장 사항입니다.
- 업로드된 파일의 현재 Splunk 검색 규칙입니다.
- Microsoft Sentinel에서 탐지 규칙의 상태입니다. 상태는 다음과 같습니다.
- 사용: 검색 규칙은 규칙 템플릿에서 만들어지고, 활성화되고, 활성 상태입니다(이전 작업에서).
- 사용 안 함: 검색 규칙은 콘텐츠 허브에서 설치되지만 Microsoft Sentinel 작업 영역에서는 사용하도록 설정되지 않습니다.
- 사용되지 않음: 검색 규칙이 콘텐츠 허브에서 설치되었으며 사용할 수 있는 템플릿으로 사용할 수 있습니다.
- 설치되지 않음: 콘텐츠 허브에서 검색 규칙이 설치되지 않았습니다.
- 권장 검색 규칙에 필요한 로그를 가져오도록 구성해야 하는 필수 커넥터입니다. 필요한 커넥터를 사용할 수 없는 경우 콘텐츠 허브에서 설치할 마법사가 있는 사이드 패널이 있습니다. 모든 필수 커넥터가 연결되면 녹색 확인 표시가 나타납니다.
탐지 규칙 활성화
규칙을 선택하면 규칙 세부 정보 측면 패널이 열리고 규칙 템플릿 세부 정보를 볼 수 있습니다.
연결된 데이터 커넥터가 설치 및 구성된 경우, 검색 사용을 선택하여 검색 규칙을 활성화합니다.
추가 작업>수동으로 만들기를 선택하여 분석 규칙 마법사를 열고 규칙을 사용하기 전에 검토하고 편집할 수 있습니다.
규칙이 이미 사용하도록 설정된 경우 편집 을 선택하여 분석 규칙 마법사를 열어 규칙을 검토하고 편집합니다.
마법사는 Splunk SPL 규칙을 표시하며 Microsoft Sentinel KQL과 비교할 수 있습니다.
팁 (조언)
규칙을 처음부터 수동으로 만드는 대신 템플릿에서 규칙을 사용하도록 설정한 다음 필요에 따라 편집하는 것이 더 빠르고 간단할 수 있습니다.
데이터 커넥터가 설치되지 않았거나 로그 스트리밍을 위해 구성되지 않은 경우, 검색 사용이 비활성화됩니다.
각 규칙 옆의 확인란을 선택한 후, 페이지 상단에서 선택한 규칙 사용 설정을 선택하여 여러 규칙을 동시에 활성화할 수 있습니다.
SIEM 마이그레이션 도구는 커넥터를 명시적으로 설치하거나 검색 규칙을 사용하도록 설정하지 않습니다.
제한점
- 마이그레이션 도구는 규칙 내보내기를 기본 Microsoft Sentinel 데이터 커넥터 및 검색 규칙에 매핑합니다.