Compartilhar via

Migrar para o Microsoft Sentinel com a experiência de migração do SIEM

  • Aplica-se a: Microsoft Sentinel in the Microsoft Defender portal

A ferramenta de migração SIEM analisa as detecções do Splunk, incluindo detecções personalizadas, e recomenda regras de detecção do Microsoft Sentinel mais adequadas. Ele também fornece recomendações para conectores de dados, tanto de Microsoft quanto de terceiros disponíveis no Hub de Conteúdo para ativar as detecções recomendadas. Os clientes podem acompanhar a migração atribuindo o status certo a cada cartão de recomendação.

Observação

A ferramenta de migração antiga foi preterida. Este artigo descreve a experiência de migração SIEM atual.

A experiência de Migração do SIEM inclui os seguintes recursos:

  • A experiência se concentra na migração do monitoramento de segurança do Splunk para o Microsoft Sentinel e no mapeamento de regras de análise prontas para uso (OOTB) sempre que possível.
  • A experiência dá suporte à migração de detecções Splunk para regras analíticas do Microsoft Sentinel.

Pré-requisitos

Observação

Embora você precise do Security Copilot habilitado em seu locatário, ele não consome SCUs e, portanto, não incorre em custos adicionais. Para garantir que você não incorra em custos não intencionais depois de configurá-lo, vá para Gerenciar workspace>do Monitoramento de uso, defina SCUs como zero e verifique se o uso de unidades excedentes está desabilitado.

Captura de tela das configurações de monitoramento de uso do Copilot de Segurança.

Exportar regras de detecção do SIEM atual

No aplicativo Pesquisar e Relatar no Splunk, execute a seguinte consulta:

| rest splunk_server=local count=0 /servicesNS/-/-/saved/searches | search disabled=0 | search alert_threshold != "" | table title, search, description, cron_schedule, dispatch.earliest_time, alert.severity, alert_comparator, alert_threshold, alert.suppress.period, id, eai:acl.app, actions, action.correlationsearch.annotations, action.correlationsearch.enabled | tojson | table _raw | rename _raw as alertrules | mvcombine delim=", " alertrules | append [ | rest splunk_server=local count=0 /servicesNS/-/-/admin/macros | table title,definition,args,iseval | tojson | table _raw | rename _raw as macros | mvcombine delim=", " macros ] | filldown alertrules |tail 1

Você precisa de uma função de administrador do Splunk para exportar todos os alertas do Splunk. Para obter mais informações, consulte Acesso baseado em função do Splunk.

Iniciar a experiência de migração do SIEM

Depois de exportar as regras, faça o seguinte:

  1. Acesse security.microsoft.com.

  2. Na guia Otimização soc , selecione Configurar seu novo SIEM.

    Captura de tela da configuração da nova opção SIEM no canto superior direito da tela Otimização do SOC.

  3. Selecione Migrar do Splunk:

    Captura de tela da opção Migrar do SIEM atual.

  4. Carregue os dados de configuração exportados do SIEM atual e selecione Avançar.

    Captura de tela do botão Carregar arquivo para carregar os dados de configuração exportados.

    A ferramenta de migração analisa a exportação e identifica o número de fontes de dados e regras de detecção no arquivo fornecido. Use essas informações para confirmar se você tem a exportação certa.

    Se os dados não parecerem corretos, selecione Substituir arquivo no canto superior direito e carregue uma nova exportação. Quando o arquivo correto for carregado, selecione Avançar.

    Captura de tela da tela de confirmação mostrando o número de fontes de dados e regras de detecção.

  5. Selecione um workspace e, em seguida, selecione Iniciar Análise.

    Captura de tela da interface do usuário solicitando que o usuário selecione um workspace.

    A ferramenta de migração mapeia as regras de detecção para as fontes de dados e regras de detecção do Microsoft Sentinel. Se não houver recomendações na área de trabalho, recomendações são criadas. Se houver recomendações existentes, a ferramenta as excluirá e as substituirá por novas.

    Captura de tela da ferramenta de migração se preparando para analisar as regras.

  6. Atualize a página e selecione o status de análise de instalação do SIEM para exibir o progresso da análise:

    Captura de tela do status de análise de configuração do SIEM mostrando o progresso da análise.

    Esta página não é atualizada automaticamente. Para ver o status mais recente, feche e reabra a página.

    A análise é concluída quando todas as três caixas de seleção estão verdes. Se as três marcas de seleção estiverem verdes, mas não houver recomendações, isso significa que nenhuma correspondência foi encontrada para as suas regras.

    Captura de tela mostrando todas as três marcas de seleção verde indicando que a análise está concluída.

    Quando a análise é concluída, a ferramenta de migração gera recomendações baseadas em caso de uso, agrupadas por soluções do Hub de Conteúdo. Você também pode baixar um relatório detalhado da análise. O relatório contém uma análise detalhada dos trabalhos de migração recomendados, incluindo regras splunk para as quais não encontramos uma boa solução, não foram detectadas ou não aplicáveis.

    Uma captura de tela das recomendações geradas pela ferramenta de migração.

    Filtrar o tipo de recomendação pela Instalação do SIEM para ver as recomendações de migração.

  7. Selecione um dos cartões de recomendação para exibir as fontes de dados e as regras mapeadas.

    Uma captura de tela de um cartão de recomendação.

    A ferramenta alinha as regras do Splunk com conectores de dados prontos para uso e regras de detecção prontas para uso do Microsoft Sentinel. A guia conectores mostra os conectores de dados correspondentes às regras do seu SIEM e o status (conectados ou desconectados). Se você quiser usar um conector que não esteja conectado, poderá se conectar por meio da guia conector. Se um conector não estiver instalado, vá para o Hub de Conteúdo e instale a solução que contém o conector que você deseja usar.

    Captura de tela dos conectores de dados do Microsoft Sentinel correspondentes às regras Splunk ou QRadar.

    A aba "Detecções" mostra as seguintes informações:

    • Recomendações da ferramenta de migração SIEM.
    • A regra de detecção atual do Splunk para o arquivo carregado.
    • O status da regra de detecção no Microsoft Sentinel. O status pode ser:
      • Habilitado: a regra de detecção é criada a partir do modelo de regra, habilitada e ativa (de uma ação anterior)
      • Desabilitado: a regra de detecção é instalada no Hub de Conteúdo, mas não está habilitada no workspace do Microsoft Sentinel
      • Não em uso: a regra de detecção foi instalada no Hub de Conteúdo e está disponível como um modelo a ser habilitado
      • Não instalado: a regra de detecção não foi instalada do Hub de Conteúdo
    • Os conectores necessários que precisam ser configurados para trazer os logs necessários para a regra de detecção recomendada. Se um conector necessário não estiver disponível, haverá um painel lateral com um assistente para instalá-lo no Hub de Conteúdo. Se todos os conectores necessários estiverem conectados, uma marca de verificação verde é exibida.

    Captura de tela das regras de detecção do Microsoft Sentinel correspondentes às regras Splunk ou QRadar.

Habilitar regras de detecção

Quando você seleciona uma regra, o painel lateral de detalhes de regras é aberto e você pode exibir os detalhes do modelo de regras.

Captura de tela do painel lateral de detalhes da regra.

  • Se o conector de dados associado estiver instalado e configurado, selecione Habilitar detecção para habilitar a regra de detecção.

    Captura de tela do botão Habilitar detecção no painel lateral de detalhes da regra.

  • Selecione Mais ações>Crie manualmente para abrir o assistente de regras de análise para que você possa examinar e editar a regra antes de habilitá-la.

  • Se a regra já estiver habilitada, selecione Editar para abrir o assistente de regras de análise para examinar e editar a regra.

    Captura de tela do botão Mais ações no assistente de regras.

    O assistente mostra a regra Splunk SPL e você pode compará-la com o KQL do Microsoft Sentinel.

    Captura de tela da comparação entre a regra Splunk SPL e o Microsoft Sentinel KQL.

Dica

Em vez de criar regras manualmente do zero, pode ser mais rápido e simples habilitar a regra do modelo e editá-la conforme necessário.

Se o conector de dados não estiver instalado e configurado para transmitir logs, Habilitar a detecção estará desabilitado.

  • Você pode habilitar várias regras de uma só vez selecionando as caixas de seleção ao lado de cada regra que deseja habilitar e selecionando Habilitar detecções selecionadas na parte superior da página.

    Captura de tela da lista de regras na guia detecção com caixas de seleção ao lado delas.

A ferramenta de migração SIEM não instala explicitamente nenhum conector nem habilita regras de detecção.

Limitações

  • A ferramenta de migração mapeia a exportação de regras para conectores de dados prontos para uso e regras de detecção do Microsoft Sentinel.
  • Last updated on