Partilhar via

Migrar para o Microsoft Sentinel com a experiência de migração de SIEM

  • Aplica-se a: Microsoft Sentinel in the Microsoft Defender portal

A ferramenta de migração SIEM analisa deteções de Splunk, incluindo deteções personalizadas, e recomenda as regras de deteção Microsoft Sentinel mais adequadas. Também fornece recomendações para conectores de dados, tanto Microsoft como conectores de terceiros disponíveis no Content Hub, para permitir as deteções recomendadas. Os clientes podem acompanhar a migração atribuindo o estatuto correto a cada cartão de recomendação.

Nota

A antiga ferramenta de migração está obsoleta. Este artigo descreve a experiência atual de migração de SIEM.

A experiência de Migração SIEM inclui as seguintes funcionalidades:

  • A experiência se concentra na migração do monitoramento de segurança do Splunk para o Microsoft Sentinel e no mapeamento de regras de análise prontas para uso (OOTB) sempre que possível.
  • A experiência suporta a migração de deteções Splunk para as regras de análise Microsoft Sentinel.

Pré-requisitos

Nota

Embora precises de ativar o Security Copilot no teu tenant, não consome nenhuma SCU, por isso não implica custos adicionais. Para garantir que não incorre em custos não intencionais depois de o configurar, vá a Gerir espaço de trabalho>Monitorização de utilização, defina as SCUs a zero e certifique-se de que o uso de unidades excedentes está desativado.

Captura de ecrã das definições de monitorização de utilização do Security Copilot.

Exportar regras de deteção do seu SIEM atual

Na aplicação de Pesquisa e Relatórios do Splunk, execute a seguinte consulta:

| rest splunk_server=local count=0 /servicesNS/-/-/saved/searches | search disabled=0 | search alert_threshold != "" | table title, search, description, cron_schedule, dispatch.earliest_time, alert.severity, alert_comparator, alert_threshold, alert.suppress.period, id, eai:acl.app, actions, action.correlationsearch.annotations, action.correlationsearch.enabled | tojson | table _raw | rename _raw as alertrules | mvcombine delim=", " alertrules | append [ | rest splunk_server=local count=0 /servicesNS/-/-/admin/macros | table title,definition,args,iseval | tojson | table _raw | rename _raw as macros | mvcombine delim=", " macros ] | filldown alertrules |tail 1

Precisas de um papel de administrador Splunk para exportar todos os alertas Splunk. Para obter mais informações, consulte Acesso de utilizador baseado em funções do Splunk.

Iniciar a experiência de migração SIEM

Depois de exportar as regras, faça o seguinte:

  1. Aceda a security.microsoft.com.

  2. No separador de Otimização SOC , selecione Configurar o seu novo SIEM.

    Captura de ecrã da opção Configurar o seu novo SIEM no canto superior direito do ecrã de Otimização SOC.

  3. Selecionar Migrar a partir do Splunk:

    Captura de ecrã da opção Migrar do SIEM atual.

  4. Carregue os dados de configuração que exportou do seu SIEM atual e selecione Próximo.

    Captura de ecrã do botão Carregar ficheiro para carregar os dados de configuração exportados.

    A ferramenta de migração analisa a exportação e identifica o número de fontes de dados e regras de deteção no ficheiro que forneceste. Use esta informação para confirmar que tem a exportação correta.

    Se os dados não parecerem corretos, selecione Substituir ficheiro no canto superior direito e carregue uma nova exportação. Quando o ficheiro correto for carregado, selecione Próximo.

    Captura de ecrã do ecrã de confirmação que mostra o número de fontes de dados e as regras de deteção.

  5. Selecione um espaço de trabalho e depois selecione Iniciar Análise.

    Captura de ecrã da interface a pedir ao utilizador para selecionar um espaço de trabalho.

    A ferramenta de migração mapeia as regras de deteção para as fontes de dados e regras de deteção do Microsoft Sentinel. Se não houver recomendações no espaço de trabalho, criam-se recomendações. Se existirem recomendações existentes, a ferramenta apaga-as e substitui-as por novas.

    Captura de ecrã da ferramenta de migração a preparar-se para analisar as regras.

  6. Atualize a página e selecione o estado da análise de configuração do SIEM para ver o progresso da análise:

    Captura de ecrã do estado da análise de configuração SIEM mostrando o progresso da análise.

    Esta página não atualiza automaticamente. Para ver o estado mais recente, feche e reabra a página.

    A análise está concluída quando os três pontos de verificação estão verdes. Se as três marcas estiverem verdes mas não houver recomendações, significa que não foram encontradas coincidências para as suas regras.

    Captura de ecrã mostrando os três sinais de verificação verdes, indicando que a análise está concluída.

    Quando a análise termina, a ferramenta de migração gera recomendações baseadas em casos de uso, agrupadas por soluções do Content Hub. Pode também descarregar um relatório detalhado da análise. O relatório contém uma análise detalhada dos empregos de migração recomendados, incluindo as regras do Splunk para as quais não encontrámos uma boa solução, não foram detetadas ou não se aplicaram.

    Uma captura de ecrã das recomendações geradas pela ferramenta de migração.

    Filtrar o tipo de recomendação por configuração do SIEM para ver recomendações de migração.

  7. Selecione um dos cartões de recomendação para visualizar as fontes de dados e regras mapeadas.

    Uma captura de ecrã de um cartão de recomendação.

    A ferramenta associa as regras Splunk aos conectores de dados Microsoft Sentinel prontos a usar e às regras de deteção incorporadas do Microsoft Sentinel. O separador 'connectores' mostra os conectores de dados que correspondem às regras do seu SIEM e o estado (ligado ou desligado). Se quiseres usar um conector que não está ligado, podes ligar pelo separador do conector. Se não estiver instalado um conector, vai ao Content hub e instala a solução que contém o conector que queres usar.

    Captura de ecrã dos conectores de dados Microsoft Sentinel correspondidos às regras Splunk ou QRadar.

    A aba de deteções mostra a seguinte informação:

    • Recomendações da ferramenta de migração SIEM.
    • A regra atual de deteção de Splunk do teu ficheiro carregado.
    • O estado da regra de deteção no Microsoft Sentinel. O estado pode ser:
      • Ativado: A regra de deteção é criada a partir do modelo da regra, está ativada e ativa devido a uma ação anterior.
      • Desativada: A regra de deteção está instalada a partir do Content Hub, mas não está ativada no espaço de trabalho Microsoft Sentinel
      • Não em uso: A regra de deteção foi instalada a partir do Content Hub e está disponível como modelo para ativação
      • Não instalado: A regra de deteção não foi instalada a partir do Content Hub
    • Os conectores necessários que precisam de ser configurados para trazer os registos necessários para a regra de deteção recomendada. Se não estiver disponível um conector necessário, há um painel lateral com um assistente para o instalar a partir do Content Hub. Se todos os conectores necessários estiverem ligados, aparece uma marca de verificação verde.

    Captura de ecrã das regras de deteção Microsoft Sentinel correspondidas às regras Splunk ou QRadar.

Ativar regras de deteção

Quando selecionas uma regra, abre-se o painel lateral de detalhes das regras e podes ver os detalhes do modelo de regras.

Captura de ecrã do painel lateral dos detalhes das regras.

  • Se o conector de dados associado estiver instalado e configurado, selecione Ativar deteção para ativar a regra de deteção.

    Captura de ecrã do botão Ativar deteção no painel lateral de detalhes das regras.

  • Selecione Mais ações>Criar manualmente para abrir o assistente de regras de análise para que possa rever e editar a regra antes de a ativar.

  • Se a regra já estiver ativada, selecione Editar para abrir o assistente de regras de análise e rever e editar a regra.

    Captura de ecrã do botão Mais ações no assistente de regras.

    O assistente mostra a regra Splunk SPL e podes compará-la com o Microsoft Sentinel KQL.

    Captura de ecrã da comparação entre a regra Splunk SPL e o Microsoft Sentinel KQL.

Sugestão

Em vez de criar regras manualmente do zero, pode ser mais rápido e simples ativar a regra a partir do template e depois editá-la conforme necessário.

Se o conector de dados não estiver instalado e configurado para transmitir registos, a opção de ativar deteção fica desativada.

  • Pode ativar várias regras ao mesmo tempo selecionando as caixas de seleção ao lado de cada regra que pretende ativar e depois selecionando Ativar deteções selecionadas no topo da página.

    Captura de ecrã da lista de regras no separador de deteção com caixas de seleção ao lado.

A ferramenta de migração SIEM não instala explicitamente quaisquer conectores nem ativa regras de deteção.

Limitações

  • A ferramenta de migração mapeia as regras exportadas para conectores de dados do Microsoft Sentinel prontos para uso e as regras de deteção.
  • Last updated on