共用方式為

使用 SIEM 移轉體驗移轉至 Microsoft Sentinel

  • 適用於: Microsoft Sentinel in the Microsoft Defender portal

SIEM 遷移工具分析 Splunk 偵測,包括自訂偵測,並建議最適合的 Microsoft Sentinel 偵測規則。 它還提供資料連接器的建議,包括內容中心提供的 Microsoft 連接器和第三方連接器,以啟用建議的偵測功能。 客戶可以透過為每張推薦卡分配正確的狀態來追蹤遷移過程。

附註

舊的遷移工具已經被棄用。 本文描述目前的SIEM遷移經驗。

SIEM 遷移體驗包含以下功能:

  • 此經驗著重於將 Splunk 安全監控遷移到 Microsoft Sentinel,並儘可能對應開箱即用的 (OOTB) 分析規則。
  • 此經驗支援將 Splunk 偵測遷移至 Microsoft Sentinel 分析規則。

先決條件

  • Microsoft Sentinel 於 Microsoft Defender 入口網站
  • 至少需要在 Microsoft Sentinel 工作空間中擁有 Microsoft Sentinel 貢獻者權限。
  • 在您的租戶中啟用 Security Copilot,並至少指定一個工作空間管理員角色

附註

雖然租戶需要啟用 Security Copilot ,但它不會消耗任何 SCU,因此不會產生額外費用。 為了確保設定後不會產生任何非預期成本,請到 「管理工作區>使用監控」,將 SCU 設為零,並確保「使用超額單位」被停用。

Security Copilot 使用監控設定的截圖。

從你目前的 SIEM 匯出偵測規則

在 Splunk 的 搜尋與報告 應用程式中,執行以下查詢:

| rest splunk_server=local count=0 /servicesNS/-/-/saved/searches | search disabled=0 | search alert_threshold != "" | table title, search, description, cron_schedule, dispatch.earliest_time, alert.severity, alert_comparator, alert_threshold, alert.suppress.period, id, eai:acl.app, actions, action.correlationsearch.annotations, action.correlationsearch.enabled | tojson | table _raw | rename _raw as alertrules | mvcombine delim=", " alertrules | append [ | rest splunk_server=local count=0 /servicesNS/-/-/admin/macros | table title,definition,args,iseval | tojson | table _raw | rename _raw as macros | mvcombine delim=", " macros ] | filldown alertrules |tail 1

你需要一個 Splunk 管理員角色來匯出所有 Splunk 警報。 如需詳細資訊,請參閱 Splunk 角色型使用者存取

啟動 SIEM 移轉體驗

匯出規則後,請執行以下步驟:

  1. 請前往 security.microsoft.com

  2. SOC 優化標籤中,選擇設定你的新 SIEM。

    SOC 優化畫面右上角「設定你的新 SIEM」選項截圖。

  3. 選擇從 Splunk 遷移:

    從目前 SIEM 遷移選項的截圖。

  4. 上傳 你從目前 SIEM 匯出的 設定資料,然後選擇 「下一步」。

    上傳檔案按鈕的截圖,用來上傳匯出的設定資料。

    遷移工具會分析匯出資料,並識別您提供的檔案中資料來源數量及偵測規則。 請利用這些資訊確認您所取得的匯出結果是否正確。

    如果資料看起來不正確,請從右上角選擇 替換檔案 ,然後上傳新的匯出檔案。 當正確檔案上傳後,選擇 「下一步」。

    確認畫面的截圖,顯示資料來源數量和偵測規則。

  5. 選擇一個工作區,然後選擇 開始分析

    介面截圖顯示使用者選擇工作區。

    遷移工具會將偵測規則對應到 Microsoft Sentinel 的資料來源和偵測規則。 如果工作區中沒有任何建議,則會建立建議。 如果已有推薦,工具會刪除並以新的取代。

    遷移工具準備分析規則的截圖。

  6. 重新整理頁面並選擇 SIEM 設置分析狀態 以查看分析進度:

    SIEM 設置分析狀態截圖,顯示分析進展。

    此頁面不會自動重新整理。 欲查看最新狀態,請關閉並重新開啟頁面。

    當三個勾選標記全部為綠色時,分析即告完成。 如果三個勾選標記為綠色但沒有推薦,表示找不到符合你規則的匹配。

    截圖顯示三個勾選標記皆為綠色,表示分析已完成。

    分析完成後,遷移工具會依 Content Hub 解決方案分組,產生基於使用案例的推薦。 您也可以下載詳細的分析報告。 報告詳細分析了推薦的遷移工作,包括我們未找到好解決方案、未被偵測到或不適用的 Splunk 規則。

    遷移工具產生的推薦截圖。

    推薦類型篩選SIEM 設定以查看遷移建議。

  7. 選擇其中一張推薦卡,查看資料來源與規則映射。

    一張推薦卡的截圖。

    此工具將 Splunk 規則與開箱即用的 Microsoft Sentinel 資料連接器和開箱即用的 Microsoft Sentinel 偵測規則進行比對。 連接器標籤會顯示與你 SIEM 規則相符的資料連接器,以及狀態(已連接或未斷開)。 如果你想用沒連接的連接器,可以從連接器標籤接上。如果沒有安裝連接器,請到 Content hub 安裝包含你想用連接器的解決方案。

    Microsoft Sentinel 資料連接器與 Splunk 或 QRadar 規則相符的截圖。

    偵測標籤顯示以下資訊:

    • 來自 SIEM 遷移工具的建議。
    • 你上傳檔案中目前的 Splunk 偵測規則。
    • Microsoft Sentinel 中偵測規則的狀態。 狀態可以是:
      • 啟用:偵測規則由規則範本建立,啟用且有效(來自先前的動作)
      • 停用:偵測規則是從內容中心安裝,但在 Microsoft Sentinel 工作空間中未啟用
      • 未使用:偵測規則由 Content Hub 安裝,並可作為範本啟用
      • 未安裝:偵測規則並未從內容中心安裝
    • 需要配置的連接器,以便取得推薦檢測規則所需的記錄。 如果所需的連接器不可用,則可以透過側面板中的精靈從內容中心安裝它。 如果所有必要的連接器都已連接,會出現一個綠色勾勾。

    Microsoft Sentinel 偵測規則與 Splunk 或 QRadar 規則相符的截圖。

啟用偵測規則

當你選擇規則時,規則細節側邊欄會打開,你可以查看規則範本的詳細資料。

規則細節側面板的截圖。

  • 若已安裝並設定相關資料連接器,請選擇 啟用偵測 以啟用偵測規則。

    規則細節側邊欄中啟用偵測按鈕的截圖。

  • 選擇更多動作> 手動建立,開啟分析規則向導,讓你在啟用前可以檢視並編輯規則。

  • 如果規則已經啟用,請選擇 編輯 以開啟分析規則向導,以檢視並編輯該規則。

    規則精靈中「更多行動」按鈕的截圖。

    精靈會顯示 Splunk SPL 規則,你可以和 Microsoft Sentinel KQL 做比較。

    Splunk SPL 規則與 Microsoft Sentinel KQL 比較的截圖。

小提示

與其從零手動建立規則,不如從範本啟用規則,然後根據需要編輯,會更快更簡單。

如果資料連接器未安裝並設定為串流日誌,啟用 偵測 功能將被停用。

  • 你可以同時啟用多個規則,方法是勾選每個想啟用的規則旁的勾選框,然後在頁面頂端選擇 啟用特定偵測

    偵測標籤中規則清單的截圖,旁邊有勾選框。

SIEM 遷移工具並未明確安裝任何連接器或啟用偵測規則。

局限性

  • 遷移工具會將規則匯出映射到現成的 Microsoft Sentinel 資料連接器與偵測規則。
  • Last updated on