Freigeben über

Migrieren zu Microsoft Sentinel mit der SIEM-Migrationserfahrung

  • Gilt für:: Microsoft Sentinel in the Microsoft Defender portal

Das SIEM-Migrationstool analysiert Splunk- und QRadar-Erkennungen, einschließlich benutzerdefinierter Erkennungen, und empfiehlt optimale Microsoft Sentinel Erkennungsregeln. Außerdem werden Empfehlungen für Daten-Connectoren gegeben, sowohl von Microsoft als auch von Drittanbietern, die im Content Hub verfügbar sind, um die empfohlenen Erkennungen zu ermöglichen. Kunden können die Migration nachverfolgen, indem sie jeder Empfehlungskarte den richtigen Status zuweisen.

Hinweis

Das alte Migrationstool ist veraltet. In diesem Artikel wird die aktuelle SIEM-Migrationserfahrung beschrieben.

Die SIEM-Migrationsumgebung umfasst die folgenden Features:

  • Der Schwerpunkt liegt auf der Migration von Splunk- und QRadar-Sicherheitsüberwachung zu Microsoft Sentinel sowie dem Mapping vorkonfigurierter (OOTB) Analyseregeln, wann immer möglich.
  • Die Erfahrung unterstützt die Migration von Splunk- und QRadar-Erkennungen zu Microsoft Sentinel Analyseregeln.

Voraussetzungen

Hinweis

Das SIEM-Migrationstool wird von Security Copilot unterstützt. Daher benötigen Sie security Copilot in Ihrem Mandanten aktiviert, um es zu verwenden. Es verbraucht jedoch keine SCUs oder generiert SCU-basierte Gebühren, unabhängig davon, wie Sie sie konfigurieren. Sie können Ihr Security-Copilot-Setup basierend auf Ihren Einstellungen für die Zugriffs- und Kostenverwaltung optimieren, und der Workflow bleibt vollständig SCU-frei. Jede SCU-Verwendung gilt nur für andere Sicherheits- Copilot Features, die Sie absichtlich verwenden.

Screenshot der Einstellungen zur Überwachung der Sicherheitscopilot-Verwendung.

Exportieren von Erkennungsregeln aus Ihrem aktuellen SIEM

Führen Sie in der Such- und Berichterstellungs-App in Splunk die folgende Abfrage aus:

| rest splunk_server=local count=0 /servicesNS/-/-/saved/searches | search disabled=0 | search alert_threshold != "" | table title, search, description, cron_schedule, dispatch.earliest_time, alert.severity, alert_comparator, alert_threshold, alert.suppress.period, id, eai:acl.app, actions, action.correlationsearch.annotations, action.correlationsearch.enabled | tojson | table _raw | rename _raw as alertrules | mvcombine delim=", " alertrules | append [ | rest splunk_server=local count=0 /servicesNS/-/-/admin/macros | table title,definition,args,iseval | tojson | table _raw | rename _raw as macros | mvcombine delim=", " macros ] | filldown alertrules |tail 1

Sie benötigen eine Splunk-Administratorrolle, um alle Splunk-Warnungen zu exportieren. Weitere Informationen finden Sie unter rollenbasierten Benutzerzugriff von Splunk.

Starten der SIEM-Migrationsumgebung

Führen Sie nach dem Exportieren der Regeln die folgenden Schritte aus:

  1. Gehe zu security.microsoft.com.

  2. Wählen Sie auf der Registerkarte "SOC-Optimierung " die Option " Neue SIEM einrichten" aus.

    Screenshot der Option

  3. Wählen Sie "Migrieren" aus Ihrem aktuellen SIEM aus:

    Screenshot der Option

  4. Wählen Sie das SIEM aus, von dem Sie migrieren möchten.

    Screenshot der Benutzeroberfläche, in der der Benutzer aufgefordert wird, das SIEM auszuwählen, von dem sie migrieren.

  5. Laden Sie die Konfigurationsdaten hoch, die Sie aus Dem aktuellen SIEM exportiert haben, und wählen Sie "Weiter" aus.

    Das Migrationstool analysiert den Export und identifiziert die Anzahl der Datenquellen und Erkennungsregeln in der bereitgestellten Datei. Verwenden Sie diese Informationen, um zu bestätigen, dass Sie über den richtigen Export verfügen.

    Wenn die Daten nicht korrekt aussehen, wählen Sie "Datei ersetzen" in der oberen rechten Ecke aus, und laden Sie einen neuen Export hoch. Wenn die richtige Datei hochgeladen wird, wählen Sie "Weiter" aus.

    Screenshot des Bestätigungsbildschirms mit der Anzahl der Datenquellen und Erkennungsregeln.

  6. Wählen Sie einen Arbeitsbereich aus, und wählen Sie dann " Analyse starten" aus.

    Screenshot der Benutzeroberfläche, in der der Benutzer aufgefordert wird, einen Arbeitsbereich auszuwählen.

    Das Migrationstool ordnet die Erkennungsregeln den Microsoft-Sentinel-Datenquellen und Erkennungsregeln zu. Wenn im Arbeitsbereich keine Empfehlungen vorhanden sind, werden Empfehlungen erstellt. Wenn vorhandene Empfehlungen vorhanden sind, löscht das Tool sie und ersetzt sie durch neue.

    Screenshot des Migrationstools, das bereit ist, um die Regeln zu analysieren.

  7. Aktualisieren Sie die Seite, und wählen Sie den SIEM-Setupanalysestatus aus, um den Fortschritt der Analyse anzuzeigen:

    Screenshot des SIEM-Einrichtungsanalysestatus mit dem Fortschritt der Analyse.

    Diese Seite wird nicht automatisch aktualisiert. Um den neuesten Status anzuzeigen, schließen Sie die Seite, und öffnen Sie sie erneut.

    Die Analyse ist abgeschlossen, wenn alle drei Häkchen grün sind. Wenn die drei Häkchen grün sind, aber keine Empfehlungen vorhanden sind, bedeutet dies, dass für Ihre Regeln keine Übereinstimmungen gefunden wurden.

    Screenshot, der alle drei Häkchen grün anzeigt, dass die Analyse abgeschlossen ist.

    Nach Abschluss der Analyse generiert das Migrationstool Anwendungsfall-basierte Empfehlungen, gruppiert nach Content Hub-Lösungen. Sie können auch einen detaillierten Bericht der Analyse herunterladen. Der Bericht enthält eine detaillierte Analyse der empfohlenen Migrationsaufträge, einschließlich Splunk-Regeln, für die wir keine gute Lösung gefunden haben, nicht erkannt oder nicht zutreffend wurden.

    Screenshot der empfehlungen, die vom Migrationstool generiert wurden.

    Filtern Sie den Empfehlungstyp nach SIEM Setup, um Migrationsempfehlungen anzuzeigen.

  8. Wählen Sie eine der Empfehlungskarten aus, um die abgebildeten Datenquellen und Regeln anzuzeigen.

    Screenshot einer Empfehlungskarte.

    Das Tool stimmt die Splunk-Regeln mit vorab bereitgestellten Microsoft Sentinel-Datenconnectors und -Erkennungsregeln überein. Auf der Registerkarte "Connectors" werden die Datenverbinder angezeigt, die mit den Regeln Ihres SIEM-Systems und dem Status (verbunden oder nicht getrennt) übereinstimmen. Wenn der zu verwendende Verbinder noch nicht verbunden ist, können Sie über die Registerkarte "Verbinder" eine Verbindung herstellen. Wenn kein Connector installiert ist, wechseln Sie zum Inhaltshub, und installieren Sie die Lösung, die den zu verwendenden Connector enthält.

    Screenshot von Microsoft Sentinel Datenkonnektoren, die mit Splunk- oder QRadar-Regeln abgeglichen sind.

    Auf der Registerkarte "Erkennungen " werden die folgenden Informationen angezeigt:

    • Empfehlungen aus dem SIEM-Migrationstool.
    • Die aktuelle Splunk-Erkennungsregel aus der hochgeladenen Datei.
    • Der Status der Erkennungsregel in Microsoft Sentinel. Der Status kann folgendes sein:
      • Eingeschaltet: Die Erkennungsregel wird aus der Regelvorlage erstellt, eingeschaltet und ist aktiv (durch eine vorherige Aktion).
      • Disabled: Die Erkennungsregel wird aus dem Inhaltshub installiert, aber nicht im Microsoft Sentinel Arbeitsbereich aktiviert.
      • Nicht verwendet: Die Erkennungsregel wurde über den Inhaltshub installiert und ist als Vorlage verfügbar, die aktiviert werden soll.
      • Nicht installiert: Die Erkennungsregel wurde nicht aus dem Inhaltshub installiert.
    • Die notwendigen Connectoren, die so konfiguriert werden müssen, dass die für die empfohlene Erkennungsregel benötigten Protokolle bereitgestellt werden. Wenn ein erforderlicher Connector nicht verfügbar ist, gibt es eine Seitenleiste mit einem Assistenten, um ihn über den Content Hub zu installieren. Wenn alle erforderlichen Verbinder verbunden sind, wird ein grünes Häkchen angezeigt.

    Screenshot von Microsoft Sentinel Erkennungsregeln, die mit Splunk- oder QRadar-Regeln übereinstimmen.

Aktivieren von Erkennungsregeln

Wenn Sie eine Regel auswählen, wird der seitenseitige Bereich für Regeln geöffnet, und Sie können die Details der Regelvorlage anzeigen.

Screenshot des randseitigen Bereichs für Regeldetails.

  • Wenn der zugeordnete Datenconnector installiert und konfiguriert ist, wählen Sie "Erkennung aktivieren " aus, um die Erkennungsregel zu aktivieren.

    Screenshot der Schaltfläche

  • Wählen Sie "Weitere Aktionen>manuell erstellen" aus, um den Assistenten für Analyseregeln zu öffnen, damit Sie die Regel überprüfen und bearbeiten können, bevor Sie sie aktivieren.

  • Wenn die Regel bereits aktiviert ist, wählen Sie "Bearbeiten" aus, um den Assistenten für Analyseregeln zu öffnen, um die Regel zu überprüfen und zu bearbeiten.

    Screenshot der Schaltfläche

    Der Assistent zeigt die Splunk-SPL-Regel an, und Sie können sie mit der Microsoft Sentinel KQL vergleichen.

    Screenshot des Vergleichs zwischen Splunk-SPL-Regel und Microsoft Sentinel KQL.

Tipp

Anstatt Regeln manuell von Grund auf neu zu erstellen, kann es schneller und einfacher sein, die Regel aus der Vorlage zu aktivieren und dann nach Bedarf zu bearbeiten.

Wenn der Daten-Connector nicht installiert und für das Streamen von Protokollen konfiguriert ist, ist Erkennung aktivieren deaktiviert.

  • Sie können mehrere Regeln gleichzeitig aktivieren, indem Sie die Kontrollkästchen neben den gewünschten Regeln markieren und dann oben auf der Seite Auswahl aktivieren auswählen.

    Screenshot der Liste der Regeln auf der Registerkarte

Das SIEM-Migrationstool installiert keine Connectors oder aktiviert Erkennungsregeln explizit.

Einschränkungen

  • Das Migrationstool ordnet den Export von Regeln den vorgefertigten Microsoft Sentinel-Datenkonnektoren und Erkennungsregeln zu.
  • Last updated on