次の方法で共有


Splunk 検出ルールを Microsoft Sentinel に移行する

Splunk 検出ルールは、セキュリティ情報イベント管理 (SIEM) コンポーネントであり、Microsoft Sentinel の分析ルールと比較されます。 この記事では、それらを特定、比較し、Microsoft Sentinel に移行するための概念について説明します。 まずは、SIEM 移行エクスペリエンスから開始することをお勧めします。これにより、自動変換先のすぐに使用できる (OOTB) 分析ルールが特定されます。

Splunk Observability のデプロイを移行する場合は、Splunk から Azure Monitor ログに移行する方法の詳細を確認してください。

監査ルール

Microsoft Sentinel では、機械学習分析を使用して、忠実で実用的なインシデントが作成されます。 既存の Splunk 検出の中には、Microsoft Sentinel では冗長になるものがあるため、すべてを無条件には移行しないでください。 既存の検出ルールを特定するときに、これらの考慮事項を確認します。

  • ビジネスの優先度と効率を考慮して、ルールの移行を正当化するユース ケースを選択してください。
  • Microsoft Sentinel ルールの種類を理解していることを確認します。
  • ルールの用語を理解していることを確認します。
  • 過去 6 ~ 12 か月の間にアラートが発生していない古くなったルールを確認し、それがまだ有効かどうかを判断します。
  • 日常的に無視する低レベルの脅威やアラートを排除します。
  • 接続されているデータ ソースと、データ接続方法を確認します。 Microsoft Sentinel Analytics では、ルールが有効になる前に、そのデータ型が Log Analytics ワークスペースに存在している必要があります。 データ収集の会話を見直して、検出を予定しているユース ケース全体のデータの深さと幅を確認します。 次に、SIEM 移行エクスペリエンスを使用して、データ ソースが適切にマップされていることを確認します。

ルールの移行

移行する Splunk 検出を特定したら、移行プロセスに関する次の考慮事項を確認します。

  • Microsoft Sentinel の OOTB 分析ルールの既存の機能を、現在のユース ケースと比較します。 SIEM 移行エクスペリエンスを使用して、どの Splunk 検出が、OOTB テンプレートに自動的に変換されるかを確認します。
  • OOTB 分析ルールに適合しない検出を変換します。 Splunk の検出を自動的に変換する最善の方法は、SIEM 移行エクスペリエンスを使用することです。
  • SOC Prime Threat Detection Marketplace などのコミュニティ リソースを調べて、ユース ケースに対応するアルゴリズムをさらに見つけます。
  • 組み込みのルールが使用できない場合、または自動的に変換されない場合は、手動で検出を変換します。 新しい KQL クエリを作成し、ルール マッピングを確認します。

詳細については、検出ルールを移行するためのベスト プラクティスを参照してください。

ルール移行の手順

  1. 移行するルールごとにテスト システムが配置されていることを確認します。

    1. 完全なテスト シナリオとスクリプトを含めて、移行したルールの検証プロセスを準備します

    2. 移行したルールをテストするのに役立つリソースがチームにあることを確認します

    3. 必要なデータ ソースが接続されていることを確認し、データ接続方法を確認します。

  2. Microsoft Sentinel で OOTB テンプレートとして検出が利用可能かどうかを確認します。

    • SIEM 移行エクスペリエンスを使用して、OOTB テンプレートの翻訳とインストールを自動化します。

      詳細については、SIEM 移行エクスペリエンスを使用する方法に関するページを参照してください。

    • ユース ケースが検出に反映されていない場合は、OOTB ルール テンプレートを使用して、自身のワークスペースのルールを作成します。

      Microsoft Sentinel で、[コンテンツ ハブ] に移動します。

      分析ルール テンプレートのコンテンツ タイプをフィルター処理します。

      対応する各コンテンツ ハブ ソリューションまたはスタンドアロン分析ルール テンプレートを検索し、インストール/更新します。

      詳細については、「難しい設定なしで脅威を検出する」を参照してください。

    • Microsoft Sentinel の OOTB ルールの対象になっていない検出がある場合は、最初に SIEM 移行エクスペリエンスで自動翻訳を試します。

    • OOTB ルールでも SIEM 移行でも検出が完全に変換されない場合は、ルールを手動で作成します。 このような場合は、次の手順を使用してルールを作成します。

      1. ルールで使用するデータ ソースを特定します。 データ ソースとデータ テーブルの間にマッピング テーブルを作成して、クエリを実行する Microsoft Sentinel テーブルを特定します。

      2. ルールで使用するデータの属性、フィールド、またはエンティティを特定します

      3. ルールの条件とロジックを特定します。 この段階で、KQL クエリを作成する方法のサンプルとして、ルール テンプレートを検索することを検討します。

        フィルター、相関関係ルール、アクティブ リスト、参照セット、ウォッチリスト、検出の異常、集計などを検討してください。 レガシ SIEM から提供されている参照を使用して、クエリ構文を最適にマップする方法を理解することができます。

      4. トリガーの条件とルール アクションを特定し、KQL クエリを構築して確認します。 クエリを確認するときは、KQL の最適化に関するガイダンス リソースを検討してください。

  3. 関連する各ユース ケースでルールをテストします。 期待される結果が得られない場合は、KQL を確認して編集し、もう一度テストします。

  4. 問題がなければ、移行されたルールを考慮します。 必要に応じて、ルール アクションのプレイブックを作成します。 詳細については、「Microsoft Sentinel のプレイブックを使用して脅威への対応を自動化する」を参照してください。

分析ルールの詳細について、以下を確認してください。

ルールの用語を比較する

この表は、Microsoft Sentinel の Kusto クエリ言語 (KQL) に基づくルールの概念を、検索処理言語 (SPL) に基づく Splunk 検出と比較して明確にするのに役立ちます。

Splunk Microsoft Sentinel
規則の種類 • スケジュール
• リアルタイム
• スケジュール済クエリ
• フュージョン
• Microsoft セキュリティ
• 機械学習 (ML) による行動分析
条件 SPL で定義する KQL で定義する
トリガーの条件 • 結果の数
• ホストの数
• ソースの数
• カスタム
しきい値: クエリ結果の数
操作 • トリガーされたアラートに追加する
• イベントのログ記録
• 結果を検索に出力する
• その他
• アラートまたはインシデントを作成する
• Logic Apps と統合する

ルール サンプルのマップと比較

これらのサンプルを使用して、さまざまなシナリオで Splunk のルールを比較し、 Microsoft Sentinel にマップします。

一般的な検索コマンド

SPL コマンド 説明 KQL オペレーター KQL 例
chart/ timechart 時系列グラフの表形式出力の結果を返します。 render 演算子 … | render timechart
dedup 指定した条件に一致する後続の結果を削除します。 distinct
summarize
… | summarize by Computer, EventID
eval 式を計算します。 一般的な eval コマンドについて説明します。 extend T | extend duration = endTime - startTime
fields 検索結果からフィールドを削除します。 プロジェクト
project-away
T | project cost=price*quantity, price
head/tail 最初または最後の N 個の結果を返します。 top T | top 5 by Name desc nulls last
lookup 外部ソースからフィールド値を追加します。 外部データ
検索
KQL 例
rename フィールドの名前を変更します。 ワイルドカードを使用して複数のフィールドを指定します。 project-rename T | project-rename new_column_name = column_name
rex 正規表現を使用してグループ名を指定し、フィールドを抽出します。 matches regex … | where field matches regex "^addr.*"
search 検索式に一致する結果に結果をフィルター処理します。 検索 search "X"
sort 検索結果を、指定したフィールドで並べ替えます。 sort T | sort by strlen(country) asc, price desc
stats 必要に応じてフィールド別にグループ化された統計を提供します。 一般的な統計コマンドの詳細を確認します。 summarize KQL 例
mstats 統計と同様に、イベントの代わりにメトリックで使用されます。 summarize KQL 例
table 結果セットに保持するフィールドを指定し、表形式でデータを保持します。 project T | project columnA, columnB
top/rare フィールドの最も一般的な値または最も一般的でない値を表示します。 top T | top 5 by Name desc nulls last
transaction 検索結果をトランザクションにグループ化します。

SPL の例
例: row_window_session SPL の例
eventstats イベント内のフィールドからサマリー統計を生成し、それらの統計情報を新しいフィールドに保存します。

SPL の例
次に例を示します。
結合
make_list
mv-expand
KQL 例
streamstats フィールドの累積合計を求めます。

SPL の例:
... | streamstats sum(bytes) as bytes _ total \| timechart
row_cumsum ...\| serialize cs=row_cumsum(bytes)
anomalydetection 指定したフィールドで異常を見つけます。

SPL の例
series_decompose_anomalies() SPL の例
where eval式を使用して検索結果をフィルター処理します。 2 つの異なるフィールドを比較するために使用されます。 where T | where fruit=="apple"

lookup コマンド: KQL 例

Users 
| where UserID in ((externaldata (UserID:string) [
@"https://storageaccount.blob.core.windows.net/storagecontainer/users.txt" 
h@"?...SAS..." // Secret token to access the blob 
])) | ... 

stats コマンド: KQL 例

Sales 
| summarize NumTransactions=count(), 
Total=sum(UnitPrice * NumUnits) by Fruit, 
StartOfMonth=startofmonth(SellDateTime) 

mstats コマンド: KQL 例

T | summarize count() by price_range=bin(price, 10.0) 

transaction コマンド: SPL 例

sourcetype=MyLogTable type=Event
| transaction ActivityId startswith="Start" endswith="Stop"
| Rename timestamp as StartTime
| Table City, ActivityId, StartTime, Duration

transaction コマンド: KQL 例

let Events = MyLogTable | where type=="Event";
Events
| where Name == "Start"
| project Name, City, ActivityId, StartTime=timestamp
| join (Events
| where Name == "Stop"
| project StopTime=timestamp, ActivityId)
on ActivityId
| project City, ActivityId, StartTime, 
Duration = StopTime – StartTime

row_window_session() を使用して、シリアル化された行セット内の列のセッション開始値を計算します。

...| extend SessionStarted = row_window_session(
Timestamp, 1h, 5m, ID != prev(ID))

eventstats コマンド: SPL 例

… | bin span=1m _time
|stats count AS count_i by _time, category
| eventstats sum(count_i) as count_total by _time

eventstats コマンド: KQL 例

join ステートメントを使用した例を次に示します。

let binSize = 1h;
let detail = SecurityEvent 
| summarize detail_count = count() by EventID,
tbin = bin(TimeGenerated, binSize);
let summary = SecurityEvent
| summarize sum_count = count() by 
tbin = bin(TimeGenerated, binSize);
detail 
| join kind=leftouter (summary) on tbin 
| project-away tbin1

make_list ステートメントを使用した例を次に示します。

let binSize = 1m;
SecurityEvent
| where TimeGenerated >= ago(24h)
| summarize TotalEvents = count() by EventID, 
groupBin =bin(TimeGenerated, binSize)
|summarize make_list(EventID), make_list(TotalEvents), 
sum(TotalEvents) by groupBin
| mvexpand list_EventID, list_TotalEvents

anomalydetection コマンド: SPL 例

sourcetype=nasdaq earliest=-10y
| anomalydetection Close _ Price

anomalydetection コマンド: KQL 例

let LookBackPeriod= 7d;
let disableAccountLogon=SignIn
| where ResultType == "50057"
| where ResultDescription has "account is disabled";
disableAccountLogon
| make-series Trend=count() default=0 on TimeGenerated 
in range(startofday(ago(LookBackPeriod)), now(), 1d)
| extend (RSquare,Slope,Variance,RVariance,Interception,
LineFit)=series_fit_line(Trend)
| extend (anomalies,score) = 
series_decompose_anomalies(Trend)

一般的な eval コマンド

SPL コマンド 説明 SPL の例 KQL コマンド KQL 例
abs(X) X の絶対値を返します。 abs(number) abs() abs(X)
case(X,"Y",…) X引数とY引数のペアを受け取ります。ここでX引数は boolean 式です。 TRUEと評価された場合、引数は対応するY引数を返します。 SPL の例 case KQL 例
ceil(X) 数値 X の上限。 ceil(1.9) ceiling() ceiling(1.9)
cidrmatch("X",Y) 特定のサブネットに属する IP アドレスを識別します。 cidrmatch
("123.132.32.0/25",ip)
ipv4_is_match()
ipv6_is_match()
ipv4_is_match('192.168.1.1', '192.168.1.255')
== false
coalesce(X,…) null ではない最初の値を返します。 coalesce(null(), "Returned val", null()) coalesce() coalesce(tolong("not a number"),
tolong("42"), 33) == 42
cos(X) X の余弦を計算します。 n=cos(0) cos() cos(X)
exact(X) 倍精度浮動小数点演算を使用して式 X を評価します。 exact(3.14*num) todecimal() todecimal(3.14*2)
exp(X) eX を返します。 exp(3) exp() exp(3)
if(X,Y,Z) XTRUEが評価された場合、結果は 2 番目の引数 Yになります。 XFALSEが評価された場合、結果は 3 番目の引数 Zになります。 if(error==200,
"OK", "Error")
iif() KQL 例
isbool(X) Xが boolean の場合、TRUEを返します。 isbool(field) iif()
gettype
iif(gettype(X) =="bool","TRUE","FALSE")
isint(X) Xが整数の場合TRUEを返します。 isint(field) iif()
gettype
KQL 例
isnull(X) Xが null である場合、TRUEを返します。 isnull(field) isnull() isnull(field)
isstr(X) Xが文字列である場合、TRUEを返します。 isstr(field) iif()
gettype
KQL 例
len(X) この関数は、文字列Xの文字長を返します。 len(field) strlen() strlen(field)
like(X,"y") XYの SQLite パターンのような場合にのみ、TRUEを返します。 like(field, "addr%") has
contains
startswith
matches regex
KQL 例
log(X,Y) 2 番目の引数 Y をベースとして使用して、最初の引数 X のログを返します。 Y の既定値は 10です。 log(number,2) log
log2
log10
log(X)

log2(X)

log10(X)
lower(X) Xの小文字の値を返します。 lower(username) tolower tolower(username)
ltrim(X,Y) パラメーターY内の文字を左側からトリミングしてXを返します。 Yの既定の出力はスペースとタブです。 ltrim(" ZZZabcZZ ", " Z") trim_start() trim_start(“ ZZZabcZZ”,” ZZZ”)
match(X,Y) X が正規表現パターン Y と一致する場合に返します。 match(field, "^\d{1,3}.\d$") matches regex … | where field matches regex @"^\d{1,3}.\d$")
max(X,…) 列内の最大値を返します。 max(delay, mydelay) max()
arg_max()
… | summarize max(field)
md5(X) 文字列値 Xの MD5 ハッシュを返します。 md5(field) hash_md5 hash_md5("X")
min(X,…) 列内の最小値を返します。 min(delay, mydelay) min_of()
min_of()
arg_min
KQL 例
mvcount(X) X値の数 (合計) を返します。 mvcount(multifield) dcount …| summarize dcount(X) by Y
mvfilter(X) boolean X 式に基づいて複数値フィールドをフィルター処理します。 mvfilter(match(email, "net$")) mv-apply KQL 例
mvindex(X,Y,Z) 開始位置 (0 から始まる) Yから Z(省略可能) までの複数値X引数のサブセットを返します。 mvindex( multifield, 2) array_slice array_slice(arr, 1, 2)
mvjoin(X,Y) 複数値のフィールドXと文字列区切り記号Yを指定し、Yを使用してXの個々の値を結合します。 mvjoin(address, ";") strcat_array KQL 例
now() Unix time で表される現在の時刻を返します。 now() now() now()

now(-2d)
null() 引数を受け付けず、NULL値をかえします。 null() [Null] null
nullif(X,Y) 2 つの引数XYを含み、引数が異なる場合はXを返します。 それ以外の場合、NULL を返します。 nullif(fieldA, fieldB) iif iif(fieldA==fieldB, null, fieldA)
random() 0から2147483647の間の擬似乱数を返します。 random() rand() rand()
relative_ time(X,Y) エポック時間Xと相対時間指定子Yを指定すると、YXに適用したエポック時間の値を返します。 relative_time(now(),"-1d@d") unix time KQL 例
replace(X,Y,Z) 文字列X内で正規表現文字列Yが出現するたびに文字列Zを置き換えて形成された文字列を返します。 月と日の数値が切り替わる日付を返します。
たとえば、入力が4/30/2015の場合、出力は30/4/2009となります 。

replace(date, "^(\d{1,2})/ (\d{1,2})/", "\2/\1/")
replace() KQL 例
round(X,Y) XYで指定された小数点以下の桁数に丸められた値を返します。 既定値では整数に丸められます。 round(3.5) round round(3.5)
rtrim(X,Y) XYの文字を右側からトリミングして返します。 Yを指定しない場合、スペースとタブはトリミングされます。 rtrim(" ZZZZabcZZ ", " Z") trim_end() trim_end(@"[ Z]+",A)
searchmatch(X) イベントが検索文字列 Xと一致する場合、TRUEを返します。 searchmatch("foo AND bar") iif() iif(field has "X","Yes","No")
split(X,"Y") Xを区切り記号Yで分割された複数値フィールドとして返します。 split(address, ";") split() split(address, ";")
sqrt(X) X の平方根を返します。 sqrt(9) sqrt() sqrt(9)
strftime(X,Y) Yで指定された形式を使用してレンダリングされたエポック時間値Xを返します。 strftime(_time, "%H:%M") format_datetime() format_datetime(time,'HH:mm')
strptime(X,Y) 文字列 Xで表される時刻を指定すると、形式Yから解析された値が返されます。 strptime(timeStr, "%H:%M") format_datetime() KQL 例
substr(X,Y,Z) 開始位置 (1 から始まる) YからZ文字 (省略可能) substring フィールドXを返します。 substr("string", 1, 3) substring() substring("string", 0, 3)
time() マイクロ秒の解像度で実時間を返します。 time() format_datetime() KQL 例
tonumber(X,Y) 入力文字列Xを数値に変換します。ここでY (省略可能、既定値は10) は、変換先の数値のベースを定義します。 tonumber("0A4",16) toint() toint("123")
tostring(X,Y) 説明 SPL の例 tostring() tostring(123)
typeof(X) フィールド型の文字列表記を返します。 typeof(12) gettype() gettype(12)
urldecode(X) URL Xをデコードしたものを返します。 SPL の例 url_decode KQL 例

case(X,"Y",…) SPL の例

case(error == 404, "Not found",
error == 500,"Internal Server Error",
error == 200, "OK")

case(X,"Y",…) KQL の例

T
| extend Message = case(error == 404, "Not found", 
error == 500,"Internal Server Error", "OK") 

if(X,Y,Z) KQL の例

iif(floor(Timestamp, 1d)==floor(now(), 1d), 
"today", "anotherday")

isint(X) KQL の例

iif(gettype(X) =="long","TRUE","FALSE")

isstr(X) KQL の例

iif(gettype(X) =="string","TRUE","FALSE")

like(X,"y") の例

… | where field has "addr"

… | where field contains "addr"

… | where field startswith "addr"

… | where field matches regex "^addr.*"

min(X,…) KQL の例

min_of (expr_1, expr_2 ...)

…|summarize min(expr)

…| summarize arg_min(Price,*) by Product

mvfilter(X) KQL の例

T | mv-apply Metric to typeof(real) on 
(
 top 2 by Metric desc
)

mvjoin(X,Y) KQL の例

strcat_array(dynamic([1, 2, 3]), "->")

relative time(X,Y) KQL の例

let toUnixTime = (dt:datetime)
{
(dt - datetime(1970-01-01))/1s 
};

replace(X,Y,Z) KQL の例

replace( @'^(\d{1,2})/(\d{1,2})/', @'\2/\1/',date)

strptime(X,Y) KQL の例

format_datetime(datetime('2017-08-16 11:25:10'),
'HH:mm')

time() KQL の例

format_datetime(datetime(2015-12-14 02:03:04),
'h:m:s')

tostring(X,Y)

文字列としてフィールド値Xを返します。

  • Xのが数値の場合は、Xは文字列の値に再フォーマットされます。
  • Xがブール値の場合は、XTRUEまたはFALSEに再フォーマットされます。
  • Xが数値の場合、2 番目の引数Yは省略可能で、hex (Xを16 進数に変換)、commas (Xをコンマと小数点以下 2 桁の書式)、または duration (Xを秒単位の時刻形式から読み取り可能な時刻形式HH:MM:SSに変換) のいずれかを指定することができます。
tostring(X,Y) SPL の例

この例では、以下が返されます。

foo=615 and foo2=00:10:15:

… | eval foo=615 | eval foo2 = tostring(
foo, "duration")

urldecode(X) SPL の例

urldecode("http%3A%2F%2Fwww.splunk.com%2Fdownload%3Fr%3Dheader")

一般的な stats コマンド KQL 例

SPL コマンド 説明 KQL コマンド KQL 例
avg(X) フィールドXの値の平均を返します。 avg() avg(X)
count(X) フィールドXの出現回数を返します。 一致する特定のフィールド値を示すには、Xeval(field="value")のように書式設定します。 count() summarize count()
dc(X) フィールドXの個別の値の数を返します。 dcount() …\| summarize countries=dcount(country) by continent
earliest(X) Xの時系列で最も早い値を返します。 arg_min() … \| summarize arg_min(TimeGenerated, *) by X
latest(X) Xの時系列で最新の値を返します。 arg_max() … \| summarize arg_max(TimeGenerated, *) by X
max(X) フィールドXの最大値を返します。 Xの値が数値以外の場合、最大値はアルファベット順で見つかります。 max() …\| summarize max(X)
median(X) フィールドXの一番真ん中の値を返します。 percentile() …\| summarize percentile(X, 50)
min(X) フィールドXの最小値を返します。 Xの値が数値以外の場合、最小値はアルファベット順で見つかります。 min() …\| summarize min(X)
mode(X) フィールドXの出現回数が最も多い値を返します。 top-hitters() …\| top-hitters 1 of Y by X
perc(Y) フィールドYのパーセンタイル値Xを返します。 たとえば、 perc5(total)は フィールドtotalの 5 番目のパーセンタイル値を返します。 percentile() …\| summarize percentile(Y, 5)
range(X) フィールドXの最大値と最小値の差を返します。 range() range(1, 3)
stdev(X) フィールドXの標本標準偏差を返します。 stdev stdev()
stdevp(X) フィールドXの母標準偏差を返します。 stdevp() stdevp()
sum(X) フィールドXの値の合計を返します。 sum() sum(X)
sumsq(X) フィールドXの値の二乗の和を返します。
values(X) フィールドXのすべての個別の値のリストを複数値エントリとして返します。 値の順序はアルファベット順です。 make_set() …\| summarize r = make_set(X)
var(X) フィールド Xのサンプル分散を返します。 variance variance(X)

次のステップ

この記事では、Splunk から Microsoft Sentinel に移行ルールをマップする方法について説明しました。