Compartilhar via


Migrar para o Microsoft Sentinel com a experiência de migração do SIEM

Migre seu SIEM para o Microsoft Sentinel para todos os casos de uso de monitoramento de segurança. A assistência automatizada da experiência de Migração do SIEM simplifica sua migração.

Atualmente, esses recursos estão incluídos na experiência de Migração do SIEM:

Splunk

  • A experiência se concentra na migração do monitoramento de segurança do Splunk para o Microsoft Sentinel e no mapeamento de regras de análise prontas para uso (OOTB) sempre que possível.
  • A experiência dá suporte à migração de detecções do Splunk para regras de análise do Microsoft Sentinel, incluindo mapeamento de fontes de dados e pesquisas do Splunk.

Pré-requisitos

Você precisará do seguinte do SIEM de origem:

Splunk

  • A experiência de migração é compatível com as edições do Splunk Enterprise e do Splunk Cloud.
  • Uma função de administrador do Splunk é necessária para exportar todos os alertas do Splunk. Para obter mais informações, consulte Acesso baseado em função do Splunk.
  • Exporte os dados históricos do Splunk para as tabelas relevantes no workspace do Log Analytics. Para obter mais informações, consulte Exportar dados históricos do Splunk.

Você precisará do seguinte no destino, Microsoft Sentinel:

  • A experiência de migração do SIEM implanta regras de análise. Essa funcionalidade requer a função de Colaborador do Microsoft Sentinel. Para saber mais, veja Permissões no Microsoft Sentinel.

  • Ingerir dados de segurança usados anteriormente no SIEM de origem no Microsoft Sentinel. Antes que uma regra de análise seja traduzida e habilitada, a fonte de dados da regra deve estar presente no workspace do Log Analytics. Instale e habilite conectores de dados OOTB (prontos para uso) no Hub de conteúdo para corresponder ao seu estado de monitoramento de segurança do SIEM de origem. Se nenhum conector de dados existir, crie um pipeline de ingestão personalizado.

    Para obter mais informações, consulte os seguintes artigos:

  • Crie watchlists do Microsoft Sentinel de suas pesquisas do Splunk para que os campos usados sejam mapeados para as regras de análise traduzidas.

Mover regras de detecção do Splunk

No centro das regras de detecção do Splunk está a SPL (linguagem de processamento de pesquisa). A experiência de migração do SIEM converte sistematicamente a SPL em KQL (linguagem de consulta Kusto) para cada regra do Splunk. Examine cuidadosamente as translação e faça ajustes para garantir que as regras migradas funcionem conforme pretendido no espaço de trabalho do Microsoft Sentinel. Para obter mais informações sobre os conceitos importantes em mover regras de detecção, consulte Migrar regras de detecção do Splunk.

Recursos atuais:

  • Mapeie as detecções do Splunk para as regras de análise OOTB do Microsoft Sentinel.
  • Traduzir consultas simples com uma única fonte de dados.
  • Traduções automáticas de SPL para KQL para os mapeamentos listados no artigo Folha de referências do Splunk para Kusto.
  • O Mapeamento de Esquema (versão prévia) cria links lógicos para as regras traduzidas mapeando fontes de dados do Splunk para tabelas do Microsoft Sentinel e pesquisas do Splunk para watchlists.
  • A revisão de consultas traduzidas fornece comentários sobre erros com a capacidade de edição, economizando tempo no processo de tradução de regras de detecção.
  • Estado da tradução indicando quão completamente a sintaxe SPL é traduzida para KQL no nível gramatical.
  • Suporte para tradução de macros do Splunk usando a definição de macro de substituição embutida nas consultas SPL.
  • Suporte para a tradução do modelo CIM do Splunk para o ASIM (Modelo Avançado de Informação de Segurança) do Microsoft Sentinel.
  • Resumo pré e pós-migração disponível para download.

Iniciar a experiência de migração do SIEM

  1. Encontre a experiência de migração de SIEM no Microsoft Sentinel no portal do Azure ou no portal do Defender, em Gerenciamento de conteúdo>Hub de conteúdo.

  2. Selecione Migração do SIEM.

Captura de tela mostrando o hub de conteúdo do portal do Azure com o item de menu para a experiência de migração do SIEM.

Carregar detecções do Splunk

  1. Na Web do Splunk, selecione Pesquisar e Relatar no painel Aplicativos.

  2. Execute a seguinte consulta:

    |rest splunk_server=local count=0 /servicesNS/-/-/saved/searches
    |search disabled=0 
    |search alert_threshold != ""
    |table title,search,description,cron_schedule,dispatch.earliest_time,alert.severity,alert_comparator,alert_threshold,alert.suppress.period,id
    |tojson|table _raw
    |rename _raw as alertrules|mvcombine delim=", " alertrules
    |append [| rest splunk_server=local count=0 /servicesNS/-/-/admin/macros|table title,definition,args,iseval|tojson|table _raw |rename _raw as macros|mvcombine delim=", " macros]
    |filldown alertrules
    |tail 1
    
  3. Selecione o botão exportar e escolha JSON como o formato.

  4. Salve o arquivo.

  5. Carregue o arquivo JSON do Splunk exportado.

Observação

A exportação do Splunk deve ser um arquivo JSON válido e o tamanho do upload é limitado a 50 MB.

Captura de tela mostrando o guia de carregar arquivos.

Mapeamento de esquema

Use o mapeamento de esquema para definir com precisão como os tipos de dados e os campos na lógica de regra de análise são mapeados com base nas fontes extraídas das consultas SPL para as tabelas do Microsoft Sentinel.

Fontes de dados

Fontes conhecidas, como esquemas e modelos de dados CIM do Splunk, são mapeadas automaticamente para os esquemas ASIM sempre que aplicável. Outras fontes usadas na detecção do Splunk devem ser mapeadas manualmente para tabelas do Microsoft Sentinel ou do Log Analytics. Os esquemas de mapeamento são hierárquicos, de modo que as fontes do Splunk são mapeadas 1:1 com as tabelas do Microsoft Sentinel e os campos dentro dessas fontes.

Captura de tela mostrando as opções de mapeamento de esquema (versão prévia) para as fontes de dados.

Depois que o mapeamento de esquema for concluído, todas as atualizações manuais serão refletidas no Status de Mapeamento como "Mapeado manualmente". As alterações são consideradas na próxima etapa, quando as regras são traduzidas. O mapeamento é salvo por workspace, portanto, você não precisa repeti-lo.

Pesquisas

As pesquisas do Splunk se comparam às watchlists do Microsoft Sentinel, que são listas de combinações de campo e valor coletadas a serem correlacionadas com os eventos em seu ambiente do Microsoft Sentinel. Como as pesquisas do Splunk são definidas e ficam disponíveis fora dos limites das consultas SPL, a watchlist equivalente do Microsoft Sentinel deve ser criada como pré-requisito. O mapeamento de esquemas, então, identifica automaticamente as pesquisas a partir das consultas do Splunk carregadas e as mapeia para as watchlists do Sentinel.

Para obter mais informações, confira Como criar uma watchlist.

Captura de tela mostrando o mapeamento manual da pesquisa do Splunk para a watchlist do Microsoft Sentinel.

As consultas SPL fazem referência a pesquisas com as palavras-chave lookup, inputlookup e outputlookup. A operação outputlookup grava dados em uma pesquisa e não tem suporte na tradução. O mecanismo de tradução da migração de SIEM usa a função KQL _GetWatchlist() para mapear para a watchlist correta do Sentinel, juntamente com outras funções KQL para completar a lógica da regra.

Quando uma pesquisa do Splunk não tem uma watchlist correspondente mapeada, o mecanismo de tradução mantém o mesmo nome tanto para a watchlist quanto para seus campos, igualando-os à pesquisa e aos campos do Splunk.

Configurar regras

  1. Selecione Configurar Regras.

  2. Examine a análise da exportação do Splunk.

    • O nome é o nome original da regra de detecção do Splunk.
    • O Tipo de Tradução indica se uma regra de análise de OOTB do Sentinel corresponde à lógica de detecção do Splunk.
    • O Estado da Tradução fornece comentários sobre quão bem a sintaxe de uma detecção do Splunk foi traduzida para KQL. O estado da tradução não testa a regra nem verifica a fonte de dados.
      • Totalmente Traduzidas – as consultas nessa regra foram totalmente traduzidas para KQL, mas a lógica da regra e a fonte de dados não foram validadas.
      • Parcialmente Traduzidas – as consultas nesta regra não foram totalmente traduzidas para KQL.
      • Não Traduzidas – indica um erro na tradução.
      • Traduzidas manualmente – esse status é definido quando qualquer regra é editada e salva.

    Captura de tela mostrando os resultados do mapeamento automático de regras.

  3. Realce uma regra para resolver a tradução e selecione Editar. Quando estiver satisfeito com os resultados, selecione Salvar Alterações.

  4. Ative a alternância Implantar para as regras de análise a serem implantadas.

  5. Ao concluir a revisão, selecione Examinar e migrar.

Implantar as regras de Análise

  1. Selecione Implantar.

    Tipo de tradução Recurso implantado
    Pronto para uso As soluções correspondentes do Hub de conteúdo que contêm os modelos de regra de análise correspondentes são instaladas. As regras correspondentes são implantadas como regras de análise ativa no estado desabilitado.

    Para obter mais informações, consulte Gerenciar modelos de regra do Análise.
    Personalizado As regras são implantadas como regras de análise ativa no estado desabilitado.
  2. (Opcional) Selecione Exportar Modelos para baixar todas as regras traduzidas como modelos do ARM para usar em seus processos de CI/CD ou de implantação personalizada.

    Captura de tela mostrando a guia Revisar e Migrar realçando o botão Exportar Modelos.

  3. Antes de sair da experiência de Migração do SIEM, selecione Baixar Resumo de Migração, para manter um resumo da implantação de Análise.

    Captura de tela mostrando o botão Baixar Resumo da Migração na guia Revisar e Migrar.

Validar e habilitar regras

  1. Exiba as propriedades das regras implantadas na Análise do Microsoft Sentinel.

    • Todas as regras migradas são implantadas com o prefixo [Splunk Migrated].
    • Todas as regras migradas são definidas como desabilitadas.
    • As seguintes propriedades são retidas da exportação do Splunk sempre que possível:
      Severity
      queryFrequency
      queryPeriod
      triggerOperator
      triggerThreshold
      suppressionDuration
  2. Habilite as regras depois de revisá-las e verificá-las.

    Captura de tela mostrando regras de análise com regras do Splunk implantadas realçadas, prontas para serem habilitadas.

Neste artigo, você aprendeu a usar a experiência de migração do SIEM.

Para obter mais informações sobre a experiência de migração do SIEM, consulte os seguintes artigos: