SIEM 마이그레이션 환경을 사용하여 Microsoft Sentinel 마이그레이션

SIEM 마이그레이션 도구는 사용자 지정 검색을 포함하여 Splunk 및 QRadar 검색을 분석하고 가장 적합한 Microsoft Sentinel 검색 규칙을 권장합니다. 또한 권장 검색을 사용하도록 설정하기 위해 콘텐츠 허브에서 사용할 수 있는 Microsoft 및 타사 커넥터인 데이터 커넥터에 대한 권장 사항도 제공합니다. 고객은 각 권장 사항 카드 올바른 상태 할당하여 마이그레이션을 추적할 수 있습니다.

SIEM 마이그레이션 환경에는 다음 기능이 포함됩니다.

• 이 환경은 Splunk 및 QRadar 보안 모니터링을 Microsoft Sentinel 마이그레이션하고 가능한 한 OOTB(기본 제공) 분석 규칙을 매핑하는 데 중점을 둡니다.
• 이 환경에서는 Splunk 및 QRadar 검색을 Microsoft Sentinel 분석 규칙으로 마이그레이션할 수 있습니다.

필수 구성 요소

• Microsoft Defender 포털에서 Microsoft Sentinel
• Microsoft Sentinel 작업 영역에서 Microsoft Sentinel 이상의 기여자 권한
• Security Copilot 작업 영역 운영자 역할이 할당된 테넌트에서 사용하도록 설정됨

현재 SIEM에서 검색 규칙 내보내기

| rest splunk_server=local count=0 /servicesNS/-/-/saved/searches | search disabled=0 | search alert_threshold != "" | table title, search, description, cron_schedule, dispatch.earliest_time, alert.severity, alert_comparator, alert_threshold, alert.suppress.period, id, eai:acl.app, actions, action.correlationsearch.annotations, action.correlationsearch.enabled | tojson | table _raw | rename _raw as alertrules | mvcombine delim=", " alertrules | append [ | rest splunk_server=local count=0 /servicesNS/-/-/admin/macros | table title,definition,args,iseval | tojson | table _raw | rename _raw as macros | mvcombine delim=", " macros ] | filldown alertrules |tail 1 

SIEM 마이그레이션 환경 시작

규칙을 내보낸 후 다음을 수행합니다.

1. security.microsoft.com로 이동합니다.

2. SOC 최적화 탭에서 새 SIEM 설정을 선택합니다.

   

3. 현재 SIEM에서 마이그레이션을 선택합니다.

   

4. 마이그레이션할 SIEM을 선택합니다.

   

5. 현재 SIEM에서 내보낸 구성 데이터를 업로드하고 다음을 선택합니다.

   마이그레이션 도구는 내보내기를 분석하고 제공한 파일의 데이터 원본 수 및 검색 규칙을 식별합니다. 이 정보를 사용하여 올바른 내보내기를 확인합니다.

   데이터가 올바르지 않으면 오른쪽 위 모서리에서 파일 바꾸기 를 선택하고 새 내보내기를 업로드합니다. 올바른 파일이 업로드되면 다음을 선택합니다.

   

6. 작업 영역을 선택한 다음 분석 시작을 선택합니다.

   

   마이그레이션 도구는 검색 규칙을 Microsoft Sentinel 데이터 원본 및 검색 규칙에 매핑합니다. 작업 영역에 권장 사항이 없으면 권장 사항이 만들어집니다. 기존 권장 사항이 있는 경우 도구는 삭제하고 새 권장 사항으로 바꿉니다.

   

7. 페이지를 새로 고치고 SIEM 설정 분석 상태 선택하여 분석 진행률을 확인합니다.

   

   이 페이지는 자동으로 새로 고쳐지지 않습니다. 최신 상태 보려면 페이지를 닫고 다시 엽니다.

   세 개의 검사 표시가 모두 녹색이면 분석이 완료됩니다. 세 개의 확인 표시가 녹색이지만 권장 사항이 없는 경우 규칙에 대한 일치 항목이 없음을 의미합니다.

   

   분석이 완료되면 마이그레이션 도구는 콘텐츠 허브 솔루션별로 그룹화된 사용 사례 기반 권장 사항을 생성합니다. 분석에 대한 자세한 보고서를 다운로드할 수도 있습니다. 이 보고서에는 적절한 솔루션을 찾지 못했거나 검색되지 않았거나 해당되지 않는 Splunk 규칙을 포함하여 권장 마이그레이션 작업에 대한 자세한 분석이 포함되어 있습니다.

   

   SIEM 설치 프로그램을 기준으로 권장 사항 유형을 필터링하여 마이그레이션 권장 사항을 확인합니다.

8. 매핑된 데이터 원본 및 규칙을 보려면 권장 사항 카드 중 하나를 선택합니다.

   

   이 도구는 Splunk 규칙을 기본 제공 Microsoft Sentinel 데이터 커넥터 및 기본 제공 Microsoft Sentinel 검색 규칙과 일치합니다. 커넥터 탭에는 SIEM의 규칙과 일치하는 데이터 커넥터와 연결이 끊어지지 않은 상태 표시됩니다. 사용하려는 커넥터가 아직 연결되지 않은 경우 커넥터 탭에서 연결할 수 있습니다. 커넥터가 설치되지 않은 경우 콘텐츠 허브로 이동하여 사용하려는 커넥터가 포함된 솔루션을 설치합니다.

   

   검색 탭에는 다음 정보가 표시됩니다.

   • SIEM 마이그레이션 도구의 권장 사항입니다.
   • 업로드된 파일의 현재 Splunk 검색 규칙입니다.
   • Microsoft Sentinel 검색 규칙의 상태. 상태 될 수 있습니다.
     • 사용: 검색 규칙은 이전 작업에서 규칙 템플릿에서 만들어지고 활성화되고 활성 상태입니다.
     • 사용 안 함: 검색 규칙은 콘텐츠 허브에서 설치되지만 Microsoft Sentinel 작업 영역에서는 사용하도록 설정되지 않습니다.
     • 사용되지 않음: 검색 규칙이 콘텐츠 허브에서 설치되었으며 사용할 수 있는 템플릿으로 사용할 수 있습니다.
     • 설치되지 않음: 콘텐츠 허브에서 검색 규칙이 설치되지 않았습니다.
   • 권장 검색 규칙에 필요한 로그를 가져오도록 구성해야 하는 필수 커넥터입니다. 필요한 커넥터를 사용할 수 없는 경우 콘텐츠 허브에서 설치할 마법사가 있는 측면 패널이 있습니다. 모든 필수 커넥터가 연결된 경우 녹색 검사 표시가 나타납니다.

   

검색 규칙 사용

규칙을 선택하면 규칙 세부 정보 측면 패널이 열리고 규칙 템플릿 세부 정보를 볼 수 있습니다.

• 연결된 데이터 커넥터가 설치되고 구성된 경우 검색 사용을 선택하여 검색 규칙을 사용하도록 설정합니다.

  

• 추가 작업>수동으로 만들기를 선택하여 규칙을 사용하도록 설정하기 전에 규칙을 검토하고 편집할 수 있도록 분석 규칙 마법사를 엽니다.

• 규칙이 이미 사용하도록 설정된 경우 편집 을 선택하여 분석 규칙 마법사를 열어 규칙을 검토하고 편집합니다.

  

  마법사는 Splunk SPL 규칙을 표시하며 Microsoft Sentinel KQL과 비교할 수 있습니다.

  

데이터 커넥터가 설치되어 있지 않고 로그를 스트리밍하도록 구성된 경우 검색 사용 이 비활성화됩니다.

• 사용하도록 설정할 각 규칙 옆에 있는 검사 상자를 선택한 다음 페이지 위쪽에서 선택한 검색 사용을 선택하여 여러 규칙을 한 번에 사용하도록 설정할 수 있습니다.

  

SIEM 마이그레이션 도구는 커넥터를 명시적으로 설치하거나 검색 규칙을 사용하도록 설정하지 않습니다.

제한 사항

• 마이그레이션 도구는 데이터 커넥터 및 검색 규칙을 Microsoft Sentinel 기본 제공 규칙으로 내보내는 규칙을 매핑합니다.