Splunk 検出ルールを Microsoft Sentinel に移行する
この記事では、Splunk 検出ルールを特定し、比較し、Microsoft Sentinel 組み込みルールに移行する方法について説明します。
Splunk Observability のデプロイを移行する場合は、Splunk から Azure Monitor ログに移行する方法の詳細を確認してください。
ルールを特定して移行する
Microsoft Sentinel では、機械学習分析を使用して忠実で実用的なインシデントを作成します。既存の検出の一部は Microsoft Sentinel で冗長になる場合があります。 そのため、検出ルールと分析ルールをすべて無条件に移行しないようにしてください。 既存の検出ルールを特定するときに、これらの考慮事項を確認します。
- ビジネスの優先度と効率を考慮して、ルールの移行を正当化するユース ケースを選択してください。
- Microsoft Sentinel ルールの種類を理解していることを確認します。
- ルールの用語を理解していることを確認します。
- 過去 6 ~ 12 か月以内にアラートをトリガーしていないルールを確認し、それでも関連性があるかどうかを判断します。
- 日常的に無視する低レベルの脅威やアラートを排除します。
- 既存の機能を使用し、Microsoft Sentinel の組み込み分析ルールが現在のユース ケースに対応できるかどうかを確認します。 Microsoft Sentinel では機械学習分析を使用して、忠実性が高く実用的なインシデントが生成されるため、既存の検出の一部が不要になる可能性があります。
- 接続されているデータ ソースと、データ接続方法を確認します。 データ収集の会話を見直して、検出を予定しているユース ケース全体のデータの深さと幅を確認します。
- SIEM 移行エクスペリエンスの機能をテストし、自動翻訳が適切かどうかを判断します。
- SOC Prime Threat Detection Marketplace などのコミュニティ リソースを調べて、ご自身のルールが使用可能かどうかを確認します。
- Uncoder.io などのオンライン クエリ コンバーターがご自身のルールで機能するかどうかを検討します。
- ルールが使用できない場合、または変換できない場合は、KQL クエリを使用して手動で作成する必要があります。 ルール マッピングを確認して新しいクエリを作成します。
検出ルールを移行するためのベスト プラクティスの詳細を参照してください。
Microsoft Sentinel に分析ルールを移行するには、次のようにします。
移行するルールごとにテスト システムが配置されていることを確認します。
完全なテスト シナリオとスクリプトを含めて、移行したルールの検証プロセスを準備します。
移行したルールをテストするのに役立つリソースがチームにあることを確認します。
必要なデータ ソースが接続されていることを確認し、データ接続方法を確認します。
Microsoft Sentinel で組み込みテンプレートとして検出が利用可能かどうかを確認します。
SIEM 移行エクスペリエンスを使用し、翻訳と移行を自動化します。
詳細については、SIEM 移行エクスペリエンスを使用する方法に関するページを参照してください。
組み込みのルールが十分な場合は、組み込みのルール テンプレートを使用して、独自のワークスペースのルールを作成します。
Microsoft Sentinel で、[構成] > [分析] > [ルール テンプレート] タブにアクセスし、関連する各分析ルールを作成および更新します。
詳細については、「難しい設定なしで脅威を検出する」を参照してください。
Microsoft Sentinel の組み込みルールでカバーされていない検出がある場合は、Uncoder.io や SPL2KQL などのオンライン クエリ コンバーターを使用してクエリを KQL に変換してください。
トリガーの条件とルール アクションを特定し、KQL クエリを構築して確認します。
組み込みのルールもオンライン ルール コンバーターも十分でない場合は、ルールを手動で作成する必要があります。 このような場合は、次の手順を使用してルールの作成を開始します。
ルールで使用するデータ ソースを特定します。 Microsoft Sentinel でデータ ソースとデータ テーブルの間にマッピング テーブルを作成し、クエリを実行するテーブルを特定します。
ルールで使用するデータの属性、フィールド、またはエンティティを特定します。
ルールの条件とロジックを特定します。 この段階で、KQL クエリを作成する方法のサンプルとしてルール テンプレートを使用することができます。
フィルター、相関関係ルール、アクティブ リスト、参照セット、ウォッチリスト、検出の異常、集計などを検討してください。 レガシ SIEM から提供されている参照を使用して、クエリ構文を最適にマップする方法を理解することができます。
トリガーの条件とルール アクションを特定し、KQL クエリを構築して確認します。 クエリを確認するときは、KQL の最適化に関するガイダンス リソースを検討してください。
関連する各ユース ケースでルールをテストします。 期待される結果が得られない場合は、KQL を確認し、もう一度テストすることをお勧めします。
問題がなければ、移行されたルールを検討できます。 必要に応じて、ルール アクションのプレイブックを作成します。 詳細については、「Microsoft Sentinel のプレイブックを使用して脅威への対応を自動化する」を参照してください。
分析ルールの詳細について、以下を確認してください。
- 脅威を検出するためのカスタム分析規則を作成します。 アラートのグループ化を使用して、特定の期間内に発生したアラートをグループ化することで、アラートの疲労を減らすことができます。
- データ フィールドを Microsoft Sentinel のエンティティにマップして、SOC エンジニアが調査中に追跡する証拠の一部としてエンティティを定義できるようにします。 また、エンティティ マッピングを使用すると、SOC アナリストは、時間と労力を削減するのに役立つ、直感的な [調査グラフ] (investigate-cases.md#use-the-investigation-graph-to-deep-dive) を活用することができます。
- 証拠を使用して、インシデントのプレビュー ウィンドウで特定のインシデントに関連付けられているイベント、アラート、ブックマークを表示する方法の例として、UEBA データを使用してインシデントを調査します。
- Kusto クエリ言語 (KQL)。データを処理して結果を返すために、Log Analytics データベースに読み取り専用の要求を送信するために使用できます。 KQL は、Microsoft Defender for Endpoint や Application Insights など、他の Microsoft サービスでも使用されます。
ルールの用語を比較する
この表は、Splunk と比較して Microsoft Sentinel のルールの概念を明確にするのに役立ちます。
| Splunk | Microsoft Sentinel | |
|---|---|---|
| 規則の種類 | • スケジュール • リアルタイム |
• スケジュール済クエリ • フュージョン • Microsoft セキュリティ • 機械学習 (ML) による行動分析 |
| 条件 | SPL で定義する | KQL で定義する |
| トリガーの条件 | • 結果の数 • ホストの数 • ソースの数 • カスタム |
しきい値: クエリ結果の数 |
| 操作 | • トリガーされたアラートに追加する • イベントのログ記録 • 結果を検索に出力する • その他 |
• アラートまたはインシデントを作成する • Logic Apps と統合する |
ルール サンプルのマップと比較
これらのサンプルを使用して、さまざまなシナリオで Splunk のルールを比較し、 Microsoft Sentinel にマップします。
一般的な検索コマンド
| SPL コマンド | 説明 | KQL オペレーター | KQL 例 |
|---|---|---|---|
chart/ timechart |
時系列グラフの表形式出力の結果を返します。 | render 演算子 | … | render timechart |
dedup |
指定した条件に一致する後続の結果を削除します。 | • distinct • summarize |
… | summarize by Computer, EventID |
eval |
式を計算します。 一般的な eval コマンドについて説明します。 | extend | T | extend duration = endTime - startTime |
fields |
検索結果からフィールドを削除します。 | • プロジェクト • project-away |
T | project cost=price*quantity, price |
head/tail |
最初または最後の N 個の結果を返します。 | top | T | top 5 by Name desc nulls last |
lookup |
外部ソースからフィールド値を追加します。 | • 外部データ • 検索 |
KQL 例 |
rename |
フィールドの名前を変更します。 ワイルドカードを使用して複数のフィールドを指定します。 | project-rename | T | project-rename new_column_name = column_name |
rex |
正規表現を使用してグループ名を指定し、フィールドを抽出します。 | matches regex | … | where field matches regex "^addr.*" |
search |
検索式に一致する結果に結果をフィルター処理します。 | search | search "X" |
sort |
検索結果を、指定したフィールドで並べ替えます。 | sort | T | sort by strlen(country) asc, price desc |
stats |
必要に応じてフィールド別にグループ化された統計を提供します。 一般的な統計コマンドの詳細を確認します。 | summarize | KQL 例 |
mstats |
統計と同様に、イベントの代わりにメトリックで使用されます。 | summarize | KQL 例 |
table |
結果セットに保持するフィールドを指定し、表形式でデータを保持します。 | project | T | project columnA, columnB |
top/rare |
フィールドの最も一般的な値または最も一般的でない値を表示します。 | top | T | top 5 by Name desc nulls last |
transaction |
検索結果をトランザクションにグループ化します。 SPL の例 |
例: row_window_session | SPL の例 |
eventstats |
イベント内のフィールドからサマリー統計を生成し、それらの統計情報を新しいフィールドに保存します。 SPL の例 |
次に例を示します。 • 結合 • make_list • mv-expand |
KQL 例 |
streamstats |
フィールドの累積合計を求めます。 SPL の例: ... | streamstats sum(bytes) as bytes _ total \| timechart |
row_cumsum | ...\| serialize cs=row_cumsum(bytes) |
anomalydetection |
指定したフィールドで異常を見つけます。 SPL の例 |
series_decompose_anomalies() | SPL の例 |
where |
eval式を使用して検索結果をフィルター処理します。 2 つの異なるフィールドを比較するために使用されます。 |
where | T | where fruit=="apple" |
検索コマンド: KQL 例
Users
| where UserID in ((externaldata (UserID:string) [
@"https://storageaccount.blob.core.windows.net/storagecontainer/users.txt"
h@"?...SAS..." // Secret token to access the blob
])) | ...
stats コマンド: KQL 例
Sales
| summarize NumTransactions=count(),
Total=sum(UnitPrice * NumUnits) by Fruit,
StartOfMonth=startofmonth(SellDateTime)
mstats コマンド: KQL 例
T | summarize count() by price_range=bin(price, 10.0)
トランザクション コマンド: SPL の例
sourcetype=MyLogTable type=Event
| transaction ActivityId startswith="Start" endswith="Stop"
| Rename timestamp as StartTime
| Table City, ActivityId, StartTime, Duration
トランザクション コマンド: KQL 例
let Events = MyLogTable | where type=="Event";
Events
| where Name == "Start"
| project Name, City, ActivityId, StartTime=timestamp
| join (Events
| where Name == "Stop"
| project StopTime=timestamp, ActivityId)
on ActivityId
| project City, ActivityId, StartTime,
Duration = StopTime – StartTime
row_window_session()を使用して、シリアル化された行セット内の列のセッション開始値を計算します。
...| extend SessionStarted = row_window_session(
Timestamp, 1h, 5m, ID != prev(ID))
イベント コマンド: SPL の例
… | bin span=1m _time
|stats count AS count_i by _time, category
| eventstats sum(count_i) as count_total by _time
イベント コマンド: KQL 例
join ステートメントを使用した例を次に示します。
let binSize = 1h;
let detail = SecurityEvent
| summarize detail_count = count() by EventID,
tbin = bin(TimeGenerated, binSize);
let summary = SecurityEvent
| summarize sum_count = count() by
tbin = bin(TimeGenerated, binSize);
detail
| join kind=leftouter (summary) on tbin
| project-away tbin1
make_list ステートメントを使用した例を次に示します。
let binSize = 1m;
SecurityEvent
| where TimeGenerated >= ago(24h)
| summarize TotalEvents = count() by EventID,
groupBin =bin(TimeGenerated, binSize)
|summarize make_list(EventID), make_list(TotalEvents),
sum(TotalEvents) by groupBin
| mvexpand list_EventID, list_TotalEvents
anomalydetection コマンド: SPL の例
sourcetype=nasdaq earliest=-10y
| anomalydetection Close _ Price
anomalydetection コマンド: KQL 例
let LookBackPeriod= 7d;
let disableAccountLogon=SignIn
| where ResultType == "50057"
| where ResultDescription has "account is disabled";
disableAccountLogon
| make-series Trend=count() default=0 on TimeGenerated
in range(startofday(ago(LookBackPeriod)), now(), 1d)
| extend (RSquare,Slope,Variance,RVariance,Interception,
LineFit)=series_fit_line(Trend)
| extend (anomalies,score) =
series_decompose_anomalies(Trend)
一般的な eval コマンド
| SPL コマンド | 説明 | SPL の例 | KQL コマンド | KQL 例 |
|---|---|---|---|---|
abs(X) |
X の絶対値を返します。 | abs(number) |
abs() | abs(X) |
case(X,"Y",…) |
X引数とY引数のペアを受け取ります。ここでX引数は boolean 式です。 TRUEと評価された場合、引数は対応するY引数を返します。 |
SPL の例 | case | KQL 例 |
ceil(X) |
数値 X の上限。 | ceil(1.9) |
ceiling() | ceiling(1.9) |
cidrmatch("X",Y) |
特定のサブネットに属する IP アドレスを識別します。 | cidrmatch("123.132.32.0/25",ip) |
• ipv4_is_match() • ipv6_is_match() |
ipv4_is_match('192.168.1.1', '192.168.1.255')== false |
coalesce(X,…) |
null ではない最初の値を返します。 | coalesce(null(), "Returned val", null()) |
coalesce() | coalesce(tolong("not a number"),tolong("42"), 33) == 42 |
cos(X) |
X の余弦を計算します。 | n=cos(0) |
cos() | cos(X) |
exact(X) |
倍精度浮動小数点演算を使用して式 X を評価します。 | exact(3.14*num) |
todecimal() | todecimal(3.14*2) |
exp(X) |
eX を返します。 | exp(3) |
exp() | exp(3) |
if(X,Y,Z) |
XとTRUEが評価された場合、結果は 2 番目の引数 Yになります。 XとFALSEが評価された場合、結果は 3 番目の引数 Zになります。 |
if(error==200,"OK", "Error") |
iif() | KQL 例 |
isbool(X) |
Xが boolean の場合、TRUEを返します。 |
isbool(field) |
• iif() • gettype |
iif(gettype(X) =="bool","TRUE","FALSE") |
isint(X) |
Xが整数の場合TRUEを返します。 |
isint(field) |
• iif() • gettype |
KQL 例 |
isnull(X) |
Xが null である場合、TRUEを返します。 |
isnull(field) |
isnull() | isnull(field) |
isstr(X) |
Xが文字列である場合、TRUEを返します。 |
isstr(field) |
• iif() • gettype |
KQL 例 |
len(X) |
この関数は、文字列Xの文字長を返します。 |
len(field) |
strlen() | strlen(field) |
like(X,"y") |
XがYの SQLite パターンのような場合にのみ、TRUEを返します。 |
like(field, "addr%") |
• has • contains • startswith • matches regex |
KQL 例 |
log(X,Y) |
2 番目の引数 Y をベースとして使用して、最初の引数 X のログを返します。 Y の既定値は 10です。 |
log(number,2) |
• log • log2 • log10 |
log(X)log2(X)log10(X) |
lower(X) |
Xの小文字の値を返します。 |
lower(username) |
tolower | tolower(username) |
ltrim(X,Y) |
パラメーターY内の文字を左側からトリミングしてXを返します。 Yの既定の出力はスペースとタブです。 |
ltrim(" ZZZabcZZ ", " Z") |
trim_start() | trim_start(“ ZZZabcZZ”,” ZZZ”) |
match(X,Y) |
X が正規表現パターン Y と一致する場合に返します。 | match(field, "^\d{1,3}.\d$") |
matches regex | … | where field matches regex @"^\d{1,3}.\d$") |
max(X,…) |
列内の最大値を返します。 | max(delay, mydelay) |
• max() • arg_max() |
… | summarize max(field) |
md5(X) |
文字列値 Xの MD5 ハッシュを返します。 |
md5(field) |
hash_md5 | hash_md5("X") |
min(X,…) |
列内の最小値を返します。 | min(delay, mydelay) |
• min_of() • min_of() • arg_min |
KQL 例 |
mvcount(X) |
X値の数 (合計) を返します。 |
mvcount(multifield) |
dcount | …| summarize dcount(X) by Y |
mvfilter(X) |
boolean X 式に基づいて複数値フィールドをフィルター処理します。 |
mvfilter(match(email, "net$")) |
mv-apply | KQL 例 |
mvindex(X,Y,Z) |
開始位置 (0 から始まる) Yから Z(省略可能) までの複数値X引数のサブセットを返します。 |
mvindex( multifield, 2) |
array_slice | array_slice(arr, 1, 2) |
mvjoin(X,Y) |
複数値のフィールドXと文字列区切り記号Yを指定し、Yを使用してXの個々の値を結合します。 |
mvjoin(address, ";") |
strcat_array | KQL 例 |
now() |
Unix time で表される現在の時刻を返します。 | now() |
now() | now()now(-2d) |
null() |
引数を受け付けず、NULL値をかえします。 |
null() |
null | null |
nullif(X,Y) |
2 つの引数XとYを含み、引数が異なる場合はXを返します。 それ以外の場合、NULL を返します。 |
nullif(fieldA, fieldB) |
iif | iif(fieldA==fieldB, null, fieldA) |
random() |
0から2147483647の間の擬似乱数を返します。 |
random() |
rand() | rand() |
relative_ time(X,Y) |
エポック時間Xと相対時間指定子Yを指定すると、YをXに適用したエポック時間の値を返します。 |
relative_time(now(),"-1d@d") |
unix time | KQL 例 |
replace(X,Y,Z) |
文字列X内で正規表現文字列Yが出現するたびに文字列Zを置き換えて形成された文字列を返します。 |
月と日の数値が切り替わる日付を返します。 たとえば、入力が 4/30/2015の場合、出力は30/4/2009となります 。replace(date, "^(\d{1,2})/ (\d{1,2})/", "\2/\1/") |
replace() | KQL 例 |
round(X,Y) |
XをYで指定された小数点以下の桁数に丸められた値を返します。 既定値では整数に丸められます。 |
round(3.5) |
round | round(3.5) |
rtrim(X,Y) |
XにYの文字を右側からトリミングして返します。 Yを指定しない場合、スペースとタブはトリミングされます。 |
rtrim(" ZZZZabcZZ ", " Z") |
trim_end() | trim_end(@"[ Z]+",A) |
searchmatch(X) |
イベントが検索文字列 Xと一致する場合、TRUEを返します。 |
searchmatch("foo AND bar") |
iif() | iif(field has "X","Yes","No") |
split(X,"Y") |
Xを区切り記号Yで分割された複数値フィールドとして返します。 |
split(address, ";") |
split() | split(address, ";") |
sqrt(X) |
X の平方根を返します。 |
sqrt(9) |
sqrt() | sqrt(9) |
strftime(X,Y) |
Yで指定された形式を使用してレンダリングされたエポック時間値Xを返します。 |
strftime(_time, "%H:%M") |
format_datetime() | format_datetime(time,'HH:mm') |
strptime(X,Y) |
文字列 Xで表される時刻を指定すると、形式Yから解析された値が返されます。 |
strptime(timeStr, "%H:%M") |
format_datetime() | KQL 例 |
substr(X,Y,Z) |
開始位置 (1 から始まる) YからZ文字 (省略可能) substring フィールドXを返します。 |
substr("string", 1, 3) |
substring() | substring("string", 0, 3) |
time() |
マイクロ秒の解像度で実時間を返します。 | time() |
format_datetime() | KQL 例 |
tonumber(X,Y) |
入力文字列Xを数値に変換します。ここでY (省略可能、既定値は10) は、変換先の数値のベースを定義します。 |
tonumber("0A4",16) |
toint() | toint("123") |
tostring(X,Y) |
説明 | SPL の例 | tostring() | tostring(123) |
typeof(X) |
フィールド型の文字列表記を返します。 | typeof(12) |
gettype() | gettype(12) |
urldecode(X) |
URL Xをデコードしたものを返します。 |
SPL の例 | url_decode | KQL 例 |
case(X,"Y",…) SPL の例
case(error == 404, "Not found",
error == 500,"Internal Server Error",
error == 200, "OK")
case(X,"Y",…) KQL 例
T
| extend Message = case(error == 404, "Not found",
error == 500,"Internal Server Error", "OK")
if(X,Y,Z) KQL 例
iif(floor(Timestamp, 1d)==floor(now(), 1d),
"today", "anotherday")
isint(X) KQL 例
iif(gettype(X) =="long","TRUE","FALSE")
isint(X) KQL 例
iif(gettype(X) =="string","TRUE","FALSE")
like(X,"y") の例
… | where field has "addr"
… | where field contains "addr"
… | where field startswith "addr"
… | where field matches regex "^addr.*"
min(X,…) KQL 例
min_of (expr_1, expr_2 ...)
…|summarize min(expr)
…| summarize arg_min(Price,*) by Product
mvfilter(X) KQL 例
T | mv-apply Metric to typeof(real) on
(
top 2 by Metric desc
)
mvjoin(X,Y) KQL 例
strcat_array(dynamic([1, 2, 3]), "->")
relative time(X,Y) KQL 例
let toUnixTime = (dt:datetime)
{
(dt - datetime(1970-01-01))/1s
};
replace(X,Y,Z) KQL 例
replace( @'^(\d{1,2})/(\d{1,2})/', @'\2/\1/',date)
strptime(X,Y) KQL 例
format_datetime(datetime('2017-08-16 11:25:10'),
'HH:mm')
time() KQL 例
format_datetime(datetime(2015-12-14 02:03:04),
'h:m:s')
tostring(X,Y)
文字列としてフィールド値Xを返します。
Xのが数値の場合は、Xは文字列の値に再フォーマットされます。Xがブール値の場合は、XはTRUEまたはFALSEに再フォーマットされます。Xが数値の場合、2 番目の引数Yは省略可能で、hex(Xを16 進数に変換)、commas(Xをコンマと小数点以下 2 桁の書式)、またはduration(Xを秒単位の時刻形式から読み取り可能な時刻形式HH:MM:SSに変換) のいずれかを指定することができます。
tostring(X,Y) SPL の例
この例では、以下が返されます。
foo=615 and foo2=00:10:15:
… | eval foo=615 | eval foo2 = tostring(
foo, "duration")
urldecode(X) SPL の例
urldecode("http%3A%2F%2Fwww.splunk.com%2Fdownload%3Fr%3Dheader")
一般的な統計コマンド KQL 例
| SPL コマンド | 説明 | KQL コマンド | KQL 例 |
|---|---|---|---|
avg(X) |
フィールドXの値の平均を返します。 |
avg() | avg(X) |
count(X) |
フィールドXの出現回数を返します。 一致する特定のフィールド値を示すには、Xをeval(field="value")のように書式設定します。 |
count() | summarize count() |
dc(X) |
フィールドXの個別の値の数を返します。 |
dcount() | …\| summarize countries=dcount(country) by continent |
earliest(X) |
Xの時系列で最も早い値を返します。 |
arg_min() | … \| summarize arg_min(TimeGenerated, *) by X |
latest(X) |
Xの時系列で最新の値を返します。 |
arg_max() | … \| summarize arg_max(TimeGenerated, *) by X |
max(X) |
フィールドXの最大値を返します。 Xの値が数値以外の場合、最大値はアルファベット順で見つかります。 |
max() | …\| summarize max(X) |
median(X) |
フィールドXの一番真ん中の値を返します。 |
percentile() | …\| summarize percentile(X, 50) |
min(X) |
フィールドXの最小値を返します。 Xの値が数値以外の場合、最小値はアルファベット順で見つかります。 |
min() | …\| summarize min(X) |
mode(X) |
フィールドXの出現回数が最も多い値を返します。 |
top-hitters() | …\| top-hitters 1 of Y by X |
perc(Y) |
フィールドYのパーセンタイル値Xを返します。 たとえば、 perc5(total)は フィールドtotalの 5 番目のパーセンタイル値を返します。 |
percentile() | …\| summarize percentile(Y, 5) |
range(X) |
フィールドXの最大値と最小値の差を返します。 |
range() | range(1, 3) |
stdev(X) |
フィールドXの標本標準偏差を返します。 |
stdev | stdev() |
stdevp(X) |
フィールドXの母標準偏差を返します。 |
stdevp() | stdevp() |
sum(X) |
フィールドXの値の合計を返します。 |
sum() | sum(X) |
sumsq(X) |
フィールドXの値の二乗の和を返します。 |
||
values(X) |
フィールドXのすべての個別の値のリストを複数値エントリとして返します。 値の順序はアルファベット順です。 |
make_set() | …\| summarize r = make_set(X) |
var(X) |
フィールド Xのサンプル分散を返します。 |
variance | variance(X) |
次のステップ
この記事では、Splunk から Microsoft Sentinel に移行ルールをマップする方法について説明しました。