正在加载

自动迁移

Elastic Stack 技术预览 Serverless 技术预览

警告

此功能处于技术预览阶段。它将来可能会发生变化,在生产环境中使用时应谨慎。Elastic 会努力修复任何问题,但技术预览版的功能不受 GA 功能的支持 SLA 约束。

检测规则的自动迁移可以帮助您快速将 SIEM 规则从 Splunk 处理语言 (SPL) 转换为 Elasticsearch 查询语言 (ES|QL)。如果存在可比较的 Elastic 编写的规则,它可以通过将您的规则映射到它们来简化入门。否则,它会动态创建自定义规则,以便您可以验证和编辑它们,而不是从头开始编写。

您可以在迁移规则之前摄取数据,或者先迁移规则,在这种情况下,该工具会建议您需要哪些数据源来支持迁移后的规则。

要求
  • SIEM migrations: All 安全子功能权限。
  • 一个工作中的 LLM 连接器
  • Elastic Stack 用户:一个 Enterprise 订阅。
  • Elastic Stack 用户:必须启用机器学习。
  • Serverless 用户:一个 Security Complete 订阅。
  • Elastic Cloud 用户:必须启用机器学习。我们建议每个机器学习区域至少有 4GB 的 RAM。

  1. 在导航菜单中找到“**快速入门**”,或使用全局搜索栏

  2. 配置 AI 提供程序 下,选择一个配置的模型,或者 添加一个新的模型。 有关不同模型的性能的信息,请参阅 LLM 性能矩阵

  3. 接下来,在 迁移规则 & 添加数据 下,单击 将您现有的 SIEM 规则翻译为 Elastic,然后单击 上传规则

  4. 按照 上传 Splunk SIEM 规则 浮出控件上的说明,从 Splunk 中将规则导出为 JSON。

    the Upload Splunk SIEM rules flyout
    注意

    提供的查询会下载 Splunk 相关规则和已保存的搜索。或者,只要您以 JSON 格式导出结果,就可以使用其他查询。例如

    | rest /servicesNS/-/-/saved/searches
| search is_scheduled=1 AND eai:acl.app=splunksysmonsecurity
| where disabled=0
| table id, title, search, description, action.escu.eli5,

    上面的示例查询将仅下载与 splunksysmonsecurity 应用程序相关的规则。

    我们不建议下载所有搜索(例如,使用 | rest /servicesNS/-/-/saved/searches),因为大多数数据与 SIEM 规则迁移无关。

  5. 选择您的 JSON 文件,然后单击 上传

    注意

    如果文件很大,您可能需要将其分成多个部分并单独上传,以避免超过 LLM 的上下文窗口。

  6. 上传 Splunk 规则后,自动迁移将检测它们是否使用任何 Splunk 宏或查找。如果是这样,请按照出现的说明导出和上传它们。或者,您可以稍后完成此步骤 — 但是,在您上传它们之前,您的一些迁移规则将具有 partially translated 状态。如果您现在上传它们,则无需在该页面上等待它们被处理 — 处理完成后将出现通知。

  7. 单击 翻译 以开始规则翻译过程。您无需停留在此页面上。该过程完成后将出现通知。

  8. 迁移完成后,单击通知或返回到“**快速入门**”页面,然后单击“**查看已翻译的规则**”以打开“**已翻译的规则**”页面。

“已翻译规则”页面

本节介绍“**已翻译的规则**”页面的界面,并说明此处显示的数据是如何派生的。

当您上传一批新规则时,它们会被分配一个名称和编号,例如 SIEM rule migration 1SIEM rule migration 2。使用右上角的 迁移 下拉菜单来选择要显示的批次。

The translated rules page

表格的字段如下

  • 名称: 在规则安装后才能编辑 Elastic 编写的规则的名称。要编辑自定义翻译规则的名称,请单击该名称,然后选择“**编辑**”。

  • 状态: 规则的翻译状态

    • Installed:已添加到 Elastic SIEM。单击“**查看**”以管理和启用它。
    • Translated:准备好安装。此规则已映射到 Elastic 编写的规则,或由自动导入翻译。单击“**安装**”以安装它。
    • Partially translated:部分查询无法翻译。您可能需要为规则查询指定索引模式,上传缺失的宏或查找,或修复损坏的规则语法。
    • Not translated:无法翻译任何原始查询。
    • Error:规则翻译失败。请参阅错误详细信息。

  • 风险评分: 对于 Elastic 编写的规则,风险评分是预定义的。对于自定义翻译规则,风险评分定义如下

    • 如果源规则具有可与 Elastic 的 risk score 比较的字段,我们将使用该值。
    • 否则,如果源规则具有可与 Elastic 的 rule severity 字段比较的字段,我们将根据 这些指南,根据该值确定风险评分。
    • 如果以上两者都不适用,我们将分配一个默认值。

  • 规则严重性: 对于 Elastic 编写的规则,严重性评分是预定义的。对于自定义翻译规则,风险评分基于源规则的严重性字段。Splunk 严重性评分按如下方式翻译为 Elastic 规则严重性评分

    Splunk 严重性 Elastic 规则严重性
    1(信息)
    2(低)
    3(中)
    4(高)
    5(危急) 危急

  • 作者: 显示两个可能的值之一:ElasticCustom。Elastic 编写的规则由 Elastic 创建并自动更新。自定义规则由自动迁移工具或您的团队翻译,并且不会自动更新。

  • 集成: 显示必须安装的 Elastic 集成数量,以便为规则成功运行提供数据。

  • 操作: 允许您单击“**安装**”以将规则添加到 Elastic。安装的规则还必须先启用才能运行。要批量安装规则,请在单击“**安装**”之前选中表格顶部的复选框。

一旦您进入“**已翻译的规则**”页面,要安装任何部分翻译或未翻译的规则,您将需要编辑它们。或者,您也可以编辑已成功翻译的自定义规则以对其进行微调。

注意

您无法使用此界面编辑 Elastic 编写的规则,但在安装后,您可以从“**规则**”页面编辑它们

单击规则的名称以打开规则的详细信息浮出控件到“**翻译**”选项卡,该选项卡显示源规则以及已翻译的(或部分翻译的)Elastic 版本。您可以更新规则的任何部分。完成后,单击“**保存**”。

The rule details flyout
注意

如果您尚未摄取数据,则在编辑时可能会遇到 Unknown indexUnknown column 错误。您可以忽略这些并在以后添加您的数据。

规则详细信息浮出控件(当您单击“**翻译规则**”表格中的规则名称时出现)还有两个其他选项卡,“**概览**”和“**摘要**”。“**概览**”选项卡显示诸如规则的严重性、风险评分、规则类型以及运行频率等信息。“**摘要**”选项卡解释了规则翻译背后的逻辑,例如为什么使用特定的 ES|QL 命令,或者为什么将源规则映射到特定的 Elastic 编写的规则。

重要提示

有关您迁移的所有详细信息都存储在 .kibana-siem-rule-migrations-rules-default 索引中。您可以使用 Discover 来查看各种指标、分析指标等等。

对于由于各种原因(例如功能对等问题)而无法精确翻译的规则,自动迁移如何处理?

翻译后,无法翻译的规则将显示为部分翻译(黄色)或未翻译(红色)状态。从那里,您可以单独解决它们。

是否支持嵌套宏?

是的,自动迁移可以处理嵌套宏。

我们如何确保规则保持最新?

自动迁移会尽可能将您的规则映射到 Elastic 编写的规则,这些规则会自动更新。与所有自定义规则一样,由自动迁移创建的规则必须由您维护。

关于每次迁移的信息出现在哪个索引中?

无论您使用自动迁移多少次,迁移数据仍将继续出现在 .kibana-siem-rule-migrations-rules-default 中。

自动迁移如何处理查找其他索引的 Splunk 规则?

属于此类别的规则通常会显示部分翻译的状态。 您可以使用 LOOKUP JOIN 功能来解决这种情况。

© . All rights reserved.