قم بتوسيع Microsoft Azure Sentinel عبر مساحات العمل والمستأجرين
عند إلحاق Microsoft Sentinel، فإن خطوتك الأولى عبارة عن تحديد مساحة عمل Log Analytics الخاصة بك. بينما يمكنك الحصول على الفائدة الكاملة من تجربة Microsoft Sentinel مع مساحة عمل واحدة، في بعض الحالات، قد ترغب في توسيع مساحة العمل للاستعلام عن بياناتك وتحليلها عبر مساحات العمل والمستأجرين. لمزيد من المعلومات، راجع تصميم بنية مساحة عمل Log Analytics والاستعداد لمساحات عمل ومستأجرين متعددين في Microsoft Sentinel.
إذا قمت بإلحاق Microsoft Sentinel إلى مدخل Microsoft Defender، فشاهد إدارة Microsoft Defender متعددة المستأجرين.
إدارة الحوادث على مساحات عمل متعددة
يدعم Microsoft Sentinel طريقة عرض أحداث مساحة عمل متعددة حيث يمكنك إدارة الحوادث ومراقبتها مركزيًا عبر مساحات عمل متعددة. تتيح لك طريقة العرض المركزية للحوادث إدارة الحوادث مباشرة أو التنقل لأسفل بشفافية إلى تفاصيل الحادث في سياق مساحة العمل الأصلية.
الاستعلام عن مساحات عمل متعددة
يمكنك الاستعلام عن مساحات عمل متعددة، مما يسمح لك بالبحث عن البيانات وربطها من مساحات عمل متعددة في استعلام واحد.
workspace( )استخدم التعبير، مع معرف مساحة العمل كوسيطة، للإشارة إلى جدول في مساحة عمل مختلفة.- راجع المعلومات المهمة حول استخدام تنسيقات المعرف لضمان الأداء المناسب.
استخدم عامل التشغيل الموحد جنبا إلى جنب مع
workspace( )التعبير لتطبيق استعلام عبر الجداول في مساحات عمل متعددة.يمكنك استخدام الدالات المحفوظة لتبسيط الاستعلامات عبر مساحة العمل. على سبيل المثال، يمكنك تقصير مرجع طويل إلى جدول SecurityEvent في مساحة عمل العميل A عن طريق حفظ التعبير
workspace("/subscriptions/<customerA_subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName>").SecurityEventكدالة تسمى
SecurityEventCustomerA. يمكنك بعد ذلك الاستعلام عن جدول SecurityEvent للعميل A باستخدام هذه الدالة:SecurityEventCustomerA | where ....يمكن للدالة أيضًا تبسيط اتحاد شائع الاستخدام. على سبيل المثال، يمكنك حفظ التعبير التالي كدالة تسمى
unionSecurityEvent:union workspace("/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName1>").SecurityEvent, workspace("/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName2>").SecurityEventيمكنك بعد ذلك كتابة استعلام عبر كل من مساحات العمل عن طريق البدء بـ
unionSecurityEvent | where ....
تضمين استعلامات عبر مساحة العمل في قواعد التحليلات المجدولة
يمكنك تضمين استعلامات عبر مساحة العمل في قواعد التحليلات المجدولة. يمكنك استخدام قواعد التحليلات عبر مساحات العمل في SOC مركزي، وعبر المستأجرين (باستخدام Azure Lighthouse)، المناسب لـ MSSPs. يخضع هذا الاستخدام للقيود التالية:
- يمكنك تضمين ما يصل إلى 20 مساحة عمل في استعلام واحد. ومع ذلك، للحصول على أداء جيد، نوصي بما في ذلك ما لا يزيد عن 5.
- يجب نشر Microsoft Sentinel على كل مساحة عمل مشار إليها في الاستعلام.
- توجد التنبيهات التي تم إنشاؤها بواسطة قاعدة تحليلات عبر مساحة العمل، والحوادث التي تم إنشاؤها منها، فقط في مساحة العمل حيث تم تعريف القاعدة. لن يتم عرض التنبيهات في أي من مساحات العمل الأخرى المشار إليها في الاستعلام.
- ستستمر قاعدة التحليلات عبر مساحات العمل، مثل أي قاعدة تحليلات، في التشغيل حتى إذا فقد المستخدم الذي أنشأ القاعدة الوصول إلى مساحات العمل المشار إليها في استعلام القاعدة. الاستثناء الوحيد لهذا هو في حالة مساحات العمل في اشتراكات و/أو مستأجرين مختلفين عن قاعدة التحليلات.
تحتوي التنبيهات والحوادث التي تم إنشاؤها بواسطة قواعد التحليلات عبر مساحة العمل على جميع الكيانات ذات الصلة، بما في ذلك تلك من جميع مساحات العمل المشار إليها ومساحة العمل "الرئيسية" (حيث تم تعريف القاعدة). بهذه الطريقة، يحصل المحللون على صورة كاملة للتنبيهات والحوادث.
إشعار
قد يؤثر الاستعلام عن مساحات عمل متعددة في نفس الاستعلام على الأداء، وبالتالي يوصى به فقط عندما يتطلب المنطق هذه الوظيفة.
استخدام مصنفات عبر مساحات العمل
توفر المصنفات لوحات المعلومات والتطبيقات إلى Microsoft Sentinel. عند العمل مع مساحات عمل متعددة، توفر المصنفات المراقبة والإجراءات عبر مساحات العمل.
يمكن أن توفر المصنفات استعلامات عبر مساحات العمل بإحدى الطرق الثلاثة، المناسبة لمستويات مختلفة من خبرة المستخدم النهائي:
| الطريقة | الوصف | متي ينبغي الاستخدام؟ |
|---|---|---|
| كتابة استعلامات عبر مساحة العمل | يمكن لمنشئ المصنف كتابة استعلامات عبر مساحة العمل (الموضحة أعلاه) في المصنف. | أريد منشئ المصنف لإنشاء بنية مساحة عمل شفافة للمستخدم. |
| إضافة محدد مساحة عمل إلى المصنف | يمكن لمنشئ المصنف تنفيذ محدد مساحة عمل كجزء من المصنف. | أرغب في السماح للمستخدم بالتحكم في مساحات العمل المعروضة في المصنف، باستخدام مربع قائمة منسدلة سهل الاستخدام. |
| تحرير المصنف بشكل تفاعلي | يمكن لمستخدم متقدم يقوم بتعديل مصنف موجود تحرير الاستعلامات فيه، وتحديد مساحات العمل الهدف باستخدام محدد مساحة العمل في المحرر. | أريد السماح لمستخدم الطاقة بتعديل المصنفات الموجودة بسهولة للعمل مع مساحات عمل متعددة. |
البحث عبر مساحات عمل متعددة
توفر Microsoft Sentinel أمثلة استعلام جاهزة مصممة للبدء والتعرف على الجداول ولغة الاستعلام. يضيف باحثو أمان Microsoft باستمرار استعلامات مضمنة جديدة ويضبطون الاستعلامات الموجودة. يمكنك استخدام هذه الاستعلامات للبحث عن اكتشافات جديدة وتحديد علامات الاختراق التي قد تكون أدوات الأمان قد فاتها.
تمكن إمكانات التتبع عبر مساحات العمل صيادي التهديدات من إنشاء استعلامات تتبع جديدة، أو تكييف الاستعلامات الموجودة، لتغطية مساحات عمل متعددة، باستخدام عامل التشغيل الموحد وتعبير workspace() كما هو موضح أعلاه.
إدارة مساحات عمل متعددة باستخدام الأتمتة
لتكوين وإدارة مساحات عمل Log Analytics المتعددة الممكنة ل Microsoft Sentinel، تحتاج إلى أتمتة استخدام واجهة برمجة تطبيقات إدارة Microsoft Sentinel.
- تعرف على كيفية أتمتة نشر موارد Microsoft Sentinel، بما في ذلك قواعد التنبيه واستعلامات التتبع والمصنفات ودلائل المبادئ.
- تعرف على كيفية نشر محتوى مخصص من مستودعك. يوفر هذا المورد منهجية موحدة لإدارة Microsoft Sentinel كرمز ولنشر الموارد وتكوينها من مستودع Azure DevOps أو GitHub خاص.
إدارة مساحات العمل عبر المستأجرين باستخدام Azure Lighthouse
كما ذكر أعلاه، في العديد من السيناريوهات، يمكن أن تكون مساحات عمل Log Analytics المختلفة الممكنة ل Microsoft Sentinels موجودة في مستأجري Microsoft Entra مختلفين. يمكنك استخدام Azure Lighthouse لتوسيع جميع أنشطة مساحات العمل عبر حدود المستأجر، ما يسمح للمستخدمين في المستأجر الإداري بالعمل على مساحات العمل عبر جميع المستأجرين.
بمجرد إلحاق Azure Lighthouse، استخدم محدد الدليل + الاشتراك على مدخل Microsoft Azure لتحديد جميع الاشتراكات التي تحتوي على مساحات العمل التي تريد إدارتها، من أجل التأكد من توفرها جميعًا في محددات مساحة العمل المختلفة في المدخل.
عند استخدام Azure Lighthouse، يوصى بإنشاء مجموعة لكل دور Microsoft Sentinel وتفويض الأذونات من كل مستأجر إلى تلك المجموعات.
الخطوات التالية
في هذه المقالة، تعلمت كيف يمكن توسيع قدرات Microsoft Sentinel عبر مساحات عمل ومستأجرين متعددين. للحصول على إرشادات عملية حول تنفيذ بنية مساحة العمل المشتركة لـ Microsoft Sentinel، راجع المقالات التالية:
- تعرف على كيفية العمل مع عدة مستأجرين في Microsoft Sentinel، باستخدام Azure Lighthouse.
- تعرف على كيفية عرض الحوادث وإدارتها في مساحات عمل متعددة بسلاسة.