Správa pracovních prostorů Služby Microsoft Sentinel ve velkém měřítku

Azure Lighthouse umožňuje poskytovatelům služeb provádět operace ve velkém měřítku napříč několika tenanty Microsoft Entra najednou a zefektivnit úlohy správy.

Microsoft Sentinel poskytuje analýzy zabezpečení a analýzu hrozeb a poskytuje jediné řešení pro detekci výstrah, viditelnost hrozeb, proaktivní proaktivní vyhledávání a reakci na hrozby. Pomocí Služby Azure Lighthouse můžete spravovat více pracovních prostorů Microsoft Sentinelu napříč tenanty ve velkém měřítku. To umožňuje scénáře, jako jsou spouštění dotazů napříč několika pracovními prostory nebo vytváření sešitů pro vizualizaci a monitorování dat z připojených zdrojů dat, abyste získali přehledy. IP adresy, jako jsou dotazy a playbooky, zůstávají ve vašem spravovaném tenantovi, ale můžete je použít k provádění správy zabezpečení v tenantech zákazníků.

Toto téma obsahuje přehled toho, jak azure Lighthouse umožňuje používat Microsoft Sentinel škálovatelným způsobem pro viditelnost napříč tenanty a spravované služby zabezpečení.

Tip

I když v tomto tématu odkazujeme na poskytovatele služeb a zákazníky, tyto pokyny platí také pro podniky, které používají Azure Lighthouse ke správě více tenantů.

Poznámka:

Delegovaný prostředky, které se nacházejí v různých oblastech, můžete spravovat. Prostředky ale nemůžete delegovat napříč národním cloudem a veřejným cloudem Azure ani mezi dvěma samostatnými národními cloudy.

Aspekty architektury

Pro poskytovatele spravovaných služeb zabezpečení (MSSP), který chce vytvořit nabídku typu Zabezpečení jako služba pomocí služby Microsoft Sentinel, může být k centrálnímu monitorování, správě a konfiguraci více pracovních prostorů Microsoft Sentinel nasazených v jednotlivých zákaznických tenantech potřeba jedno centrum operací zabezpečení (SOC). Podobně mohou podniky s více tenanty Microsoft Entra chtít centrálně spravovat více pracovních prostorů Služby Microsoft Sentinel nasazených napříč jejich tenanty.

Tento model centralizované správy má následující výhody:

• Vlastnictví dat zůstává u každého spravovaného tenanta.
• Podporuje požadavky na ukládání dat v rámci geografických hranic.
• Zajišťuje izolaci dat, protože data pro více zákazníků nejsou uložená ve stejném pracovním prostoru.
• Zabraňuje exfiltraci dat ze spravovaných tenantů, což pomáhá zajistit dodržování předpisů dat.
• Související náklady se účtují každému spravovanému tenantovi, nikoli ke správě tenanta.
• Data ze všech zdrojů dat a datových konektorů integrovaných se službou Microsoft Sentinel (například protokoly aktivit Microsoft Entra, protokoly Office 365 nebo upozornění služby Microsoft Threat Protection) zůstanou v rámci každého tenanta zákazníka.
• Snižuje latenci sítě.
• Snadné přidávání nebo odebírání nových poboček nebo zákazníků.
• Při práci s Azure Lighthousem můžete použít zobrazení s více pracovními prostory.
• K ochraně duševního vlastnictví můžete použít playbooky a sešity k práci napříč tenanty bez přímého sdílení kódu se zákazníky. Pravidla analýzy a proaktivního vyhledávání bude potřeba uložit přímo v tenantovi každého zákazníka.

Důležité

Pokud se pracovní prostory vytvářejí jenom v tenantech zákazníků, musí být poskytovatelé prostředků Microsoft.Security Přehledy & Microsoft.Operational Přehledy zaregistrovaní také v předplatném ve správě tenanta.

Alternativním modelem nasazení je vytvoření jednoho pracovního prostoru Služby Microsoft Sentinel ve správě tenanta. V tomto modelu Azure Lighthouse umožňuje shromažďování protokolů ze zdrojů dat napříč spravovanými tenanty. Existují ale některé zdroje dat, které se nedají propojit mezi tenanty, jako je například XDR v programu Microsoft Defender. Vzhledem k tomuto omezení tento model není vhodný pro mnoho scénářů poskytovatele služeb.

Podrobné řízení přístupu na základě role v Azure (Azure RBAC)

Každé předplatné zákazníka, které bude spravovat poskytovatel MSSP, musí být nasazené do Služby Azure Lighthouse. To umožňuje určeným uživatelům ve správě tenanta přistupovat k pracovním prostorům Microsoft Sentinel nasazených v zákaznických tenantech a provádět operace správy.

Při vytváření autorizací můžete uživatelům, skupinám nebo instančním objektům ve vašem spravovaném tenantovi přiřadit předdefinované role Microsoft Sentinelu:

• Čtenář Microsoft Sentinelu
• Microsoft Sentinel Responder
• Přispěvatel Microsoft Sentinelu

Můžete také chtít přiřadit další předdefinované role, abyste mohli provádět další funkce. Informace o konkrétních rolích, které se dají použít s Microsoft Sentinelem, najdete v tématu Role a oprávnění v Microsoft Sentinelu.

Jakmile nasadíte zákazníky, můžou se určení uživatelé přihlásit k vašemu spravovanému tenantovi a přímo přistupovat k pracovnímu prostoru Microsoft Sentinel zákazníka s přiřazenými rolemi.

Zobrazení a správa incidentů napříč pracovními prostory

Pokud pracujete s prostředky Microsoft Sentinelu pro více zákazníků, můžete zobrazit a spravovat incidenty ve více pracovních prostorech napříč různými tenanty najednou. Další informace najdete v tématu Práce s incidenty v mnoha pracovních prostorech najednou a rozšíření služby Microsoft Sentinel mezi pracovními prostory a tenanty.

Poznámka:

Ujistěte se, že uživatelé ve vašem spravovaném tenantovi mají přiřazená oprávnění ke čtení i zápisu pro všechny pracovní prostory pro správu. Pokud má uživatel oprávnění ke čtení jenom u některých pracovních prostorů, můžou se při výběru incidentů v těchto pracovních prostorech zobrazovat zprávy s upozorněním a uživatel nebude moct tyto incidenty upravovat ani ostatní vybrané společně s nimi (i když má uživatel oprávnění k zápisu pro ostatní).

Konfigurace playbooků pro zmírnění rizik

Playbooky je možné použít k automatickému zmírnění rizik při aktivaci výstrahy. Tyto playbooky je možné spouštět ručně nebo se můžou spouštět automaticky, když se aktivují konkrétní výstrahy. Playbooky je možné nasadit buď ve správě tenanta, nebo v tenantovi zákazníka s nakonfigurovanými postupy reakce na základě toho, kteří uživatelé tenanta by měli podniknout akce v reakci na bezpečnostní hrozbu.

Vytváření sešitů napříč tenanty

Sešity Azure Monitoru v Microsoft Sentinelu vám pomůžou vizualizovat a monitorovat data z připojených zdrojů dat a získat tak přehledy. Můžete použít předdefinované šablony sešitů v Microsoft Sentinelu nebo vytvářet vlastní sešity pro vaše scénáře.

V rámci správy tenanta můžete nasadit sešity a vytvářet řídicí panely ve velkém měřítku pro monitorování a dotazování dat napříč tenanty zákazníků. Další informace najdete v tématu Sešity mezi pracovními prostory.

Sešity můžete také nasadit přímo v individuálním spravovaném tenantovi pro scénáře specifické pro daného zákazníka.

Spouštění dotazů Log Analytics a proaktivního vyhledávání v pracovních prostorech Microsoft Sentinelu

Vytvářejte a ukládejte dotazy Log Analytics pro detekci hrozeb centrálně ve správě tenanta, včetně dotazů proaktivního vyhledávání. Tyto dotazy se dají spouštět napříč všemi pracovními prostory Microsoft Sentinelu vašich zákazníků pomocí operátoru Sjednocení a výrazu workspace().

Další informace najdete v tématu Dotazování mezi pracovními prostory.

Použití automatizace pro správu mezi pracovními prostory

Automatizaci můžete použít ke správě více pracovních prostorů Microsoft Sentinelu a ke konfiguraci dotazů proaktivního vyhledávání, playbooků a sešitů. Další informace najdete v tématu Správa mezi pracovními prostory pomocí automatizace.

Monitorování zabezpečení prostředí Office 365

Pomocí Azure Lighthouse ve spojení s Microsoft Sentinelem můžete monitorovat zabezpečení prostředí Office 365 napříč tenanty. Nejprve povolte předem zadané datové konektory Office 365 ve spravovaném tenantovi. Informace o aktivitách uživatelů a správců v Exchangi a SharePointu (včetně OneDrivu) se pak dají ingestovat do pracovního prostoru Služby Microsoft Sentinel v rámci spravovaného tenanta. Tyto informace zahrnují podrobnosti o akcích, jako jsou stahování souborů, odeslané žádosti o přístup, změny událostí skupiny a operace poštovní schránky, spolu s podrobnostmi o uživatelích, kteří tyto akce provedli. Upozornění ochrany před únikem informací v Office 365 se podporují také jako součást integrovaného konektoru Office 365.

Konektor Microsoft Defender for Cloud Apps můžete použít ke streamování upozornění a protokolů Cloud Discovery do Microsoft Sentinelu. Tento konektor nabízí přehled o cloudových aplikacích, poskytuje sofistikované analýzy pro identifikaci a boj proti kybernetickým hrozbám a pomáhá řídit, jak data cestují. Protokoly aktivit pro Defender for Cloud Apps je možné využívat pomocí formátu CEF (Common Event Format).

Po nastavení datových konektorů Office 365 můžete použít funkce Microsoft Sentinelu napříč tenanty, jako je zobrazení a analýza dat v sešitech, vytváření vlastních upozornění pomocí dotazů a konfigurace playbooků pro reakci na hrozby.

Ochrana duševního vlastnictví

Při práci se zákazníky můžete chtít chránit duševní vlastnictví, které jste vytvořili v Microsoft Sentinelu, jako jsou analytická pravidla Microsoft Sentinelu, dotazy proaktivního vyhledávání, playbooky a sešity. Existují různé metody, které můžete použít k zajištění, že zákazníci nemají úplný přístup k kódu použitému v těchto prostředcích.

Další informace naleznete v tématu Ochrana duševního vlastnictví MSSP v Microsoft Sentinelu.

Další kroky

• Přečtěte si o Službě Microsoft Sentinel.
• Projděte si stránku s cenami služby Microsoft Sentinel.
• Prozkoumejte MicrosoftSentinel All-in-One, projekt, který urychlí nasazení a počáteční úlohy konfigurace prostředí Microsoft Sentinelu.
• Seznamte se s prostředími pro správu napříč tenanty.