Krok 2. Návrh pracovního prostoru Microsoft Sentinelu

• Platí pro:

  Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Nasazení prostředí Microsoft Sentinel zahrnuje návrh konfigurace pracovního prostoru tak, aby splňoval vaše požadavky na zabezpečení a dodržování předpisů. Proces zřizování zahrnuje vytváření pracovních prostorů služby Log Analytics a konfiguraci vhodných možností služby Microsoft Sentinel.

Tento článek obsahuje doporučení týkající se návrhu a implementace pracovních prostorů Služby Microsoft Sentinel pro principy nulová důvěra (Zero Trust).

Krok 1: Návrh strategie zásad správného řízení

Pokud má vaše organizace mnoho předplatných Azure, možná budete potřebovat způsob, jak efektivně spravovat přístup, zásady a dodržování předpisů pro tato předplatná. Skupiny pro správu poskytují obor zásad správného řízení pro předplatná. Při uspořádání předplatných v rámci skupin pro správu platí podmínky zásad správného řízení, které nakonfigurujete pro skupinu pro správu, na předplatná, která obsahuje. Další informace najdete v tématu Uspořádání prostředků pomocí skupin pro správu.

Pracovní prostor Microsoft Sentinelu v následujícím diagramu je například v předplatném zabezpečení v rámci skupiny pro správu platformy , která je součástí tenanta Microsoft Entra ID.

Předplatné Azure zabezpečení a pracovní prostor Microsoft Sentinel dědí zásady řízení přístupu na základě role (RBAC) a zásady Azure, které se použijí pro skupinu pro správu platformy.

Krok 2: Vytvoření pracovních prostorů služby Log Analytics

Prvním krokem při používání služby Microsoft Sentinel je vytvoření pracovních prostorů služby Log Analytics. Jeden pracovní prostor služby Log Analytics může být dostatečný pro mnoho prostředí, ale mnoho organizací vytváří více pracovních prostorů pro optimalizaci nákladů a lepší splnění různých obchodních požadavků.

Osvědčeným postupem je vytvořit samostatné pracovní prostory pro provozní a bezpečnostní data pro vlastnictví dat a správu nákladů pro Microsoft Sentinel. Pokud například existuje více než jedna osoba, která spravuje provozní a bezpečnostní role, je vaším prvním rozhodnutím pro nulová důvěra (Zero Trust) vytvořit pro tyto role samostatné pracovní prostory.

Jednotná platforma operací zabezpečení, která poskytuje přístup k Microsoft Sentinelu na portálu Defender, podporuje pouze jeden pracovní prostor.

Další informace najdete v ukázkovém řešení společnosti Contoso pro samostatné pracovní prostory pro operace a role zabezpečení.

Aspekty návrhu pracovního prostoru služby Log Analytics

Pro jednoho tenanta existují dva způsoby konfigurace pracovních prostorů Microsoft Sentinelu:

• Jeden tenant s jedním pracovním prostorem služby Log Analytics. V tomto případě se pracovní prostor stane centrálním úložištěm pro protokoly napříč všemi prostředky v rámci tenanta.

  Výhody:

  • Centrální konsolidace protokolů.
  • Snadněji se dotazuje na informace.
  • Řízení přístupu na základě role v Azure (Azure RBAC) k řízení přístupu ke službě Log Analytics a Microsoft Sentinelu Další informace najdete v tématu Správa přístupu k pracovním prostorům služby Log Analytics – Azure Monitor a role a oprávnění v Microsoft Sentinelu.

  Nevýhody:

  • Nemusí splňovat požadavky zásad správného řízení.
  • Mezi oblastmi jsou náklady na šířku pásma.

• Jeden tenant s regionálními pracovními prostory Log Analytics

  Výhody:

  • Žádné náklady na šířku pásma napříč oblastmi.
  • Může se vyžadovat splnění zásad správného řízení.
  • Podrobné řízení přístupu k datům
  • Podrobná nastavení uchovávání.
  • Rozdělení fakturace

  Nevýhody:

  • Žádné centrální podokno skla.
  • Analýzy, sešity a další konfigurace musí být nasazeny několikrát.

Další informace najdete v tématu Návrh architektury pracovního prostoru služby Log Analytics.

Krok 3: Návrh pracovního prostoru Služby Microsoft Sentinel

Onboarding Microsoft Sentinelu vyžaduje výběr pracovního prostoru služby Log Analytics. Při nastavování Log Analytics pro Microsoft Sentinel je potřeba vzít v úvahu následující skutečnosti:

• Vytvořte skupinu prostředků zabezpečení pro účely zásad správného řízení, která umožňuje izolovat prostředky Microsoft Sentinelu a přístup k kolekci na základě rolí. Další informace najdete v tématu Návrh architektury pracovního prostoru služby Log Analytics.

• Vytvořte pracovní prostor služby Log Analytics ve skupině prostředků zabezpečení a připojte microsoft Sentinel k němu. Díky tomu máte v rámci bezplatné zkušební verze zdarma 31 dnů ingestování dat až 10 Gb za den .

• Nastavte pracovní prostor služby Log Analytics podporující Microsoft Sentinel minimálně 90denní uchovávání .

Jakmile Microsoft Sentinel nasadíte do pracovního prostoru služby Log Analytics, získáte 90 dnů uchovávání dat bez dalších poplatků a zajistíte 90denní vrácení dat protokolů. Po 90 dnech se vám budou účtovat náklady na celkové množství dat v pracovním prostoru. Můžete zvážit delší uchovávání dat protokolů na základě státních požadavků. Další informace najdete v tématu Vytvoření pracovních prostorů služby Log Analytics a rychlého startu: Onboarding v Microsoft Sentinelu.

nulová důvěra (Zero Trust) s Microsoft Sentinelem

Pokud chcete implementovat architekturu nulové důvěryhodnosti, zvažte rozšíření pracovního prostoru za účelem dotazování a analýzy dat napříč pracovními prostory a tenanty. Pomocí ukázkových návrhů pracovních prostorů Microsoft Sentinel a rozšíření služby Microsoft Sentinel mezi pracovními prostory a tenanty můžete určit nejlepší návrh pracovního prostoru pro vaši organizaci.

Kromě toho použijte pokyny pro prescriptivní pokyny ke správě cloudových rolí a operací a její excelovou tabulku (stáhněte). Z této příručky nulová důvěra (Zero Trust) úkoly, které je potřeba zvážit pro Microsoft Sentinel, jsou:

• Definujte role RBAC služby Microsoft Sentinel s přidruženými skupinami Microsoft Entra.
• Ověřte, že implementované postupy přístupu k Microsoft Sentinelu stále splňují požadavky vaší organizace.
• Zvažte použití klíčů spravovaných zákazníkem.

nulová důvěra (Zero Trust) s RBAC

Pokud chcete dodržovat nulová důvěra (Zero Trust), doporučujeme nakonfigurovat Azure RBAC na základě prostředků, které mají vaši uživatelé povolenou, a neposkytovat jim přístup k celému prostředí Microsoft Sentinelu.

Následující tabulka uvádí některé role specifické pro Microsoft Sentinel.

Název role	Popis
Čtenář Microsoft Sentinelu	Umožňuje zobrazit data, incidenty, sešity a další prostředky Microsoft Sentinelu.
Microsoft Sentinel Responder	Kromě funkcí role čtenáře Microsoft Sentinelu spravujte incidenty (přiřazení, zavření atd.). Tato role se vztahuje na typy analytiků zabezpečení uživatelů.
Operátor playbooku Microsoft Sentinel	Vypsat, zobrazit a ručně spouštět playbooky Tato role se vztahuje také na typy analytiků zabezpečení uživatelů. Tato role slouží k udělení možnosti spuštění playbooků Microsoft Sentinelu s nejnižším počtem oprávnění.
Přispěvatel Microsoft Sentinelu	Kromě funkcí role operátora playbooku Microsoft Sentinel můžete vytvářet a upravovat sešity, analytická pravidla a další prostředky Microsoft Sentinelu. Tato role se vztahuje na typy inženýrů zabezpečení uživatelů.
Přispěvatel služby Microsoft Sentinel Automation	Umožňuje Službě Microsoft Sentinel přidávat playbooky do pravidel automatizace. Není určená pro uživatelské účty.

Když přiřadíte role Azure specifické pro Microsoft Sentinel, můžete se setkat s dalšími rolemi Azure a Log Analytics, které by mohly být přiřazeny uživatelům pro jiné účely. Například role Přispěvatel Log Analytics a Čtenář Log Analytics uděluje přístup k pracovnímu prostoru služby Log Analytics.

Další informace najdete v tématu Role a oprávnění v Microsoft Sentinelu a Správa přístupu k datům Microsoft Sentinelu podle prostředků.

nulová důvěra (Zero Trust) ve víceklientských architekturách se službou Azure Lighthouse

Azure Lighthouse umožňuje víceklientní správu s využitím škálovatelnosti, vyšší automatizace a rozšířeného řízení napříč prostředky. Azure Lighthouse umožňuje spravovat více instancí Microsoft Sentinelu napříč tenanty Microsoft Entra ve velkém měřítku. Tady je příklad.

Pomocí Služby Azure Lighthouse můžete spouštět dotazy napříč několika pracovními prostory nebo vytvářet sešity pro vizualizaci a monitorování dat z připojených zdrojů dat a získání dalšího přehledu. Je důležité zvážit nulová důvěra (Zero Trust) principy. Přečtěte si doporučené postupy zabezpečení pro implementaci řízení přístupu s nejnižšími oprávněními pro Azure Lighthouse.

Při implementaci osvědčených postupů zabezpečení pro Azure Lighthouse zvažte následující otázky:

• Kdo je zodpovědný za vlastnictví dat?
• Jaké jsou požadavky na izolaci dat a dodržování předpisů?
• Jak budete implementovat nejnižší oprávnění napříč tenanty?
• Jak se bude spravovat více datových konektorů ve více pracovních prostorech Microsoft Sentinelu?
• Jak monitorovat prostředí Office 365?
• Jak chránit duševní vlastnosti, například playbooky, poznámkové bloky, analytická pravidla napříč tenanty?

Informace o osvědčených postupech zabezpečení služby Microsoft Sentinel a Azure Lighthouse najdete v tématu Správa pracovních prostorů Služby Microsoft Sentinel ve velkém měřítku: Podrobné řízení přístupu na základě role Azure (Azure RBAC ).

Připojení pracovního prostoru k jednotné platformě operací zabezpečení

Pokud pracujete s jedním pracovním prostorem, doporučujeme připojit pracovní prostor k sjednocené provozní platformě zabezpečení a zobrazit všechna data Microsoft Sentinelu společně s daty XDR na portálu Microsoft Defender.

Platforma sjednocených operací zabezpečení také poskytuje vylepšené funkce, jako je automatické přerušení útoku pro systém SAP, sjednocené dotazy ze stránky rozšířeného vyhledávání v programu Defender a sjednocené incidenty a entity v programu Microsoft Defender i Microsoft Sentinel.

Další informace naleznete v tématu:

• Připojení Microsoft Sentinelu k XDR v programu Microsoft Defender
• Microsoft Sentinel na portálu Microsoft Defender

Doporučené školení

Obsah pro trénování se v současné době nevztahuje na jednotnou platformu operací zabezpečení.

Úvod do Microsoft Sentinelu

Školení	Úvod do Microsoft Sentinelu
	Zjistěte, jak vám Microsoft Sentinel umožňuje rychle začít získávat cenné informace o zabezpečení z vašich cloudových a místních dat.

Začínat >

Konfigurace prostředí Microsoft Sentinelu

Školení	Konfigurace prostředí Microsoft Sentinelu
	Začněte se službou Microsoft Sentinel tím, že správně nakonfigurujete pracovní prostor Microsoft Sentinelu.

Začínat >

Vytváření a správa pracovních prostorů Microsoft Sentinelu

Školení	Vytváření a správa pracovních prostorů Microsoft Sentinelu
	Přečtěte si o architektuře pracovních prostorů Microsoft Sentinelu, abyste měli jistotu, že systém nakonfigurujete tak, aby splňoval požadavky vaší organizace na provoz zabezpečení.

Začínat >

Další krok

Pokračujte krokem 3 a nakonfigurujte Microsoft Sentinel tak, aby ingestovali zdroje dat a nakonfigurovali detekci incidentů.

Reference

Informace o službách a technologiích uvedených v tomto článku najdete na těchto odkazech.

Oblast příjmu	Další informace
Microsoft Sentinel	- Rychlý start: Onboarding v Microsoft Sentinelu - Správa přístupu k datům Microsoft Sentinelu podle prostředků
Zásady správného řízení služby Microsoft Sentinel	- Uspořádání prostředků pomocí skupin pro správu - Role a oprávnění v Microsoft Sentinelu
Pracovní prostory Služby Log Analytics	- Návrh architektury pracovního prostoru služby Log Analytics - Kritéria návrhu pro pracovní prostory služby Log Analytics - Řešení společnosti Contoso - Správa přístupu k pracovním prostorům Služby Log Analytics – Azure Monitor - Návrh architektury pracovního prostoru služby Log Analytics - Vytvoření pracovních prostorů služby Log Analytics
Pracovní prostory Služby Microsoft Sentinel a Azure Lighthouse	- Správa pracovních prostorů Služby Microsoft Sentinel ve velkém měřítku: Podrobné řízení přístupu na základě role v Azure - Doporučené postupy zabezpečení