Erweitern von Microsoft Sentinel auf Arbeitsbereiche und Mandanten
Wenn Sie Microsoft Sentinel onboarden, besteht Ihr erster Schritt darin, Ihren Log Analytics-Arbeitsbereich auszuwählen. Während Sie den vollen Vorteil der Microsoft Sentinel-Erfahrung mit einem einzelnen Arbeitsbereich erhalten können, können Sie in einigen Fällen Ihren Arbeitsbereich erweitern, um Ihre Daten über Arbeitsbereiche und Mandanten abzufragen und zu analysieren. Weitere Informationen finden Sie unter Entwerfen einer Log Analytics-Arbeitsbereichsarchitektur und Vorbereiten auf mehrere Arbeitsbereiche und Mandanten in Microsoft Sentinel.
Wenn Sie Microsoft Sentinel in das Microsoft Defender-Portal integrieren, lesen Sie Microsoft Defender – Multimandantenverwaltung.
Verwalten von Incidents in mehreren Arbeitsbereichen
Microsoft Sentinel unterstützt eine Incident-Ansicht für mehrere Arbeitsbereiche, in der Sie Vorfälle zentral verwalten und überwachen können. In der zentralen Incident-Ansicht lassen sich Incidents direkt verwalten oder Drilldowns ausführen, um detaillierte Incident-Informationen im Kontext des ursprünglichen Arbeitsbereichs transparent darzustellen.
Abfragen mehrerer Arbeitsbereiche
Azure Sentinel unterstützt das Abfragen mehrerer Arbeitsbereiche in einer einzigen Abfrage. So lassen sich Daten aus mehreren Arbeitsbereichen mit einer Abfrage suchen und korrelieren.
Verwenden Sie den
workspace( )
Ausdruck mit dem Arbeitsbereichsbezeichner als Argument, um auf eine Tabelle in einem anderen Arbeitsbereich zu verweisen.- Hier finden Sie wichtige Informationen zur Verwendung von Bezeichnerformaten, um eine ordnungsgemäße Leistung sicherzustellen.
Verwenden Sie den Union-Operator zusammen mit dem
workspace( )
-Ausdruck, um eine Abfrage tabellenübergreifend auf mehrere Arbeitsbereiche anzuwenden.Sie können gespeicherte Funktionen verwenden, um arbeitsbereichsübergreifende Abfragen zu vereinfachen. Sie können beispielsweise einen langen Verweis auf die Tabelle SecurityEvent im Arbeitsbereich von Kunde A verkürzen, indem Sie den Ausdruck speichern.
workspace("/subscriptions/<customerA_subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName>").SecurityEvent
als eine Funktion namens „
SecurityEventCustomerA
“. Anschließend können Sie die Tabelle SecurityEvent von Kunde A mit der Funktion „SecurityEventCustomerA | where ...
“ abfragen.Durch eine Funktion kann auch eine häufig verwendete Union vereinfacht werden. Beispielsweise können Sie den folgenden Ausdruck als eine Funktion mit dem Namen
unionSecurityEvent
speichern:union workspace("/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName1>").SecurityEvent, workspace("/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName2>").SecurityEvent
Anschließend können Sie eine Abfrage über beide Arbeitsbereiche schreiben, indem Sie mit
unionSecurityEvent | where ...
beginnen.
Einbeziehen arbeitsbereichsübergreifender Abfragen in geplante Analyseregeln
Arbeitsbereichsübergreifende Abfragen können in geplante Analyseregeln einbezogen werden. Sie können arbeitsbereichsübergreifende Analyseregeln in einem zentralen SOC-Team und mandantenübergreifend (mit Azure Lighthouse) wie bei einem MSSP verwenden. Diese Verwendung unterliegt den folgenden Einschränkungen:
- Sie können insgesamt bis zu 20 Arbeitsbereiche in einer einzigen Abfrage einschließen. Für eine gute Leistung empfehlen wir jedoch, nicht mehr als 5 einzuschließen.
- Microsoft Sentinel muss in jedem Arbeitsbereich bereitgestellt werden, auf den in der Abfrage verwiesen wird.
- Von einer arbeitsbereichsübergreifenden Analyseregel generierte Warnungen und die auf dieser Grundlage erstellten Incidents sind nur in dem Arbeitsbereich vorhanden, in dem die Regel definiert wurde. Die Benachrichtigungen werden in keinem der anderen Arbeitsbereiche angezeigt, auf die in der Abfrage verwiesen wird.
- Eine arbeitsbereichsübergreifende Analyseregel wird wie jede Analyseregel weiterhin ausgeführt, auch wenn der Benutzer, der die Regel erstellt hat, den Zugriff auf Arbeitsbereiche verliert, auf die in der Abfrage der Regel verwiesen wird. Die einzige Ausnahme ist der Fall von Arbeitsbereichen in anderen Abonnements und/oder Mandanten als die Analyseregel.
Von arbeitsbereichsübergreifenden Analyseregeln erstellte Warnungen und Incidents enthalten alle zugehörigen Entitäten – einschließlich Entitäten aus allen Arbeitsbereichen, auf die verwiesen wird, sowie aus dem ursprünglichen Arbeitsbereich (in dem die Regel definiert wurde). Dadurch können sich Analysten ein umfassendes Bild von Warnungen und Vorfällen machen.
Hinweis
Werden in derselben Abfrage mehrere Arbeitsbereiche abgefragt, kann sich dies negativ auf die Leistung auswirken. Diese Vorgehensweise wird daher nur empfohlen, wenn diese Funktionalität von der Logik vorausgesetzt wird.
Verwenden arbeitsbereichsübergreifender Arbeitsmappen
Über Arbeitsmappen werden Dashboards und Apps für Microsoft Sentinel bereitgestellt. Beim Arbeiten mit mehreren Arbeitsbereichen werden Überwachung und weitere Aktionen arbeitsbereichsübergreifend bereitgestellt.
Arbeitsmappen können arbeitsbereichsübergreifende Abfragen mit einer von drei Methoden bereitstellen. Je nach Methode werden unterschiedliche Fachkenntnisse der Endbenutzer berücksichtigt:
Methode | BESCHREIBUNG | Verwendung |
---|---|---|
Arbeitsbereichsübergreifende Abfragen schreiben | Der Ersteller der Arbeitsmappe kann arbeitsbereichsübergreifende Abfragen (oben beschrieben) in die Arbeitsmappe schreiben. | Ich möchte, dass der Arbeitsmappenautor eine Arbeitsbereichsstruktur erstellt, die für den Benutzer transparent ist. |
Arbeitsbereichsselektor zur Arbeitsmappe hinzufügen | Der Ersteller der Arbeitsmappe kann einen Arbeitsbereichsselektor als Teil der Arbeitsmappe implementieren. | Ich möchte dem Benutzer erlauben, die Arbeitsbereiche zu steuern, die von der Arbeitsmappe angezeigt werden, mit einem einfach zu verwendenden Dropdownfeld. |
Arbeitsmappe interaktiv bearbeiten | Ein fortgeschrittener Benutzer, der eine bestehende Arbeitsmappe ändert, kann die darin enthaltenen Abfragen bearbeiten, indem er die Zielarbeitsbereiche mithilfe des Arbeitsbereichsselektors im Editor auswählt. | Über diese Option kann ein Hauptbenutzer bestehende Arbeitsmappen problemlos ändern, um mit mehreren Arbeitsbereichen arbeiten zu können. |
Suchen in mehreren Arbeitsbereichen
Microsoft Sentinel bietet vorab geladene Abfragebeispiele, um Ihnen die ersten Schritte zu vereinfachen und Sie mit den Tabellen und der Abfragesprache vertraut zu machen. Microsoft-Sicherheitsforscher fügen ständig neue integrierte Abfragen hinzu und optimieren vorhandene Abfragen. Sie können diese Abfragen verwenden, um nach neuen Erkennungen zu suchen und Anzeichen von Angriffen zu identifizieren, die Ihre Sicherheitstools möglicherweise verpasst haben.
Mithilfe der arbeitsbereichsübergreifenden Hunting-Funktionen können Ihre Bedrohungsspezialisten neue Hunting-Abfragen erstellen oder vorhandene anpassen, um mehrere Arbeitsbereiche abzudecken. Dazu werden der Union-Operator und der workspace()-Ausdruck wie oben gezeigt verwendet.
Verwalten mehrerer Arbeitsbereiche mithilfe der Automatisierung
Zum Konfigurieren und Verwalten mehrerer Log Analytics-Arbeitsbereiche, die für Microsoft Sentinel aktiviert sind, müssen Sie die Verwendung der Microsoft Sentinel-Verwaltungs-API automatisieren.
- Erfahren Sie, wie Sie die Bereitstellung von Azure Sentinel-Ressourcen automatisieren, einschließlich Warnungsregeln, Hunting-Abfragen, Arbeitsmappen und Playbooks.
- Erfahren Sie, wie benutzerdefinierter Inhalte aus Ihrem Repository bereitgestellt werden. Diese Ressource bietet eine konsolidierte Methodik zum Verwalten von Microsoft Sentinel als Code und zum Bereitstellen und Konfigurieren von Ressourcen aus einem privaten Azure DevOps- oder GitHub-Repository.
Mandantenübergreifende Verwaltung von Arbeitsbereichen mithilfe von Azure Lighthouse
Wie bereits erwähnt, können sich die verschiedenen Log Analytics-Arbeitsbereiche, die für Microsoft Sentinels aktiviert sind, in verschiedenen Microsoft Entra-Mandanten befinden. Sie können Azure Lighthouse verwenden, um alle arbeitsbereichsübergreifenden Aktivitäten über Mandantengrenzen hinweg auszuweiten. So können die zum verwaltenden Mandanten gehörenden Benutzer mandantenübergreifend in Arbeitsbereichen arbeiten.
Nachdem Azure Lighthouse integriert wurde, verwenden Sie die Verzeichnis- und Abonnementauswahl im Azure-Portal, um alle Abonnements mit Arbeitsbereichen auszuwählen, die verwaltet werden sollen. Auf diese Weise stellen Sie sicher, dass alle Arbeitsbereiche in den verschiedenen Arbeitsbereichsselektoren im Portal verfügbar sind.
Bei Verwendung von Azure Lighthouse empfiehlt es sich, eine Gruppe für jede Microsoft Sentinel-Rolle zu erstellen und Berechtigungen von jedem Mandanten an diese Gruppen zu delegieren.
Nächste Schritte
In diesem Dokument wurde beschrieben, wie Microsoft Sentinel-Funktionen auf mehrere Arbeitsbereiche und Mandanten ausgeweitet werden können. Eine praktische Anleitung zum Implementieren der arbeitsbereichsübergreifenden Microsoft Sentinel-Architektur finden Sie in den folgenden Artikeln:
- Erfahren Sie, wie Sie über Azure Lighthouse in Microsoft Sentinel mit mehreren Mandanten arbeiten.
- Erfahren Sie, wie Sie nahtlos Incidents in mehreren Arbeitsbereichen anzeigen und verwalten.