Verwalten von Microsoft Sentinel-Arbeitsbereichen im großen Stil

  • Artikel

Azure Lighthouse ermöglicht Dienstanbietern das gleichzeitige Ausführen von skalierbaren Vorgängen für mehrere Microsoft Entra-Mandanten, wodurch Verwaltungsaufgaben effizienter werden.

Microsoft Sentinel bietet Sicherheitsanalysen und Threat Intelligence und stellt eine zentrale Lösung für die Warnungs- und Bedrohungserkennung, die proaktive Suche sowie die Reaktion auf Bedrohungen bereit. Mit Azure Lighthouse können Sie mehrere Microsoft Sentinel-Arbeitsbereiche mandantenübergreifend im großen Maßstab verwalten. Dies ermöglicht Szenarien wie das Ausführen von Abfragen über mehrere Arbeitsbereiche hinweg oder das Erstellen von Arbeitsmappen, um Daten aus Ihren verbundenen Datenquellen zu visualisieren und zu überwachen und so Erkenntnisse zu gewinnen. IP-Informationen, wie etwa Abfragen und Playbooks, verbleiben in Ihrem verwaltenden Mandanten, können aber verwendet werden, um Sicherheitsverwaltung in den Mandanten des Kunden durchzuführen.

Dieses Thema bietet eine Übersicht, wie Sie Microsoft Sentinel mit Azure Lighthouse auf skalierbare Weise verwenden können, um mandantenübergreifende Transparenz und verwaltete Sicherheitsdienste zu gewährleisten.

Tipp

Zwar beziehen wir uns in diesem Thema auf Dienstanbieter und Kunden, doch gelten diese Anweisungen auch für Unternehmen, die Azure Lighthouse zum Verwalten mehrerer Mandanten verwenden.

Hinweis

Sie können delegierte Ressourcen verwalten, die sich in unterschiedlichen Regionen befinden. Sie können jedoch keine Ressourcen über eine nationale Cloud und die öffentliche Azure-Cloud oder über zwei separate nationale Clouds hinweg delegieren.

Architekturaspekte

Für einen Anbieter von verwalteten Sicherheitsdiensten (MSSP, Managed Security Service Provider), der mithilfe von Microsoft Sentinel ein Security-as-a-Service-Angebot entwickeln möchte, ist möglicherweise die Konzentration auf ein einzelnes Security Operations Center (SOC) erforderlich, um mehrere Microsoft Sentinel-Arbeitsbereiche, die bei einzelnen Mandanten von Kunden bereitgestellt sind, zentral zu überwachen, verwalten und konfigurieren. Analog dazu kann es auch für Unternehmen mit mehreren Microsoft Entra-Mandanten sinnvoll sein, mehrere Microsoft Sentinel-Arbeitsbereiche, die über ihre Mandanten verteilt bereitgestellt werden, zentral zu verwalten.

Dieses Modell der zentralen Verwaltung hat die folgenden Vorteile:

  • Der Besitz der Daten verbleibt bei den einzelnen verwalteten Mandanten.
  • Anforderung zur Speicherung von Daten innerhalb geografischer Grenzen wird unterstützt.
  • Die Isolation der Daten ist sichergestellt, da Daten für mehrere Kunden nicht im gleichen Arbeitsbereich gespeichert werden.
  • Datenexfiltration aus den verwalteten Mandanten wird verhindert, was die Sicherstellung von Datencompliance erleichtert.
  • Mit den verbundenen Kosten werden die einzelnen verwalteten Mandanten belastet, nicht der verwaltende Mandant.
  • Daten aus allen Datenquellen und Datenconnectors, die in Microsoft Sentinel integriert sind (wie etwa Microsoft Entra-Aktivitätsprotokolle, Office-365-Protokolle oder Benachrichtigungen von Microsoft Threat Protection), verbleiben innerhalb der einzelnen Kundenmandanten.
  • Die Netzwerklatenz wird verringert.
  • Neue Niederlassungen oder Kunden lassen sich einfach hinzufügen oder entfernen.
  • Möglichkeit zur Verwendung einer Ansicht mit mehreren Arbeitsbereichen beim Arbeiten über Azure Lighthouse.
  • Zum Schutz Ihres geistigen Eigentums können Sie Playbooks und Arbeitsmappen verwenden, um mandantenübergreifend zu arbeiten, ohne Code direkt mit Kunden zu teilen. Nur Analyse- und Huntingregeln müssen direkt im Mandanten jedes Kunden gespeichert werden.

Wichtig

Wenn Arbeitsbereiche nur in Kundenmandanten erstellt werden, müssen die Microsoft.SecurityInsights & Microsoft.OperationalInsights-Ressourcenanbieter auch in einem Abonnement im verwalteten Mandanten registriert werden.

Ein alternatives Bereitstellungsmodell besteht in der Erstellung eines Microsoft Sentinel-Arbeitsbereichs im verwaltenden Mandanten. In diesem Modell ermöglicht Azure Lighthouse die übergreifende Protokollsammlung aus Datenquellen über verwaltete Mandanten hinweg. Es gibt jedoch einige Datenquellen, die nicht über Mandanten hinweg verbunden werden können, z. B. Microsoft Defender XDR. Aufgrund dieser Einschränkung ist dieses Modell für viele Dienstanbieterszenarien nicht geeignet.

Granulare rollenbasierte Zugriffssteuerung von Azure (Azure RBAC)

Für jedes von MSSP verwaltete Kundenabonnement muss ein Onboarding in Azure Lighthouse durchgeführt werden. Dies ermöglicht es bestimmten Benutzern im Verwaltungsmandanten, auf Verwaltungsvorgänge in Microsoft Sentinel-Arbeitsbereichen zuzugreifen, die in Kundenmandanten bereitgestellt wurden.

Beim Erstellen Ihrer Autorisierungen können Sie die in Microsoft Sentinel integrierten Rollen an Benutzer, Gruppen oder Dienstprinzipale in Ihrem Verwaltungsmandanten zuweisen:

Es kann außerdem sinnvoll sein, zusätzliche integrierte Rollen zuzuweisen, um zusätzliche Funktionen auszuführen. Informationen zu spezifischen Rollen, die zusammen mit Microsoft Sentinel verwendet werden können, finden Sie unter Rollen und Berechtigungen in Microsoft Sentinel.

Nach dem Onboarding Ihrer Kunden können sich bestimmte Benutzer bei Ihrem Verwaltungsmandanten anmelden und mithilfe der zugewiesenen Rollen direkt auf den Microsoft Sentinel-Arbeitsbereich des Kunden zugreifen.

Anzeigen und Verwalten von Vorfällen über die Grenzen von Arbeitsbereichen hinweg

Wenn Sie mit Microsoft Sentinel-Ressourcen für mehrere Kunden arbeiten, können Sie Vorfälle in mehreren Arbeitsbereichen in verschiedenen Mandanten gleichzeitig anzeigen und verwalten. Weitere Informationen finden Sie unter Arbeiten mit Vorfällen in vielen Arbeitsbereichen gleichzeitig und Erweitern von Microsoft Sentinel auf Arbeitsbereiche und Mandanten.

Hinweis

Achten Sie darauf, dass den Benutzern in Ihrem Verwaltungsmandanten Lese- und Schreibberechtigungen für alle verwalteten Arbeitsbereiche zugewiesen wurden. Wenn ein Benutzer für einige Arbeitsbereiche nur Leseberechtigungen besitzt, werden möglicherweise Warnmeldungen angezeigt, wenn er Vorfälle in diesen Arbeitsbereichen auswählt, und der Benutzer ist dann nicht in der Lage, diese Vorfälle oder andere, die zusammen mit ihnen ausgewählt wurden, zu bearbeiten (auch wenn der Benutzer für die anderen Vorfälle über Schreibberechtigungen verfügt).

Konfigurieren von Playbooks zur Entschärfung

Playbooks können zur automatischen Entschärfung verwendet werden, wenn ein Alarm ausgelöst wird. Diese Playbooks können manuell ausgeführt werden, oder aber automatisch, wenn bestimmte Warnungen ausgelöst werden. Die Playbooks können wahlweise im Verwaltungsmandanten oder im Kundenmandanten bereitgestellt werden, wobei die Antwortprozeduren basierend auf den Benutzern des Mandanten konfiguriert werden, die in Reaktion auf eine Sicherheitsbedrohung aktiv werden sollen.

Erstellen von mandantenübergreifenden Arbeitsmappen

Mithilfe von Azure Monitor-Arbeitsmappen in Microsoft Sentinel können Sie Daten aus Ihren verbundenen Datenquellen anzeigen und überwachen, um Erkenntnisse zu gewinnen. Sie können die integrierten Arbeitsmappenvorlagen in Microsoft Sentinel verwenden oder eigene, benutzerdefinierte Arbeitsmappen für Ihre Umstände erstellen.

Sie können Arbeitsmappen in Ihrem Verwaltungsmandanten bereitstellen und in großem Maßstab Dashboards erstellen, um Daten übergreifend über Kundenmandanten zu überwachen und abzufragen. Weitere Informationen finden Sie unter Arbeitsbereichsübergreifende Arbeitsmappen.

Darüber hinaus können Sie Arbeitsmappen direkt in einem einzelnen verwalteten Mandanten für kundenspezifische Szenarien bereitstellen.

Ausführen von Log-Analytics- und Hunting-Abfragen für Microsoft Sentinel-Arbeitsbereiche

Erstellen und speichern Sie Log Analytics-Abfragen zur Bedrohungserkennung einschließlich Hunting-Abfragen zentral im Verwaltungsmandanten. Diese Abfragen können mit dem Union-Operator und dem workspace()-Ausdruck übergreifend in allen Microsoft Sentinel-Arbeitsbereichen Ihres Kunden ausgeführt werden.

Weitere Informationen finden Sie unter Arbeitsbereichsübergreifende Abfragen.

Verwenden von Automation für die arbeitsbereichsübergreifende Verwaltung

Sie können die Automation verwenden, um mehrere Microsoft Sentinel-Arbeitsbereiche zu verwalten und Hunting-Abfragen, Playbooks und Arbeitsmappen zu konfigurieren. Weitere Informationen finden Sie unter Arbeitsbereichsübergreifende Verwaltung mithilfe von Automatisierung.

Überwachen der Sicherheit von Office 365-Umgebungen

Verwenden Sie Azure Lighthouse in Verbindung mit Microsoft Sentinel, um die Sicherheit von Office-365-Umgebungen mandantenübergreifend zu überwachen. Aktivieren Sie zunächst die vorkonfigurierten Office 365-Datenconnectors im verwalteten Mandanten. Informationen zu Benutzer- und Administratoraktivitäten in Exchange und SharePoint (einschließlich OneDrive) können dann in einem Microsoft Sentinel-Arbeitsbereich innerhalb des verwalteten Mandanten erfasst werden. Diese Informationen umfassen Details zu Aktionen wie z. B. Dateidownloads, gesendete Zugriffsanforderungen, Änderungen an Gruppenereignissen und Postfachvorgängen sowie Details zu den Benutzern, die diese Aktionen ausgeführt haben. Office 365-DLP-Warnungen werden auch als Teil des integrierten Office 365-Connectors unterstützt.

Sie können den Microsoft Defender für Cloud-Apps-Connector zum Streamen von Warnungen und Cloud Discovery-Protokollen in Microsoft Sentinel verwenden. Dieser Connector bietet Ihnen Einblicke in Cloud-Apps, ausführliche Analysen zur Erkennung und Abwehr von Cyberbedrohungen und Kontrolle darüber, wie Daten übertragen werden. Aktivitätsprotokolle für Defender-für-Cloud-Apps können mithilfe von CEF (Common Event Format) genutzt werden.

Nach dem Einrichten von Office-365-Datenconnectors können Sie mandantenübergreifende Microsoft Sentinel-Funktionen verwenden, z. B. das Anzeigen und Analysieren von Daten in Arbeitsmappen, Verwenden von Abfragen zum Erstellen von benutzerdefinierten Warnungen und das Konfigurieren von Playbooks als Reaktion auf Bedrohungen.

Schutz des geistigen Eigentums

Bei der Arbeit mit Kunden kommt es möglicherweise auf den Schutz des geistigen Eigentums an, das Sie in Microsoft Sentinel entwickelt haben, z. B. Microsoft Sentinel-Analyseregeln, Suchabfragen, Playbooks und Arbeitsmappen. Es gibt verschiedene Methoden, mit denen Sie sicherstellen können, dass Kunden keinen vollständigen Zugriff auf den in diesen Ressourcen verwendeten Code haben.

Weitere Informationen finden Sie unter Schutz des geistigen Eigentums von MSSP in Microsoft Sentinel.

Nächste Schritte