Étendre Microsoft Sentinel dans les espaces de travail et les locataires
Lorsque vous intégrez Microsoft Sentinel, votre première étape consiste à sélectionner votre espace de travail Log Analytics. Bien que vous puissiez tirer pleinement parti de l’expérience Microsoft Sentinel avec un seul espace de travail, dans certains cas, vous pouvez étendre votre espace de travail pour interroger et analyser vos données entre les espaces de travail et les locataires. Pour plus d’informations, consultez Concevoir une architecture d’espace de travail Log Analytics et Préparer plusieurs espaces de travail et locataires dans Microsoft Sentinel.
Si vous intégrez Microsoft Sentinel au portail Microsoft Defender, consultez Gestion multilocataire de Microsoft Defender.
Gérer les incidents dans plusieurs espaces de travail
Microsoft Sentinel prend en charge une vue d’incident de plusieurs espaces de travail dans laquelle vous pouvez gérer et surveiller de manière centralisée les incidents sur plusieurs espaces de travail. L’affichage des incidents centralisé vous permet de gérer les incidents directement ou de descendre dans la hiérarchie en toute transparence pour connaître les détails de l’incident dans le cadre de l’espace de travail d’origine.
Interroger plusieurs espaces de travail
Vous pouvez interroger plusieurs espaces de travail, ce qui vous permet de rechercher et de mettre en corrélation les données de plusieurs espaces de travail dans une seule requête.
Utilisez l’expression
workspace( )
, avec l’identificateur de l’espace de travail comme argument, pour renvoyer à une table dans un autre espace de travail.- Consultez les informations importantes sur l’utilisation des formats d’identificateur pour garantir de bons niveaux de performance.
Utilisez l’opérateur union avec l’expression
workspace( )
pour appliquer une requête sur plusieurs tables dans plusieurs espaces de travail.Vous pouvez utiliser des fonctions enregistrées pour simplifier les requêtes inter-espaces de travail. Par exemple, vous pouvez raccourcir une longue référence à la table SecurityEvent dans l’espace de travail du client A en enregistrant l’expression
workspace("/subscriptions/<customerA_subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName>").SecurityEvent
en tant que fonction appelée
SecurityEventCustomerA
. Vous pouvez ensuite interroger la table SecurityEvent du client A avec cette fonction :SecurityEventCustomerA | where ...
.Une fonction peut également simplifier un union couramment utilisé. Par exemple, vous pouvez enregistrer l’expression suivante en tant que fonction nommée
unionSecurityEvent
:union workspace("/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName1>").SecurityEvent, workspace("/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName2>").SecurityEvent
Vous pouvez ensuite écrire une requête sur les deux espaces de travail en commençant par
unionSecurityEvent | where ...
.
Inclure des requêtes inter-espaces de travail dans des règles d’analyse planifiées
Vous pouvez inclure des requêtes inter-espaces de travail dans des règles d’analyse planifiées. Vous pouvez utiliser des règles analytiques portant sur plusieurs espaces de travail dans un SOC central et entre les locataires (à l’aide d’Azure Lighthouse), ce qui est approprié pour les MSSP. Cette utilisation est soumise aux limites suivantes :
- Vous pouvez inclure jusqu’à 20 espaces de travail dans une seule requête. Pour de meilleures performances, nous vous recommandons toutefois de ne pas inclure plus de 5.
- Microsoft Sentinel doit être déployé sur chaque espace de travail référencé dans la requête.
- Les alertes générées par une règle analytique portant sur plusieurs espaces de travail et les incidents créés à partir de celles-ci existent uniquement dans l’espace de travail où la règle a été définie. Les alertes ne seront pas affichées dans les autres espaces de travail référencés dans la requête.
- Une règle d’analyse entre espaces de travail, comme toute règle d’analyse, continue de s’exécuter même si l’utilisateur qui l’a créée perd l’accès aux espaces de travail référencés dans la requête de la règle. La seule exception à cela concerne le cas des espaces de travail dans des abonnements et/ou des locataires différents de ceux de la règle d’analyse.
Les alertes et les incidents créés par des règles analytiques portant sur plusieurs espaces de travail contiendront toutes les entités associées, dont celles de tous les espaces de travail référencés ainsi que l’espace de travail « d’origine » (où la règle a été définie). De cette façon, les analystes obtiennent une vue d’ensemble des alertes et des incidents.
Notes
Interroger plusieurs espaces de travail dans la même requête peut nuire au niveau de performance ; par conséquent, cette méthode est recommandée uniquement lorsque la logique requiert cette fonctionnalité.
Utiliser des classeurs inter-espaces de travail
Les classeurs fournissent des tableaux de bord et des applications à Microsoft Sentinel. Lorsque vous travaillez avec plusieurs espaces de travail, les classeurs fournissent des analyses et permettent d’effectuer des actions parmi les espaces de travail.
Les classeurs peuvent fournir des requêtes inter-espaces de travail de l’une des trois méthodes suivantes, ce qui est approprié pour différents niveaux d’expertise de l’utilisateur final :
Méthode | Description | Quand utiliser cette méthode ? |
---|---|---|
Écrire des requêtes dans plusieurs espaces de travail | Le créateur du classeur peut écrire des requêtes dans plusieurs espaces de travail (voir ci-dessus) dans le classeur. | Je souhaite que le créateur du classeur crée une structure d’espace de travail transparente pour l’utilisateur. |
Ajouter un sélecteur d’espace de travail au classeur | Le créateur du classeur peut implémenter un sélecteur d’espace de travail dans le cadre du classeur. | Je souhaite permettre à l’utilisateur de contrôler les espaces de travail affichés par le classeur, avec une zone de liste déroulante facile à utiliser. |
Modifier le classeur de manière interactive | Un utilisateur expérimenté qui modifie un classeur existant peut modifier les requêtes qu’il contient, en sélectionnant les espaces de travail cibles à l’aide du sélecteur d’espace de travail dans l’éditeur. | Je souhaite autoriser un utilisateur chevronné à modifier facilement des classeurs existants pour travailler avec plusieurs espaces de travail. |
Recherche sur plusieurs espaces de travail
Microsoft Sentinel fournit des exemples de requêtes préchargés conçus pour vous aider à prendre en main les tables et le langage de requête et à vous familiariser avec eux. Les chercheurs en sécurité Microsoft ajoutent constamment de nouvelles requêtes intégrées et ajustent les requêtes existantes. Vous pouvez utiliser ces requêtes pour rechercher de nouvelles détections et identifier les signes d’intrusion que vos outils de sécurité ont peut-être manqués.
Les capacités de chasse dans plusieurs espaces de travail permettent à vos chasseurs de menaces de créer de nouvelles requêtes de chasse ou d’adapter celles existantes pour couvrir plusieurs espaces de travail en utilisant l’opérateur Union et l’expression workspace() comme indiqué ci-dessus.
Gérer plusieurs espaces de travail par l’automatisation
Pour configurer et gérer plusieurs espaces de travail Log Analytics activés pour Microsoft Sentinel, vous devez automatiser l’utilisation de l’API de gestion Microsoft Sentinel.
- Découvrez comment automatiser le déploiement des ressources Azure Sentinel, notamment les règles d’alerte, les requêtes de repérage, les classeurs et les playbooks.
- Découvrez comment déployer du contenu personnalisé à partir de votre référentiel. Cette ressource fournit une méthodologie consolidée de la gestion de Microsoft Sentinel en tant que code et pour le déploiement et la configuration de ressources à partir d’un dépôt Azure DevOps ou GitHub privé.
Gérer les espaces de travail parmi les locataires avec Azure Lighthouse
Comme mentionné ci-dessus, dans de nombreux scénarios, les différents espaces de travail Log Analytics activés pour Microsoft Sentinel peuvent se trouver dans différents locataires Microsoft Entra. Vous pouvez utiliser Azure Lighthouse pour étendre toutes les activités inter-espaces de travail au-delà des limites des locataires, ce qui permet aux utilisateurs de votre locataire gérant de travailler sur des espaces de travail sur tous les locataires.
Une fois qu’Azure Lighthouse est intégré, utilisez le sélecteur de répertoire et d’abonnement sur le Portail Azure pour sélectionner tous les abonnements contenant les espaces de travail que vous souhaitez gérer, afin de vous assurer qu’ils seront tous disponibles dans les différents sélecteurs d’espace de travail dans le portail.
Quand vous utilisez Azure Lighthouse, il est recommandé de créer un groupe pour chaque rôle Microsoft Sentinel et de déléguer les autorisations de chaque locataire à ces groupes.
Étapes suivantes
Dans cet article, vous avez appris à étendre les capacités de Microsoft Sentinel à plusieurs espaces de travail et locataires. Pour obtenir des conseils pratiques sur l’implémentation de l’architecture interespace de travail de Microsoft Sentinel, consultez les articles suivants :
- Découvrez comment travailler avec plusieurs locataires dans Microsoft Sentinel, à l’aide d’Azure Lighthouse.
- Découvrez comment afficher et gérer les incidents dans plusieurs espaces de travail en toute transparence.