A Microsoft Sentinel kiterjesztése munkaterületekre és bérlőkre

  • Cikk

A Microsoft Sentinel előkészítésekor az első lépés a Log Analytics-munkaterület kiválasztása. Bár a Microsoft Sentinel-élmény teljes körű kihasználását egyetlen munkaterületen is élvezheti, bizonyos esetekben érdemes lehet kibővíteni a munkaterületet az adatok munkaterületek és bérlők közötti lekérdezésére és elemzésére. További információ arról , hogy a Microsoft Sentinel hogyan terjedhet ki több munkaterületre.

Incidensek kezelése több munkaterületen

A Microsoft Sentinel több munkaterület incidensnézetét is támogatja, ahol központilag kezelheti és figyelheti az incidenseket több munkaterületen. A központosított incidensnézet lehetővé teszi az incidensek közvetlen kezelését vagy az incidens részleteinek transzparens részletezését az eredeti munkaterület kontextusában.

Több munkaterület lekérdezése

Több munkaterületet is lekérdezhet, így egyetlen lekérdezésben több munkaterületről is kereshet és korrelálhat adatokat.

  • workspace( ) A munkaterület azonosítójával argumentumként használt kifejezéssel egy másik munkaterületen lévő táblára hivatkozhat.

    • Fontos információk az azonosítóformátumok megfelelő teljesítmény biztosításához való használatáról.

  • A kifejezés mellett workspace( ) az egyesítő operátorral több munkaterület tábláira is alkalmazhat lekérdezéseket.

  • A mentett függvényekkel leegyszerűsítheti a munkaterületek közötti lekérdezéseket. Rövidíthet például egy hosszú hivatkozást a SecurityEvent táblára az A ügyfél munkaterületén a kifejezés mentésével

    workspace("/subscriptions/<customerA_subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName>").SecurityEvent

    nevű függvényként SecurityEventCustomerA. Ezután a következő függvénnyel kérdezheti le az A ügyfél SecurityEvent tábláját: SecurityEventCustomerA | where ... .

  • A függvények leegyszerűsíthetik a gyakran használt egyesítéseket is. A következő kifejezést például mentheti a következő függvényként:unionSecurityEvent

    union 
workspace("/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName1>").SecurityEvent, 
workspace("/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName2>").SecurityEvent

    Ezután mindkét munkaterületen írhat lekérdezést a következővel unionSecurityEvent | where ... : .

Munkaterületközi lekérdezések belefoglalása ütemezett elemzési szabályokba

A munkaterületek közötti lekérdezéseket az ütemezett elemzési szabályokba is belefoglalhatja. A munkaterületek közötti elemzési szabályokat használhatja egy központi SOC-ban és a bérlők között (az Azure Lighthouse használatával), amely alkalmas az MSSP-k használatára. A használatra a következő korlátozások vonatkoznak:

  • Egyetlen lekérdezésben legfeljebb 20 munkaterületet vehet fel. A jó teljesítmény érdekében azonban azt javasoljuk, hogy legfeljebb 5-öt tartalmazz.
  • A Microsoft Sentinelt a lekérdezésben hivatkozott összes munkaterületen üzembe kell helyeznie.
  • A munkaterületek közötti elemzési szabály által létrehozott riasztások és az azokból létrehozott incidensek csak abban a munkaterületen léteznek , ahol a szabály definiálva volt. A riasztások nem jelennek meg a lekérdezésben hivatkozott többi munkaterületen.
  • A munkaterületek közötti elemzési szabály, mint bármely elemzési szabály, akkor is fut, ha a szabályt létrehozó felhasználó elveszíti a szabály lekérdezésében hivatkozott munkaterületek hozzáférését. Ez alól az egyetlen kivétel az elemzési szabálytól eltérő előfizetésekben és/vagy bérlőkben lévő munkaterületek esetében van.

A munkaterületek közötti elemzési szabályok által létrehozott riasztások és incidensek az összes kapcsolódó entitást tartalmazzák, beleértve az összes hivatkozott munkaterületről és a "kezdőlap" munkaterületről (ahol a szabályt definiálták). Így az elemzők teljes képet kapnak a riasztásokról és incidensekről.

Megjegyzés:

Ha ugyanabban a lekérdezésben több munkaterületet kérdez le, az hatással lehet a teljesítményre, ezért csak akkor ajánlott, ha a logika megköveteli ezt a funkciót.

Munkaterületközi munkafüzetek használata

A munkafüzetek irányítópultokat és alkalmazásokat biztosítanak a Microsoft Sentinelnek. Több munkaterület használata esetén a munkafüzetek figyelést és műveleteket biztosítanak a munkaterületeken.

A munkafüzetek a különböző szintű végfelhasználói szakértelemhez megfelelő három módszer egyikében biztosíthatnak munkaterületek közötti lekérdezéseket:

Metódus Leírás Mikor érdemes használni?
Munkaterületközi lekérdezések írása A munkafüzet létrehozója a munkafüzetben munkaterületek közötti lekérdezéseket írhat (fentebb leírtak szerint). Azt szeretném, hogy a munkafüzet létrehozója hozzon létre egy, a felhasználó számára transzparens munkaterület-struktúrát.
Munkaterület-választó hozzáadása a munkafüzethez A munkafüzet létrehozója implementálhat egy munkaterület-választót a munkafüzet részeként. Lehetővé szeretném tenni, hogy a felhasználó egy könnyen használható legördülő listával vezérelje a munkafüzet által megjelenített munkaterületeket.
A munkafüzet interaktív szerkesztése A meglévő munkafüzetet módosító speciális felhasználók szerkeszthetik a benne lévő lekérdezéseket, és kiválaszthatják a cél-munkaterületeket a szerkesztő munkaterület-választójának használatával. Szeretném lehetővé tenni, hogy a power-felhasználók egyszerűen módosíthassák a meglévő munkafüzeteket, hogy több munkaterülettel működjenek.

Keresés több munkaterületen

A Microsoft Sentinel előre betöltött lekérdezésmintákat biztosít, amelyek az első lépésekhez és a táblák és a lekérdezés nyelvének megismeréséhez lettek kialakítva. A Microsoft biztonsági kutatói folyamatosan új beépített lekérdezéseket adnak hozzá, és finomhangolják a meglévő lekérdezéseket. Ezekkel a lekérdezésekkel új észleléseket kereshet, és azonosíthatja a biztonsági eszközök által esetleg elmulasztott behatolás jeleit.

A munkaterületek közötti vadászati képességek lehetővé teszik, hogy a veszélyforrás-vadászok új keresési lekérdezéseket hozzanak létre, vagy a meglévőket több munkaterület lefedésére használják a fent látható union operátorral és a munkaterület(eke)-kifejezéssel.

Több munkaterület kezelése automatizálással

Több Microsoft Sentinel-munkaterület konfigurálásához és kezeléséhez automatizálnia kell a Microsoft Sentinel felügyeleti API használatát.

Munkaterületek kezelése bérlők között az Azure Lighthouse használatával

Ahogy fentebb említettük, számos esetben a különböző Microsoft Sentinel-munkaterületek különböző Microsoft Entra-bérlőkben találhatók. Az Azure Lighthouse használatával kiterjesztheti a munkaterületek közötti tevékenységeket a bérlők határain, így a bérlői bérlő felhasználói a Microsoft Sentinel-munkaterületeken dolgozhatnak az összes bérlőn.

Az Azure Lighthouse előkészítése után az Azure Portal címtár+ előfizetés-választójának használatával válassza ki a kezelni kívánt munkaterületeket tartalmazó összes előfizetést, hogy az összes elérhető legyen a portál különböző munkaterület-választóiban.

Az Azure Lighthouse használata esetén javasoljuk, hogy hozzon létre egy csoportot minden Microsoft Sentinel-szerepkörhöz, és delegáljon engedélyeket az egyes bérlőktől ezekhez a csoportokhoz.

Következő lépések

Ebben a cikkben megismerhette, hogyan bővíthető a Microsoft Sentinel képességei több munkaterületen és bérlőn. A Microsoft Sentinel munkaterületek közötti architektúrájának implementálásával kapcsolatos gyakorlati útmutatásért tekintse meg a következő cikkeket: