Központosított biztonsági műveletek külső identitásokkal a védelmi szervezetek számára
Ez a cikk egy központosított biztonsági műveleti csapattal rendelkező több-bérlős védelmi szervezetek számára készült. Bemutatja, hogyan felügyelhet több bérlőt, és hogyan felelhet meg a megbízhatósági követelményeknek egyetlen identitással és emelt szintű hozzáférési eszközzel. Ezzel a konfigurációval a biztonsági operátoroknak nincs szükségük több felhasználói fiókra, hitelesítő adatokra és munkaállomásokra a környezet védelméhez. A beállítás támogatja a másodlagos bérlők zéró megbízhatósági képességeit.
A konfigurációs összetevők ismertetése
Ez a forgatókönyv egyesíti az Azure Lighthouse, az Entra külső azonosító, az Entra Privileged Identity Management és a Több-bérlős felügyelet előnyeit a Microsoft Defender XDR-ben.
A Microsoft Sentinel kezelése másodlagos bérlőkben az Azure Lighthouse használatával. Az Azure Lighthouse használatával kell kezelnie a Microsoft Sentinel-munkaterületeket a másodlagos bérlőkhöz csatolt előfizetésekben. Az Azure Lighthouse több-bérlős felügyeletet tesz lehetővé skálázhatósággal, nagyobb automatizálással és továbbfejlesztett irányítással az erőforrások között.
Az Azure Lighthouse lehetővé teszi, hogy egy bérlő biztonsági tagja (felhasználó, csoport vagy szolgáltatásnév) azure-szerepkörrel rendelkezzen egy másik bérlő erőforrásainak kezeléséhez. Ezzel a beállítással az elsődleges bérlő biztonsági operátorai zökkenőmentesen kezelhetik a Sentinelt és a Felhőhöz készült Defender a bérlők között.
Megjegyzés:
A másodlagos bérlőkhöz csatolt Microsoft Sentinel-munkaterületekre vonatkozó engedélyek hozzárendelhetők a másodlagos bérlőhöz helyi felhasználókhoz, az elsődleges bérlő B2B-vendégfelhasználóihoz, vagy közvetlenül az Azure Lighthouse-t használó elsődleges bérlői felhasználókhoz. Az Azure Lighthouse az ajánlott beállítás a Sentinel számára, mivel lehetővé teszi a munkaterületek közötti tevékenységek kiterjesztését a bérlők határain.
Az Entra külső azonosítójával kezelheti a másodlagos bérlők Végponthoz készült Microsoft Defender. Az Azure Lighthouse nem használható Végponthoz készült Microsoft Defender (MDE) bérlők közötti megosztására, ezért külső identitásokat (B2B-vendégeket) kell használnia. A külső identitásokkal az elsődleges bérlő biztonsági operátorai anélkül kezelhetik az MDE-t egy másodlagos bérlőben, hogy másik fiókkal vagy hitelesítő adatokkal jelentkeznek be. A biztonsági operátornak meg kell adnia a használt bérlőt. A bérlő megadásához fel kell venniük a bérlőazonosítót a Microsoft Defender portál URL-címére. Az operátoroknak könyvjelzővel kell ellátniuk a Microsoft Defender-portálokat minden olyan bérlőhöz, amit kezelniük kell. A beállítás elvégzéséhez konfigurálnia kell a bérlők közötti hozzáférési beállításokat a másodlagos bérlőben. Állítsa be a bejövő megbízhatósági beállításokat a többtényezős hitelesítés (MFA) és az elsődleges bérlő eszközmegfeleltségének megbízhatóságához. Ezzel a konfigurációval a vendégfelhasználók anélkül kezelhetik az MDE-t, hogy kivételeket hoznak létre a másodlagos bérlők meglévő feltételes hozzáférési szabályzataihoz.
Ha engedélyezi a Defender for Servert a másodlagos bérlőhöz társított előfizetésben, az MDE-bővítmény automatikusan üzembe helyezi és elkezd biztonsági jeleket adni az MDE szolgáltatásnak. Ugyanazt a másodlagos bérlőt használja. Az MDE-engedélyek nem használhatják az Azure Lighthouse-t. Ezeket a helyi (másodlagos) Microsoft Entra-azonosítóban lévő felhasználókhoz vagy csoportokhoz kell hozzárendelnie. A biztonsági operátorokat külső identitásként (B2B-vendégek) kell előkészítenie a másodlagos bérlőben. Ezután hozzáadhatja a vendéget egy MDE-szerepkörhöz egy Microsoft Entra biztonsági csoport használatával. Ezzel a konfigurációval az elsődleges bérlőbiztonsági operátor válaszműveleteket hajthat végre az MDE által védett kiszolgálókon a másodlagos bérlőben.
A Privileged Identity Management használata.A Microsoft Entra Privileged Identity Management (PIM) lehetővé teszi az Azure és a Microsoft Entra szerepkörök igény szerinti emelt szintű használatát. A CSOPORTOKHOZ készült PIM kibővíti ezt a funkciót a Microsoft 365-csoportok és a Microsoft Entra biztonsági csoportok csoporttagságára. Miután beállította a PIM-et a csoportokhoz, át kell tekintenie a kiemelt csoport aktív és jogosult tagságát a csoportokhoz készült PIM hozzáférési felülvizsgálatának létrehozásával.
Fontos
Az Entra Privileged Identity Management kétféleképpen használható az Azure Lighthouse-val. A PIM használatával csoportokhoz emelheti a tagságot egy Entra biztonsági csoporthoz az Azure Lighthouse-ban konfigurált állandó engedélyekkel, az előző szakaszban leírtak szerint. Egy másik lehetőség az Azure Lighthouse konfigurálása jogosult engedélyekkel. További információ: ügyfél előkészítése az Azure Lighthouse-ba.
Központosított biztonsági műveletek konfigurálása
A több-bérlős környezet központi biztonsági műveleteinek beállításához konfigurálnia kell az Azure Lighthouse-t, az Entra külső azonosítóját és az Entra Privileged Identity Managementet. Az elsődleges bérlő biztonsági operátorai egyetlen identitással több bérlőt is biztonságossá tehetnek. Egyszer jelentkeznek be, emelik a hozzáférésüket a PIM-sel, figyelik a bérlők és szolgáltatások erőforrásait, és válaszolnak a bérlők fenyegetéseire (lásd az 1. ábrát).
1. ábra. Biztonsági műveletek beállítása több-bérlős védelmi szervezetekben.
1. Telepítse a Sentinelt, és engedélyezze a Felhőhöz készült Defender. Hozzon létre egy Microsoft Sentinel-munkaterületet az egyes bérlőkhöz társított előfizetésekben. Konfigurálja a releváns adatösszekötőket , és engedélyezze az elemzési szabályokat. Engedélyezze Felhőhöz készült Defender kibővített számítási feladatok védelmét az üzemeltetett számítási feladatokhoz, beleértve a Defender for Servert minden Azure-környezetben, és csatlakozzon Felhőhöz készült Defender a Microsoft Sentinelhez.
2. A PIM konfigurálása azure-beli biztonsági műveletekhez. Hozzon létre egy szerepkörhöz hozzárendelhető csoportot (az 1. ábrán az Azure SecOps), és véglegesen rendelje hozzá a csoportot a biztonsági operátorok számára szükséges Azure-szerepkörökhöz. A példa a Microsoft Sentinel közreműködőt és biztonsági olvasót használja, de megfontolhatja a Logikai alkalmazás közreműködője és más szerepkörök használatát is. Konfigurálja a CSOPORTOKHOZ készült PIM-et úgy, hogy a biztonsági operátorokat jogosultként rendelje hozzá az Azure SecOps-csoporthoz. Ez a megközelítés lehetővé teszi, hogy a biztonsági operátor emelje a hozzáférést az összes szerepkörhöz, amelyekre szükségük van egy PIM-kérelemben. Szükség esetén állandó szerepkör-hozzárendeléseket konfigurál az olvasási hozzáféréshez.
3. A PIM konfigurálása a Microsoft Defender XDR biztonsági műveleteihez. Szerepkörhöz rendelhető csoport létrehozása (Microsoft 365 szerepkörcsoport az 1. ábrán) a Microsoft Defender XDR-engedélyek hozzárendeléséhez. Ezután hozzon létre egy PIM-szerepkört a Microsoft 365 szerepkörcsoporthoz, és rendelje hozzá a jogosultságot a biztonsági operátorhoz. Ha nem szeretne több szerepkört kezelni, az 1. lépésben konfigurált csoport (Azure SecOps) használatával rendelhet hozzá Microsoft Defender XDR-engedélyeket és Azure-szerepköröket.
4. Az Azure Lighthouse konfigurálása. Az Azure Lighthouse használatával Azure-szerepköröket rendelhet hozzá másodlagos bérlői Azure-erőforrás-előfizetésekhez. Használja az Azure SecOps-csoport objektumazonosítóját és az elsődleges bérlő bérlőazonosítóját. Az 1. ábrán szereplő példa Microsoft Sentinel Válaszadó és Biztonsági olvasó szerepköröket használ. Konfiguráljon állandó szerepkör-hozzárendeléseket az Azure Lighthouse használatával, hogy szükség esetén állandó olvasási hozzáférést biztosítson.
5. Konfigurálja a külső felhasználók hozzáférését a másodlagos bérlőben. A jogosultságkezelés használatával konfigurálhatja a végfelhasználó által kezdeményezett forgatókönyvet, vagy vendégmeghívó használatával külső identitásként használhatja az elsődleges bérlői biztonsági operátorokat a másodlagos bérlőben. A bérlők közötti hozzáférési beállítások konfigurálása a másodlagos bérlőben úgy van konfigurálva, hogy megbízható legyen az elsődleges bérlő MFA- és eszközmegfelelési jogcímei között. Szerepkör-hozzárendelhető csoport létrehozása (Microsoft 365 szerepkörcsoport az 1. ábrán), Végponthoz készült Microsoft Defender engedélyek hozzárendelése és a PIM-szerepkör konfigurálása a 2. lépéssel megegyező folyamatot követve.
Központosított biztonsági műveletek kezelése
A biztonsági operátoroknak fiókokra és jogosult hozzáférésre van szükségük a környezet védelméhez és a fenyegetésekre való reagáláshoz. A biztonsági operátoroknak tudniuk kell, hogy mely szerepkörökre jogosultak, és hogyan emelhetik ki engedélyeiket a Microsoft Entra PIM használatával. Az Végponthoz készült Microsoft Defender (MDE) esetében tudniuk kell, hogyan válthatnak a bérlők között, hogy az MDE használatával vadászjanak és reagáljanak a fenyegetésekre.
A biztonsági operátorok a több-bérlős biztonsági műveletek beállítását használják (lásd az 1. ábrát) több bérlő védelmére. Figyelhetik, kivizsgálhatják és megválaszolhatják a Microsoft 365-ös és az Azure-beli fenyegetéseket a Microsoft Entra-bérlőkben (lásd a 2. ábrát).
2. ábra. Több-bérlős biztonsági műveletek beállítása.
1. Kérje a Sentinelt és a Defendert a felhőhöz való hozzáféréshez. A biztonsági operátornak be kell jelentkeznie az Azure Portalra az Azure SecOps-szerepkör PIM használatával történő lekéréséhez és aktiválásához . Miután aktív a szerepkörük, hozzáférhetnek a Microsoft Sentinelhez és Felhőhöz készült Defender.
2. Használja a Sentinelt munkaterületek és bérlők között. Ha az Azure SecOps-szerepkör aktív, a biztonsági operátor navigálhat a Microsoft Sentinelhez, és műveleteket hajthat végre a bérlők között. Konfigurálja a Microsoft Defender XDR-t és Felhőhöz készült Defender adatösszekötőket az elsődleges és a másodlagos bérlő Sentinel-példányaihoz. Amikor az Azure SecOps szerepkörhöz konfigurálja az Azure Lighthouse-t, a biztonsági operátor láthatja az összes Sentinel-riasztást, lekérdezheti a munkaterületeket, és kezelheti az incidenseket és a nyomozásokat az összes bérlőben.
3. Az elsődleges bérlő Microsoft Defender portáljának használatával válaszolhat a munkaállomások veszélyeire. Amikor a biztonsági operátornak hozzá kell férnie a Microsoft Defender XDR-hez, a Microsoft Entra PIM használatával aktiválja a Microsoft 365-szerepkörét. Ez a csoporttagság engedélyeket rendel hozzá az Intune által felügyelt és az elsődleges bérlőben az MDE-hez előkészített munkaállomás-eszközök biztonsági fenyegetéseire való reagáláshoz. A biztonsági operátor a Microsoft Defender portált használja válaszművelet végrehajtására és a munkaállomás elkülönítésére.
4. A másodlagos bérlő Microsoft Defender portáljának használatával válaszolhat a kiszolgálói fenyegetésekre. Ha a biztonsági operátoroknak válaszolniuk kell az MDE által a másodlagos bérlői előfizetésekben lévő kiszolgálókra észlelt fenyegetésekre, a Microsoft Defendert kell használniuk a másodlagos bérlőhöz. A Microsoft Defender XDR több-bérlős kezelése leegyszerűsíti ezt a folyamatot, és a Microsoft Defender XDR együttes nézetét jelenítheti meg az összes bérlőn. Az operátornak emelnie kell az MDE-hozzáférését a másodlagos bérlőben, mielőtt válaszműveletet kezdeményezhet. A biztonsági operátornak be kell jelentkeznie az Azure vagy az Entra portálokra, és át kell váltania a másodlagos bérlői címtárra. Ezután a biztonsági operátornak PIM-et kell használnia a Microsoft 365 szerepkörcsoport aktiválásához. Ha a szerepkör aktív, az operátor a Microsoft Defender portálra navigálhat. Innen a biztonsági operátor élő választ kezdeményezhet a naplók kiszolgálóról történő gyűjtéséhez vagy más MDE-válaszműveletek végrehajtásához.
5. A Lighthouse használatával kezelheti a bérlők közötti Felhőhöz készült Defender. A biztonsági operátornak ellenőriznie kell Felhőhöz készült Defender javaslatokat. Az operátornak az Azure Portal használatával kell visszakapcsolnia a címtárakat az elsődleges bérlőre. Az Azure Lighthouse lehetővé teszi a biztonsági operátor számára, hogy másodlagos bérlői Azure-erőforrásokat keressen az elsődleges bérlőtől. Felhőhöz készült Defender több javaslatot is megjeleníthet. Ezek a javaslatok lehetővé teszik az igény szerint elérhető virtuális gépek elérését és az interneten keresztül elérhető felügyeleti portokat. Ebben a forgatókönyvben a biztonsági operátor nem rendelkezik az Azure-szerepkörével Felhőhöz készült Defender javaslatok megvalósításához. A biztonsági operátornak kapcsolatba kell lépnie a másodlagos bérlői infrastruktúra felügyeleti csapatával a biztonsági rés elhárításához. A biztonsági operátornak az Azure Policyt is hozzá kell rendelnie, hogy megakadályozza a virtuális gépek üzembe helyezését a közzétett felügyeleti portokkal.
Egyéb biztonsági műveleti minták
A cikkben bemutatott felügyeleti minta a külső identitások és az Azure Lighthouse együttes használatával lehetséges számos minta egyike. A szervezet dönthet úgy, hogy egy másik mintát valósít meg, amely jobban megfelel a biztonsági operátorok igényeinek.