A Microsoft Sentinel-munkaterület architektúrájával kapcsolatos ajánlott eljárások

A Microsoft Sentinel-munkaterület üzembe helyezésének tervezésekor a Log Analytics-munkaterület architektúráját is meg kell terveznie. A munkaterület architektúrával kapcsolatos döntéseket általában üzleti és műszaki követelmények vezérlik. Ez a cikk áttekinti a legfontosabb döntési tényezőket, amelyek segítenek meghatározni a megfelelő munkaterületi architektúrát a szervezetek számára, beleértve a következőket:

• Akár egyetlen bérlőt, akár több bérlőt fog használni
• Az adatgyűjtésre és tárolásra vonatkozó megfelelőségi követelmények
• A Microsoft Sentinel-adatokhoz való hozzáférés szabályozása
• A különböző forgatókönyvek költségvonzatai

További információ: A Microsoft Sentinel-munkaterület architektúrájának és minta-munkaterületterveinek tervezése gyakori forgatókönyvekhez, valamint üzembe helyezés előtti tevékenységek és a Microsoft Sentinel üzembe helyezésének előfeltételei.

Tekintse meg a Következő videónkat: A SecOps sikeres létrehozása: Ajánlott eljárások a Microsoft Sentinel üzembe helyezéséhez.

Ez a cikk a Microsoft Sentinel üzembe helyezési útmutatójának része.

Bérleti szempontok

Bár kevesebb munkaterületet egyszerűbb kezelni, előfordulhat, hogy több bérlőhöz és munkaterülethez van konkrét igényei. Számos szervezet például olyan felhőkörnyezettel rendelkezik, amely több Microsoft Entra-bérlőt tartalmaz, amelyek egyesítésekből és felvásárlásokból vagy identitáselkontálási követelményekből erednek.

A használandó bérlők és munkaterületek számának meghatározásakor vegye figyelembe, hogy a Microsoft Sentinel legtöbb funkciója egyetlen munkaterület vagy Microsoft Sentinel-példány használatával működik, és a Microsoft Sentinel betölti a munkaterületen található összes naplót.

A Költségek az egyik fő szempont a Microsoft Sentinel architektúrájának meghatározásakor. További információkért tekintse meg a Microsoft Sentinel költségeit és számlázását.

Több bérlő használata

Ha több bérlője van, például felügyelt biztonsági szolgáltató (MSSP), javasoljuk, hogy hozzon létre legalább egy munkaterületet minden Egyes Microsoft Entra-bérlő számára, hogy támogassa a beépített, a szolgáltatáshoz kapcsolódó adatösszekötőket, amelyek csak a saját Microsoft Entra-bérlőjükön belül működnek.

A diagnosztikai beállításokon alapuló összes összekötő nem csatlakoztatható olyan munkaterülethez, amely nem ugyanabban a bérlőben található, ahol az erőforrás található. Ez olyan összekötőkre vonatkozik, mint az Azure Firewall, az Azure Storage, az Azure Activity vagy a Microsoft Entra ID.

Az Azure Lighthouse segítségével több Microsoft Sentinel-példányt kezelhet különböző bérlőkben.

Megjegyzés:

A partneradat-összekötők gyakran API-n vagy ügynökgyűjteményeken alapulnak, ezért nem kapcsolódnak egy adott Microsoft Entra-bérlőhöz.

Megfelelőségi szempontok

Az adatok összegyűjtése, tárolása és feldolgozása után a megfelelőség fontos tervezési követelmény lehet, ami jelentős hatással van a Microsoft Sentinel architektúrájára. Számos országban és régióban kritikus fontosságú az adatokhoz való hozzáférés ellenőrzése és bizonyítása, és a kockázatok felmérése és a Microsoft Sentinel-munkafolyamatokban való elemzések sok ügyfél számára prioritást élveznek.

A Microsoft Sentinelben az adatok tárolása és feldolgozása többnyire ugyanabban a földrajzi régióban vagy régióban történik, néhány kivétellel, például a Microsoft gépi tanulását kihasználó észlelési szabályok használatakor. Ilyen esetekben előfordulhat, hogy az adatok a munkaterület földrajzi területén kívülre másolódnak feldolgozás céljából.

For more information, see:

• Földrajzi rendelkezésre állás és adattárolás
• Adattárolási hely az Azure-ban
• Uniós adatok tárolása és feldolgozása az EU-ban – UNIÓS szakpolitikai blog

A megfelelőség ellenőrzésének megkezdéséhez mérje fel az adatforrásokat, valamint az adatok küldésének módját és helyét.

Megjegyzés:

A Log Analytics-ügynök támogatja a TLS 1.2-t az ügynök és a Log Analytics szolgáltatás, valamint a FIPS 140 szabvány közötti adatbiztonság biztosítása érdekében.

Ha a Microsoft Sentinel-munkaterülettől eltérő földrajzi vagy régióba küld adatokat, függetlenül attól, hogy a küldő erőforrás az Azure-ban található-e, fontolja meg egy munkaterület használatát ugyanabban a földrajzi régióban vagy régióban.

Régióval kapcsolatos szempontok

Minden régióhoz használjon külön Microsoft Sentinel-példányokat. Bár a Microsoft Sentinel több régióban is használható, előfordulhat, hogy az adatok csapat, régió vagy hely szerinti elkülönítésére, illetve olyan szabályozásokra és vezérlőkre van szüksége, amelyek a többrégiós modelleket lehetetlenné vagy összetettebbé teszik a szükségesnél. Az egyes régiókhoz tartozó különálló példányok és munkaterületek használata segít elkerülni az adatok régiók közötti áthelyezésének sávszélesség- és kimenő költségeit.

Több régió használata esetén vegye figyelembe a következőket:

• A kimenő költségek általában akkor érvényesek, ha a Log Analytics vagy az Azure Monitor-ügynök szükséges a naplók gyűjtéséhez, például a virtuális gépeken.

• Az internetes kimenő forgalom is díjköteles, ami nem feltétlenül érinti Önt, hacsak nem exportál adatokat a Log Analytics-munkaterületen kívülre. Előfordulhat például, hogy internetes kimenő díjak merülnek fel, ha Log Analytics-adatokat exportál egy helyszíni kiszolgálóra.

• A sávszélesség költségei a forrás- és célrégiótól és a gyűjtési módszertől függően változnak. For more information, see:

  • A sávszélesség díjszabása
  • Az adatátvitel a Log Analytics használatával történik.

• Az elemzési szabályok, egyéni lekérdezések, munkafüzetek és egyéb erőforrások sablonjaival hatékonyabbá teheti az üzembe helyezéseket. A sablonok üzembe helyezése ahelyett, hogy az egyes erőforrásokat manuálisan helyezned üzembe az egyes régiókban.

• A diagnosztikai beállításokon alapuló Csatlakozás orok nem járnak sávszélességen belüli költségekkel. További információ: Adatátviteli díjak a Log Analytics használatával.

Ha például úgy dönt, hogy naplókat gyűjt az USA keleti régiójában lévő virtuális gépekről, és elküldi őket az USA nyugati régiójában található Microsoft Sentinel-munkaterületre, akkor az adatátvitel bejövő költségeit fogja terhelni. Mivel a Log Analytics-ügynök tömöríti az átvitt adatokat, a sávszélességért felszámított méret alacsonyabb lehet, mint a Microsoft Sentinel naplóinak mérete.

Ha a világ több forrásából gyűjt Syslog- és CEF-naplókat, érdemes lehet a Microsoft Sentinel-munkaterülettel azonos régióban beállítani egy Syslog-gyűjtőt, hogy elkerülje a sávszélesség költségeit, feltéve, hogy a megfelelőség nem okoz gondot.

Annak megértése, hogy a sávszélesség költségei indokolják-e a különálló Microsoft Sentinel-munkaterületeket, attól függ, hogy mekkora mennyiségű adatot kell továbbítani a régiók között. Az Azure díjszabási kalkulátorával megbecsülheti a költségeket.

További információ: Adattárolás az Azure-ban.

Hozzáférési szempontok

Előfordulhat, hogy olyan helyzetek vannak megtervezve, amikor a különböző csapatoknak hozzá kell férnie ugyanazokhoz az adatokhoz. Az SOC-csapatnak például hozzáféréssel kell rendelkeznie az összes Microsoft Sentinel-adathoz, míg az üzemeltetési és alkalmazás-csapatoknak csak bizonyos részekhez kell hozzáférniük. Előfordulhat, hogy a független biztonsági csapatoknak is hozzá kell férnie a Microsoft Sentinel funkcióihoz, de eltérő adatkészletekkel.

Egyesítse az erőforrás-környezet RBAC-t és a táblaszintű RBAC-t , hogy a csapatok számos olyan hozzáférési lehetőséget biztosítsanak, amelyek a legtöbb használati esetet támogatják.

További információ: Engedélyek a Microsoft Sentinelben.

Erőforrás-környezet RBAC

Az alábbi képen egy munkaterületi architektúra egyszerűsített verziója látható, amelyben a biztonsági és üzemeltetési csapatoknak különböző adatkészletekhez kell hozzáférni, és az erőforrás-környezet RBAC-jének használatával biztosítják a szükséges engedélyeket.

Ezen a képen a Microsoft Sentinel-munkaterület egy külön előfizetésben található az engedélyek jobb elkülönítése érdekében.

Megjegyzés:

Egy másik lehetőség, ha a Microsoft Sentinelt egy külön, a biztonságnak szentelt felügyeleti csoport alá helyezi, amely biztosítja, hogy csak a minimális engedély-hozzárendelések öröklődjenek. A biztonsági csapaton belül több csoporthoz is hozzárendelnek engedélyeket a funkciójuknak megfelelően. Mivel ezek a csapatok a teljes munkaterülethez rendelkeznek hozzáféréssel, a Teljes Microsoft Sentinel-felülethez lesznek hozzáférésük, amelyet csak a hozzájuk rendelt Microsoft Sentinel-szerepkörök korlátoznak. További információ: Engedélyek a Microsoft Sentinelben.

A biztonsági előfizetés mellett az alkalmazáscsapatok külön előfizetést is használnak a számítási feladatok üzemeltetéséhez. Az alkalmazáscsapatok hozzáférést kapnak a megfelelő erőforráscsoportokhoz, ahol kezelhetik az erőforrásaikat. Ez a különálló előfizetés és erőforrás-környezet RBAC lehetővé teszi ezeknek a csapatoknak, hogy megtekinthessék a hozzájuk hozzáférő erőforrások által létrehozott naplókat, még akkor is, ha a naplók olyan munkaterületen vannak tárolva, amelyhez nincs közvetlen hozzáférésük. Az alkalmazáscsapatok az Azure Portal Naplók területén keresztül, egy adott erőforrás naplóinak megjelenítéséhez vagy az Azure Monitoron keresztül férhetnek hozzá a naplóikhoz, hogy egyszerre jelenítsék meg az összes naplót.

Az Azure-erőforrások beépített támogatást nyújtanak az erőforrás-környezet RBAC-hez, de a nem Azure-erőforrások használatakor további finomhangolásra lehet szükség. További információ: Az erőforrás-környezet RBAC explicit konfigurálása.

Táblaszintű RBAC

A táblaszintű RBAC lehetővé teszi, hogy meghatározott adattípusokat (táblákat) definiáljon, amelyek csak meghatározott felhasználók számára érhetők el.

Fontolja meg például, hogy a fenti képen ismertetett architektúrájú szervezetnek is hozzáférést kell-e adnia az Office 365-naplókhoz egy belső naplózási csapatnak. Ebben az esetben táblaszintű RBAC használatával biztosíthatnak hozzáférést a naplózási csapatnak a teljes OfficeActivity-táblához anélkül, hogy engedélyeket adnának más tábláknak.

Hozzáférési szempontok több munkaterülettel

Ha a szervezeten belül különböző entitásokkal, leányvállalatokkal vagy földrajzi helyekkel rendelkezik, és mindegyik saját biztonsági csapattal rendelkezik, amelyeknek hozzá kell férniük a Microsoft Sentinelhez, mindegyik entitáshoz vagy leányvállalathoz külön munkaterületeket kell használnia. A különálló munkaterületek implementálása egyetlen Microsoft Entra-bérlőn belül vagy több bérlőn keresztül az Azure Lighthouse használatával.

A központi SOC-csapat egy további, opcionális Microsoft Sentinel-munkaterületet is használhat a központosított összetevők, például elemzési szabályok vagy munkafüzetek kezeléséhez.

További információ: Több munkaterület használatának egyszerűsítése.

A munkaterület létrehozásához szükséges műszaki ajánlott eljárások

A Microsoft Sentinelhez használni kívánt Log Analytics-munkaterület létrehozásakor kövesse az alábbi ajánlott eljárásokat:

• A munkaterület elnevezésekor vegye fel a Microsoft Sentinelt vagy más jelzőt a névbe, hogy könnyen azonosítható legyen a többi munkaterület között.

• Használja ugyanazt a munkaterületet a Microsoft Sentinel és a Felhőhöz készült Microsoft Defender esetében is, hogy a Felhőhöz készült Microsoft Defender által gyűjtött naplókat a Microsoft Sentinel is betölthesse és felhasználhassa. A Felhőhöz készült Microsoft Defender által létrehozott alapértelmezett munkaterület nem jelenik meg a Microsoft Sentinel elérhető munkaterületeként.

• Használjon dedikált munkaterületfürtöt, ha a tervezett adatbetöltés körülbelül vagy több mint 1 TB/nap. A dedikált fürtök lehetővé teszik a Microsoft Sentinel-adatok erőforrásainak védelmét, ami jobb lekérdezési teljesítményt tesz lehetővé a nagy adathalmazok esetében. A dedikált fürtök lehetővé teszik a szervezet kulcsainak titkosítását és ellenőrzését is.

Ne alkalmazza az erőforrás-zárolást a Microsoft Sentinelhez használni kívánt Log Analytics-munkaterületre. Egy munkaterület erőforrás-zárolása számos Microsoft Sentinel-művelet meghiúsulását okozhatja.

Több munkaterület használatának egyszerűsítése

Ha több munkaterülettel kell dolgoznia, egyszerűsítse az incidenskezelést és a vizsgálatot úgy, hogy az egyes Microsoft Sentinel-példányok összes incidensét egyetlen helyen tömöríti és listázja.

Ha más Microsoft Sentinel-munkaterületeken( például munkaterületek közötti munkafüzetekben) tárolt adatokra szeretne hivatkozni, használjon munkaterületek közötti lekérdezéseket.

A munkaterületek közötti lekérdezések akkor használhatók a legjobban, ha az értékes információkat egy másik munkaterületen, előfizetésben vagy bérlőben tárolják, és értéket adhatnak az aktuális műveletnek. Az alábbi kód például egy munkaterületközi lekérdezésmintát mutat be:

union Update, workspace("contosoretail-it").Update, workspace("WORKSPACE ID").Update
| where TimeGenerated >= ago(1h)
| where UpdateState == "Needed"
| summarize dcount(Computer) by Classification

További információ: A Microsoft Sentinel kiterjesztése munkaterületekre és bérlőkre.

Következő lépések

Ebben a cikkben megismerhette a legfontosabb döntési tényezőket, amelyek segítenek meghatározni a megfelelő munkaterület-architektúrát a szervezetek számára.

A Microsoft Sentinel-munkaterület architektúrájának megtervezése