2. lépés A Microsoft Sentinel-munkaterület létrehozása
A Microsoft Sentinel környezet üzembe helyezése magában foglalja a munkaterület konfigurációjának megtervezését a biztonsági és megfelelőségi követelményeknek megfelelően. A kiépítési folyamat magában foglalja a Log Analytics-munkaterületek létrehozását és a Microsoft Sentinel megfelelő beállításainak konfigurálását.
Ez a cikk a Microsoft Sentinel-munkaterületek tervezésével és implementálásával kapcsolatos javaslatokat tartalmaz a Teljes felügyelet alapelveihez.
1. lépés: Szabályozási stratégia tervezése
Ha szervezete számos Azure-előfizetéssel rendelkezik, szükség lehet arra, hogy hatékonyan kezelje az előfizetések hozzáférését, szabályzatait és megfelelőségét. A felügyeleti csoportok szabályozási hatókört biztosítanak az előfizetésekhez. Ha az előfizetéseket felügyeleti csoportokon belül rendezi, a felügyeleti csoporthoz konfigurált szabályozási feltételek a benne található előfizetésekre vonatkoznak. További információ: Erőforrások rendszerezése felügyeleti csoportokkal.
Az alábbi ábrán látható Microsoft Sentinel-munkaterület például a Platformfelügyeleti csoport Biztonsági előfizetésében található, amely a Microsoft Entra ID-bérlő része.
A Security Azure-előfizetés és a Microsoft Sentinel-munkaterület örökli a platformfelügyeleti csoportra alkalmazott szerepköralapú hozzáférés-vezérlési (RBAC) és Azure-szabályzatokat.
2. lépés: Log Analytics-munkaterületek létrehozása
A Microsoft Sentinel használatához az első lépés a Log Analytics-munkaterületek létrehozása. Egyetlen Log Analytics-munkaterület sok környezethez elegendő lehet, de számos szervezet több munkaterületet hoz létre a költségek optimalizálása és a különböző üzleti követelmények jobb kielégítése érdekében.
Ajánlott külön munkaterületeket létrehozni az adatok tulajdonjogához és a Microsoft Sentinel költségkezeléséhez szükséges üzemeltetési és biztonsági adatokhoz. Ha például egynél több személy felügyeli a működési és biztonsági szerepköröket, a Teljes felügyelet első döntése az, hogy külön munkaterületeket hoz-e létre ezekhez a szerepkörökhöz.
Az egyesített biztonsági üzemeltetési platform, amely hozzáférést biztosít a Microsoft Sentinelhez a Defender portálon, csak egyetlen munkaterületet támogat.
További információ: Contoso mintamegoldása a különálló munkaterületekhez a műveleti és biztonsági szerepkörökhöz.
A Log Analytics-munkaterület tervezési szempontjai
Egyetlen bérlő esetén a Microsoft Sentinel-munkaterületek kétféleképpen konfigurálhatók:
Egyetlen bérlő egyetlen Log Analytics-munkaterülettel. Ebben az esetben a munkaterület lesz a bérlőn belüli összes erőforrás naplóinak központi adattára.
Előnyök:
- Naplók központi konszolidálása.
- Könnyebben lekérdezhetők az információk.
- Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) a Log Analyticshez és a Microsoft Sentinelhez való hozzáférés szabályozásához. További információ: Log Analytics-munkaterületekhez való hozzáférés kezelése – Azure Monitor, szerepkörök és engedélyek a Microsoft Sentinelben.
Hátrányok:
- Előfordulhat, hogy nem felel meg az irányítási követelményeknek.
- A régiók között sávszélesség-költség van.
Egyetlen bérlő regionális Log Analytics-munkaterületekkel.
Előnyök:
- Nincs régióközi sávszélesség-költség.
- Előfordulhat, hogy a szabályozás teljesítéséhez szükséges.
- Részletes adathozzáférés-vezérlés.
- Részletes adatmegőrzési beállítások.
- Számlázás felosztása.
Hátrányok:
- Nincs középső üvegtábla.
- Az elemzéseket, munkafüzeteket és egyéb konfigurációkat többször kell üzembe helyezni.
További információ: Log Analytics-munkaterület architektúrájának tervezése.
3. lépés: A Microsoft Sentinel munkaterületének tervezője
A Microsoft Sentinel előkészítéséhez ki kell választania egy Log Analytics-munkaterületet. A Log Analytics Microsoft Sentinelhez való beállításának szempontjai a következők:
Hozzon létre egy biztonsági erőforráscsoportot szabályozási célokra, amely lehetővé teszi a Microsoft Sentinel-erőforrások elkülönítését és a gyűjteményhez való szerepköralapú hozzáférést. További információ: Log Analytics-munkaterület architektúrájának tervezése.
Hozzon létre egy Log Analytics-munkaterületet a Biztonsági erőforráscsoportban, és hozza létre a Microsoft Sentinelt. Ez automatikusan 31 napos adatbetöltést biztosít , akár napi 10 Gb-os ingyenes adatbetöltést egy ingyenes próbaverzió részeként.
Állítsa be a Microsoft Sentinelt támogató Log Analytics-munkaterületet legalább 90 napos megőrzésre .
Miután a Microsoft Sentinelt egy Log Analytics-munkaterületre előkészítette, 90 napnyi adatmegőrzést kap extra költség nélkül, és biztosítja a naplóadatok 90 napos átállítását. 90 nap után a munkaterületen lévő adatok teljes mennyiségével kapcsolatos költségek merülnek fel. A kormányzati követelményeknek megfelelően érdemes lehet hosszabb ideig megőrizni a naplóadatokat. További információ: Log Analytics-munkaterületek létrehozása és rövid útmutató: Bevezetés a Microsoft Sentinelbe.
Teljes felügyelet a Microsoft Sentinellel
A zéró megbízhatóságú architektúra implementálásához érdemes lehet kibővíteni a munkaterületet az adatok lekérdezésére és elemzésére a munkaterületek és bérlők között. A Microsoft Sentinel-munkaterületek mintatervei és a Microsoft Sentinel kiterjesztése munkaterületekre és bérlőkre a legjobb munkaterület-kialakítás meghatározásához a szervezet számára.
Emellett használja a Felhőszerepkörök és az Operations Management előíró útmutatóját és excel-számolótábláját (letöltés). Ebből az útmutatóból a Microsoft Sentinel Teljes felügyelet feladatai a következők:
- Microsoft Sentinel RBAC-szerepkörök definiálása a társított Microsoft Entra-csoportokkal.
- Ellenőrizze, hogy a Microsoft Sentinelhez alkalmazott hozzáférési eljárások továbbra is megfelelnek-e a szervezet követelményeinek.
- Fontolja meg az ügyfél által felügyelt kulcsok használatát.
Teljes felügyelet RBAC-vel
A Teljes felügyelet való megfelelés érdekében javasoljuk, hogy az Azure RBAC-t a felhasználók számára engedélyezett erőforrások alapján konfigurálja ahelyett, hogy hozzáférést biztosít a teljes Microsoft Sentinel-környezethez.
Az alábbi táblázat felsorol néhány Microsoft Sentinel-specifikus szerepkört.
| Szerepkör neve | Leírás |
|---|---|
| Microsoft Sentinel-olvasó | Adatok, incidensek, munkafüzetek és egyéb Microsoft Sentinel-erőforrások megtekintése. |
| Microsoft Sentinel-válaszadó | A Microsoft Sentinel Reader szerepkör képességei mellett kezelheti az incidenseket (hozzárendelés, elutasítás stb.). Ez a szerepkör a biztonsági elemzők felhasználói típusaira alkalmazható. |
| Microsoft Sentinel Forgatókönyv-kezelő | Forgatókönyvek listázása, megtekintése és manuális futtatása. Ez a szerepkör a biztonsági elemzők felhasználói típusaira is alkalmazható. Ez a szerepkör a Microsoft Sentinel-válaszadók azon képességét biztosítja, hogy a Microsoft Sentinel forgatókönyveit a lehető legkevesebb jogosultsággal futtathassa. |
| Microsoft Sentinel-közreműködő | A Microsoft Sentinel Forgatókönyv-kezelő szerepkör képességei mellett munkafüzeteket, elemzési szabályokat és egyéb Microsoft Sentinel-erőforrásokat is létrehozhat és szerkeszthet. Ez a szerepkör a biztonsági mérnökök felhasználói típusaira vonatkozik. |
| Microsoft Sentinel Automation-közreműködő | Lehetővé teszi, hogy a Microsoft Sentinel forgatókönyveket adjon hozzá az automatizálási szabályokhoz. Ez nem felhasználói fiókokhoz készült. |
Ha Microsoft Sentinel-specifikus Azure-szerepköröket rendel hozzá, előfordulhat, hogy más Azure- és Log Analytics-szerepkörökkel is találkozhat, amelyek más célokra lettek hozzárendelve a felhasználókhoz. A Log Analytics-közreműködői és a Log Analytics-olvasó szerepkörök például hozzáférést biztosítanak egy Log Analytics-munkaterülethez.
További információ: Szerepkörök és engedélyek a Microsoft Sentinelben és a Microsoft Sentinel-adatokhoz való hozzáférés kezelése erőforrásonként.
Teljes felügyelet több-bérlős architektúrákban az Azure Lighthouse használatával
Az Azure Lighthouse több-bérlős felügyeletet tesz lehetővé skálázhatósággal, nagyobb automatizálással és továbbfejlesztett irányítással az erőforrások között. Az Azure Lighthouse használatával több Microsoft Sentinel-példányt is kezelhet a Microsoft Entra-bérlőkben nagy méretekben. Íme egy példa.
Az Azure Lighthouse használatával lekérdezéseket futtathat több munkaterületen, vagy munkafüzeteket hozhat létre a csatlakoztatott adatforrásokból származó adatok vizualizációjához és monitorozásához, és további megállapításokat nyerhet. Fontos figyelembe venni Teljes felügyelet alapelveket. Lásd: Ajánlott biztonsági eljárások az Azure Lighthouse minimális jogosultsági hozzáférési vezérlőinek implementálásához.
Az Azure Lighthouse biztonsági ajánlott eljárásainak megvalósítása során vegye figyelembe a következő kérdéseket:
- Ki felelős az adatok tulajdonjogáért?
- Mik az adatelkülönítési és megfelelőségi követelmények?
- Hogyan valósítja meg a legkevesebb jogosultságot a bérlők között?
- Hogyan lesz több adatösszekötő több Microsoft Sentinel-munkaterületen?
- Office 365-környezetek monitorozása
- Hogyan védheti meg a szellemi tulajdonságokat – például forgatókönyveket, jegyzetfüzeteket, elemzési szabályokat – a bérlők között?
Tekintse meg a Microsoft Sentinel-munkaterületek nagy léptékű kezelését: Részletes Azure RBAC a Microsoft Sentinel és az Azure Lighthouse biztonsági ajánlott eljárásaihoz.
A munkaterület előkészítése az egyesített biztonsági üzemeltetési platformra
Ha egyetlen munkaterülettel dolgozik, javasoljuk, hogy a munkaterületet az egyesített biztonsági üzemeltetési platformra hozza létre, hogy az XDR-adatokkal együtt az összes Microsoft Sentinel-adatot megtekinthesse a Microsoft Defender portálon.
Az egyesített biztonsági üzemeltetési platform továbbfejlesztett képességeket is biztosít, például az SAP-rendszer automatikus támadási zavarait, a Defender Speciális vadászlapról származó egyesített lekérdezéseket, valamint a Microsoft Defender és a Microsoft Sentinel egyesített incidenseit és entitásait.
További információk:
- A Microsoft Sentinel csatlakoztatása a Microsoft Defender XDR-hez
- Microsoft Sentinel a Microsoft Defender portálon
Ajánlott betanítás
A betanítási tartalmak jelenleg nem fedik le az egységes biztonsági üzemeltetési platformot.
A Microsoft Sentinel bemutatása
| Oktatás | A Microsoft Sentinel bemutatása |
|---|---|
|
Megtudhatja, hogyan teszi lehetővé a Microsoft Sentinel, hogy gyorsan értékes biztonsági elemzéseket tudjon lekérni a felhőből és a helyszíni adatokból. |
A Microsoft Sentinel-környezet konfigurálása
| Oktatás | A Microsoft Sentinel-környezet konfigurálása |
|---|---|
|
A Microsoft Sentinel-munkaterület megfelelő konfigurálásával ismerkedhet meg a Microsoft Sentinel szolgáltatással. |
Microsoft Sentinel-munkaterületek létrehozása és kezelése
| Oktatás | Microsoft Sentinel-munkaterületek létrehozása és kezelése |
|---|---|
|
Ismerje meg a Microsoft Sentinel-munkaterületek architektúráját, hogy a rendszer megfeleljen a szervezet biztonsági üzemeltetési követelményeinek. |
Következő lépés
Folytassa a 3. lépéssel, hogy konfigurálja a Microsoft Sentinelt az adatforrások betöltésére és az incidensészlelés konfigurálására.
Hivatkozások
Ezekre a hivatkozásokra kattintva megismerheti a cikkben említett szolgáltatásokat és technológiákat.
| Szolgáltatási terület | További információ |
|---|---|
| Microsoft Sentinel | - Rövid útmutató: Bevezetés a Microsoft Sentinelbe - A Microsoft Sentinel-adatokhoz való hozzáférés kezelése erőforrás szerint |
| A Microsoft Sentinel szabályozása | - Erőforrások rendszerezése felügyeleti csoportokkal - Szerepkörök és engedélyek a Microsoft Sentinelben |
| Log Analytics-munkaterületek | - Log Analytics-munkaterület architektúrájának tervezése - A Log Analytics-munkaterületek tervezési feltételei - A Contoso megoldása - Log Analytics-munkaterületekhez való hozzáférés kezelése – Azure Monitor - Log Analytics-munkaterület architektúrájának tervezése - Log Analytics-munkaterületek létrehozása |
| Microsoft Sentinel-munkaterületek és Azure Lighthouse | - A Microsoft Sentinel-munkaterületek nagy méretekben való kezelése: Részletes Azure RBAC - Ajánlott biztonsági eljárások |