Mengelola ruang kerja Microsoft Azure Sentinel

Azure Lighthouse memungkinkan penyedia layanan untuk melakukan operasi dalam skala besar di beberapa penyewa Microsoft Entra sekaligus, membuat tugas manajemen lebih efisien.

Microsoft Sentinel memberikan analitik keamanan dan inteligensi ancaman, menyediakan satu solusi untuk deteksi pemberitahuan, visibilitas ancaman, perburuan proaktif, dan respons ancaman. Dengan Azure Lighthouse, Anda dapat mengelola beberapa ruang kerja Microsoft Azure Sentinel di seluruh penyewa dalam skala besar. Ini memungkinkan skenario seperti menjalankan kueri di beberapa ruang kerja, atau membuat buku kerja untuk memvisualisasikan dan memantau data dari sumber data tersambung Anda untuk mendapatkan wawasan. IP seperti kueri dan playbook tetap berada di penyewa pengelola Anda, tetapi dapat digunakan untuk melakukan manajemen keamanan di penyewa pelanggan.

Topik ini memberikan gambaran umum tentang bagaimana Azure Lighthouse memungkinkan Anda menggunakan Microsoft Sentinel dengan cara yang dapat diskalakan untuk visibilitas lintas penyewa dan layanan keamanan terkelola.

Tip

Meskipun kami mengacu pada penyedia layanan dan pelanggan dalam topik ini, panduan ini juga berlaku untuk perusahaan yang menggunakan Azure Lighthouse untuk mengelola beberapa penyewa.

Catatan

Anda dapat mengelola sumber daya yang didelegasikan yang terletak di berbagai wilayah. Namun, Anda tidak dapat mendelegasikan sumber daya di seluruh cloud nasional dan cloud publik Azure, atau di dua cloud nasional terpisah.

Pertimbangan arsitektur

Untuk penyedia layanan keamanan terkelola (MSSP) yang ingin membangun penawaran Security-as-a-Service menggunakan Microsoft Sentinel, pusat operasi keamanan tunggal (SOC) mungkin diperlukan untuk memantau, mengelola, dan mengonfigurasi beberapa ruang kerja Microsoft Azure Sentinel secara terpusat yang disebarkan dalam penyewa pelanggan individual. Demikian pula, perusahaan dengan beberapa penyewa Microsoft Entra mungkin ingin mengelola beberapa ruang kerja Microsoft Azure Sentinel secara terpusat yang disebarkan di seluruh penyewa mereka.

Model manajemen terpusat ini memiliki keuntungan berikut:

• Kepemilikan data tetap ada di setiap penyewa yang dikelola.
• Mendukung persyaratan untuk menyimpan data dalam batas geografis.
• Memastikan isolasi data, karena data untuk beberapa pelanggan tidak disimpan di ruang kerja yang sama.
• Mencegah penyelundupan data dari penyewa terkelola, membantu memastikan kepatuhan data.
• Biaya terkait dibebankan kepada setiap penyewa yang dikelola, bukan kepada penyewa pengelola.
• Data dari semua sumber data dan konektor data yang terintegrasi dengan Microsoft Sentinel (seperti Log Aktivitas Microsoft Entra, log Office 365, atau pemberitahuan Perlindungan Ancaman Microsoft) akan tetap berada dalam setiap penyewa pelanggan.
• Mengurangi latensi jaringan.
• Mudah untuk menambahkan atau menghapus anak perusahaan atau pelanggan baru.
• Dapat menggunakan tampilan multi-ruang kerja saat bekerja melalui Azure Lighthouse.
• Untuk melindungi kekayaan intelektual Anda, Anda dapat menggunakan buku pedoman dan buku kerja untuk bekerja di seluruh penyewa tanpa berbagi kode langsung dengan pelanggan. Hanya aturan analitik dan perburuan yang perlu disimpan langsung di setiap penyewa pelanggan.

Penting

Jika ruang kerja hanya dibuat di penyewa pelanggan, penyedia sumber daya Microsoft.SecurityInsights & Microsoft.OperationalInsights juga harus terdaftar pada langganan di penyewa pengelola.

Model penyebaran alternatif adalah membuat satu ruang kerja Microsoft Azure Sentinel di penyewa pengelola. Dalam model ini, Azure Lighthouse memungkinkan pengumpulan log dari sumber data di seluruh penyewa yang dikelola. Namun, ada beberapa sumber data yang tidak dapat dihubungkan di seluruh penyewa, seperti Microsoft Defender XDR. Karena keterbatasan ini, model ini tidak cocok untuk banyak skenario penyedia layanan.

Kontrol akses berbasis peran Azure (Azure RBAC) terperinci

Setiap langganan pelanggan yang akan dikelola MSSP harus di-onboarding ke Azure Lighthouse. Ini memungkinkan pengguna yang ditunjuk dalam mengelola penyewa mengakses dan melakukan operasi manajemen di ruang kerja Microsoft Azure Sentinel yang disebarkan di penyewa pelanggan.

Saat membuat otorisasi, Anda dapat menetapkan peran bawaan Microsoft Azure Sentinel kepada pengguna, grup, atau perwakilan layanan di penyewa pengelola Anda:

• Pembaca Microsoft Azure Sentinel
• Penanggap Microsoft Azure Sentinel
• Kontributor Microsoft Azure Sentinel

Anda mungkin juga ingin menetapkan peran bawaan tambahan untuk melakukan fungsi tambahan. Untuk informasi tentang peran tertentu yang dapat digunakan dengan Microsoft Azure Sentinel, lihat Peran dan izin di Microsoft Azure Sentinel.

Setelah Anda melakukan onboarding pelanggan, pengguna yang ditunjuk dapat masuk ke penyewa pengelola dan langsung mengakses ruang kerja Microsoft Azure Sentinel pelanggan dengan peran yang ditetapkan.

Melihat dan mengelola insiden di seluruh ruang kerja

Jika Anda bekerja dengan sumber daya Microsoft Azure Sentinel untuk beberapa pelanggan, Anda dapat melihat dan mengelola insiden di beberapa ruang kerja di berbagai penyewa sekaligus. Untuk mengetahui informasi selengkapnya, lihat Bekerja dengan insiden di banyak ruang kerja sekaligus dan Memperluas Microsoft Azure Sentinel di seluruh ruang kerja dan penyewa.

Catatan

Pastikan bahwa pengguna di penyewa pengelola Anda telah diberi izin baca dan tulis di semua ruang kerja kelola. Jika pengguna hanya memiliki izin baca di beberapa ruang kerja, pesan peringatan mungkin muncul saat memilih insiden di ruang kerja tersebut, dan pengguna tidak akan dapat memodifikasi insiden tersebut atau yang lain yang dipilih bersama dengan mereka (bahkan jika pengguna memiliki izin tulis untuk yang lain).

Mengonfigurasi playbook untuk mitigasi

Playbook dapat digunakan untuk mitigasi otomatis saat pemberitahuan dipicu. Playbook ini dapat dijalankan secara manual, atau dapat berjalan secara otomatis saat pemberitahuan tertentu dipicu. Playbook dapat disebarkan baik di penyewa pengelola atau penyewa pelanggan, dengan prosedur respons yang dikonfigurasi berdasarkan pengguna penyewa mana yang harus mengambil tindakan sebagai respons terhadap ancaman keamanan.

Membuat buku kerja lintas penyewa

Buku Kerja Azure Monitor di Microsoft Sentinel membantu Anda memvisualisasikan dan memantau data dari sumber data tersambung untuk mendapatkan wawasan. Anda dapat menggunakan templat buku kerja bawaan di Microsoft Azure Sentinel, atau membuat buku kerja kustom untuk skenario Anda.

Anda dapat menyebarkan buku kerja di penyewa pengelola dan membuat dasbor dalam skala besar untuk memantau dan mengkueri data di seluruh penyewa pelanggan. Untuk mengetahui informasi selengkapnya, lihat Buku kerja lintas ruang kerja.

Anda juga dapat menyebarkan buku kerja secara langsung di penyewa terkelola individual untuk skenario khusus untuk pelanggan tersebut.

Menjalankan Analitik Log dan kueri perburuan di seluruh ruang kerja Microsoft Azure Sentinel

Buat dan simpan kueri Analitik Log untuk deteksi ancaman secara terpusat di penyewa pengelola, termasuk kueri perburuan. Kueri ini dapat dijalankan di semua ruang kerja Microsoft Sentinel pelanggan Anda dengan menggunakan operator Union dan ekspresi workspace().

Untuk mengetahui informasi selengkapnya, lihat Kueri lintas ruang kerja.

Menggunakan otomatisasi untuk manajemen lintas ruang kerja

Anda dapat menggunakan otomatisasi untuk mengelola beberapa ruang kerja Azure Sentinel dan mengonfigurasi kueri perburuan, playbook, dan buku kerja. Untuk mengetahui informasi selengkapnya, lihat Manajemen lintas ruang kerja menggunakan otomatisasi.

Memantau keamanan lingkungan Office 365

Gunakan Azure Lighthouse bersama dengan Microsoft Azure Sentinel untuk memantau keamanan lingkungan Office 365 di seluruh penyewa. Pertama, aktifkan konektor data Office 365 di penyewa terkelola di luar kotak. Informasi tentang aktivitas pengguna dan admin di Exchange dan SharePoint (termasuk OneDrive) kemudian dapat diserap ke ruang kerja Microsoft Azure Sentinel dalam penyewa terkelola. Informasi ini mencakup detail tentang tindakan seperti unduhan file, permintaan akses yang dikirim, perubahan pada peristiwa grup, dan operasi kotak surat, bersama dengan detail tentang pengguna yang melakukan tindakan tersebut. Pemberitahuan DLP Office 365 juga didukung sebagai bagian dari konektor Office 365 bawaan.

Anda dapat meggunakan Konektor Aplikasi Microsoft Defender untuk Cloud untuk melakukan streaming peringatan dan log Cloud Discovery ke Microsoft Azure Sentinel. Konektor ini menawarkan visibilitas ke dalam aplikasi cloud, menyediakan analitik canggih untuk mengidentifikasi dan memerangi ancaman cyber, dan membantu Anda mengontrol cara data bepergian. Log aktivitas untuk Defender for Cloud Apps dapat digunakan menggunakan Common Event Format (CEF).

Setelah menyiapkan konektor data Office 365, Anda dapat menggunakan kapabilitas Microsoft Azure Sentinel lintas penyewa seperti menampilkan dan menganalisis data dalam buku kerja, menggunakan kueri untuk membuat pemberitahuan kustom, dan mengonfigurasi playbook untuk merespons ancaman.

Lindungi kekayaan intelektual

Saat bekerja dengan pelanggan, Anda mungkin ingin melindungi kekayaan intelektual yang telah Anda kembangkan di Microsoft Azure Sentinel, seperti aturan analitik Microsoft Azure Sentinel, kueri perburuan, buku pedoman, dan buku kerja. Ada berbagai metode yang dapat Anda gunakan untuk memastikan bahwa pelanggan tidak memiliki akses lengkap ke kode yang digunakan dalam sumber daya ini.

Untuk informasi selengkapnya, lihat Melindungi kekayaan intelektual MSSP di Microsoft Azure Sentinel.

Langkah berikutnya

• Pelajari tentang Microsoft Azure Sentinel.
• Tinjau halaman harga Microsoft Azure Sentinel.
• Jelajahi MicrosoftSentinel All-in-One, proyek untuk mempercepat penyebaran dan tugas konfigurasi awal lingkungan Microsoft Azure Sentinel.
• Pelajari tentang pengalaman manajemen lintas penyewa.