Mengelola ruang kerja Microsoft Azure Sentinel

Sebagai penyedia layanan, Anda mungkin telah melakukan onboarding beberapa penyewa pelanggan ke Azure Lighthouse. Azure Lighthouse memungkinkan penyedia layanan melakukan operasi dalam skala di beberapa penyewa Azure Active Directory (Azure AD) sekaligus, membuat tugas manajemen menjadi lebih efisien.

Microsoft Azure Sentinel menghadirkan analitik keamanan dan inteligensi ancaman, menyediakan solusi tunggal untuk deteksi pemberitahuan, visibilitas ancaman, perburuan proaktif, dan respons ancaman. Dengan Azure Lighthouse, Anda dapat mengelola beberapa ruang kerja Microsoft Azure Sentinel di seluruh penyewa dalam skala besar. Ini memungkinkan skenario seperti menjalankan kueri di beberapa ruang kerja, atau membuat buku kerja untuk memvisualisasikan dan memantau data dari sumber data tersambung Anda untuk mendapatkan wawasan. IP seperti kueri dan playbook tetap berada di penyewa pengelola Anda, tetapi dapat digunakan untuk melakukan manajemen keamanan di penyewa pelanggan.

Topik ini memberikan gambaran umum tentang cara menggunakan Microsoft Azure Sentinel dengan cara yang dapat diskalakan untuk visibilitas lintas penyewa dan layanan keamanan terkelola.

Tip

Meskipun kami mengacu pada penyedia layanan dan pelanggan dalam topik ini, panduan ini juga berlaku untuk perusahaan menggunakan Azure Lighthouse untuk mengelola beberapa penyewa.

Catatan

Anda dapat mengelola sumber daya yang didelegasikan yang terletak di berbagai wilayah. Namun, delegasi langganan di seluruh cloud nasional dan cloud publik Azure, atau di dua cloud nasional terpisah, tidak didukung.

Pertimbangan arsitektur

Untuk penyedia layanan keamanan terkelola (MSSP) yang ingin membuat penawaran Keamanan sebagai layanan menggunakan Microsoft Azure Sentinel, pusat operasi keamanan tunggal (SOC) mungkin diperlukan untuk memantau, mengelola, dan mengonfigurasi beberapa ruang kerja Microsoft Azure Sentinel yang disebarkan dalam penyewa pelanggan individu. Demikian pula, perusahaan dengan beberapa penyewa Azure Active Directory mungkin ingin mengelola beberapa ruang kerja Microsoft Azure Sentinel secara terpusat yang disebarkan di seluruh penyewa mereka.

Model penyebaran ini memiliki keuntungan sebagai berikut:

  • Kepemilikan data tetap ada di setiap penyewa yang dikelola.
  • Mendukung persyaratan untuk menyimpan data dalam batas geografis.
  • Memastikan isolasi data, karena data untuk beberapa pelanggan tidak disimpan di ruang kerja yang sama.
  • Mencegah penyelundupan data dari penyewa terkelola, membantu memastikan kepatuhan data.
  • Biaya terkait dibebankan kepada setiap penyewa yang dikelola, bukan kepada penyewa pengelola.
  • Data dari semua sumber data dan konektor data yang terintegrasi dengan Microsoft Azure Sentinel (seperti Log Aktivitas Azure AD, log Office 365, atau pemberitahuan Perlindungan Ancaman Microsoft) akan tetap berada di dalam setiap penyewa pelanggan.
  • Mengurangi latensi jaringan.
  • Mudah untuk menambahkan atau menghapus anak perusahaan atau pelanggan baru.
  • Dapat menggunakan tampilan multi-ruang kerja saat bekerja melalui Azure Lighthouse.
  • Untuk melindungi kekayaan intelektual Anda, Anda dapat menggunakan buku pedoman dan buku kerja untuk bekerja di seluruh penyewa tanpa berbagi kode langsung dengan pelanggan. Hanya aturan analitik dan perburuan yang perlu disimpan langsung di setiap penyewa pelanggan.

Penting

Jika semua ruang kerja dibuat di penyewa pelanggan, penyedia sumber daya Microsoft.SecurityInsights & Microsoft.OperationalInsights juga harus terdaftar pada langganan di penyewa pengelolaan.

Model penyebaran alternatif adalah membuat satu ruang kerja Microsoft Azure Sentinel di penyewa pengelola. Dalam model ini, Azure Lighthouse memungkinkan pengumpulan log dari sumber data di seluruh penyewa yang dikelola. Namun, ada beberapa sumber data yang tidak dapat dihubungkan di seluruh penyewa, seperti Microsoft 365 Defender. Karena keterbatasan ini, model ini tidak cocok untuk banyak skenario penyedia layanan.

Kontrol akses berbasis peran Azure (Azure RBAC) terperinci

Setiap langganan pelanggan yang akan dikelola MSSP harus di-onboarding ke Azure Lighthouse. Ini memungkinkan pengguna yang ditunjuk dalam mengelola penyewa mengakses dan melakukan operasi manajemen di ruang kerja Microsoft Azure Sentinel yang disebarkan di penyewa pelanggan.

Saat membuat otorisasi, Anda dapat menetapkan peran bawaan Microsoft Azure Sentinel kepada pengguna, grup, atau perwakilan layanan di penyewa pengelola Anda:

Anda mungkin juga ingin menetapkan peran bawaan tambahan untuk melakukan fungsi tambahan. Untuk mengetahui informasi tentang peran tertentu yang dapat digunakan dengan Microsoft Azure Sentinel, lihat Izin di Microsoft Azure Sentinel.

Setelah Anda melakukan onboarding pelanggan, pengguna yang ditunjuk dapat masuk ke penyewa pengelola dan langsung mengakses ruang kerja Microsoft Azure Sentinel pelanggan dengan peran yang ditetapkan.

Melihat dan mengelola insiden di seluruh ruang kerja

Jika Anda mengelola sumber daya Microsoft Azure Sentinel untuk beberapa pelanggan, Anda dapat melihat dan mengelola insiden di beberapa ruang kerja di beberapa penyewa sekaligus. Untuk mengetahui informasi selengkapnya, lihat Bekerja dengan insiden di banyak ruang kerja sekaligus dan Memperluas Microsoft Azure Sentinel di seluruh ruang kerja dan penyewa.

Catatan

Pastikan bahwa pengguna di penyewa pengelola Anda telah diberi izin baca dan tulis di semua ruang kerja yang dikelola. Jika pengguna hanya memiliki izin baca di beberapa ruang kerja, pesan peringatan mungkin ditampilkan saat memilih insiden di ruang kerja tersebut, dan pengguna tidak akan dapat memodifikasi insiden tersebut atau yang lain yang telah Anda pilih (meskipun Anda memiliki izin untuk insiden lain).

Mengonfigurasi playbook untuk mitigasi

Playbook dapat digunakan untuk mitigasi otomatis saat pemberitahuan dipicu. Playbook ini dapat dijalankan secara manual, atau dapat berjalan secara otomatis saat pemberitahuan tertentu dipicu. Playbook dapat disebarkan baik di penyewa pengelola atau penyewa pelanggan, dengan prosedur respons yang dikonfigurasi berdasarkan pengguna penyewa mana yang perlu mengambil tindakan sebagai tanggapan terhadap ancaman keamanan.

Membuat buku kerja lintas penyewa

Buku Kerja Azure Monitor di Microsoft Sentinel membantu Anda memvisualisasikan dan memantau data dari sumber data tersambung untuk mendapatkan wawasan. Anda dapat menggunakan templat buku kerja bawaan di Microsoft Azure Sentinel, atau membuat buku kerja kustom untuk skenario Anda.

Anda dapat menyebarkan buku kerja di penyewa pengelola dan membuat dasbor dalam skala besar untuk memantau dan mengkueri data di seluruh penyewa pelanggan. Untuk mengetahui informasi selengkapnya, lihat Buku kerja lintas ruang kerja.

Anda juga dapat menyebarkan buku kerja secara langsung di penyewa individual yang Anda kelola untuk skenario khusus untuk pelanggan tersebut.

Menjalankan Analitik Log dan kueri perburuan di seluruh ruang kerja Microsoft Azure Sentinel

Buat dan simpan kueri Analitik Log untuk deteksi ancaman secara terpusat di penyewa pengelola, termasuk kueri perburuan. Kueri ini kemudian dapat dijalankan di semua ruang kerja Microsoft Sentinel pelanggan dengan menggunakan operator Union dan ekspresi ruang kerja ().

Untuk mengetahui informasi selengkapnya, lihat Kueri lintas ruang kerja.

Menggunakan otomatisasi untuk manajemen lintas ruang kerja

Anda dapat menggunakan otomatisasi untuk mengelola beberapa ruang kerja Azure Sentinel dan mengonfigurasi kueri perburuan, playbook, dan buku kerja. Untuk mengetahui informasi selengkapnya, lihat Manajemen lintas ruang kerja menggunakan otomatisasi.

Memantau keamanan lingkungan Office 365

Gunakan Azure Lighthouse bersama dengan Microsoft Azure Sentinel untuk memantau keamanan lingkungan Office 365 di seluruh penyewa. Pertama, konektor data Office 365 di luar kotak harus diaktifkan di penyewa terkelola sehingga informasi tentang aktivitas pengguna dan admin di Exchange dan SharePoint (termasuk OneDrive) dapat diserap ke ruang kerja Microsoft Azure Sentinel dalam penyewa terkelola. Ini termasuk detail tentang tindakan seperti pengunduhan file, permintaan akses yang dikirim, perubahan pada peristiwa grup, dan operasi kotak surat, bersama dengan informasi tentang pengguna yang melakukan tindakan. Pemberitahuan DLP Office 365 juga didukung sebagai bagian dari konektor Office 365 bawaan.

Anda dapat meggunakan Konektor Aplikasi Microsoft Defender untuk Cloud untuk melakukan streaming peringatan dan log Cloud Discovery ke Microsoft Azure Sentinel. Hal ini akan memberi Anda visibilitas ke aplikasi cloud, menyediakan analitik canggih untuk mengidentifikasi dan memerangi ancaman siber, dan membantu Anda mengontrol cara data bergerak. Log aktivitas untuk Defender for Cloud Apps dapat digunakan menggunakan Common Event Format (CEF).

Setelah menyiapkan konektor data Office 365, Anda dapat menggunakan kapabilitas Microsoft Azure Sentinel lintas penyewa seperti menampilkan dan menganalisis data dalam buku kerja, menggunakan kueri untuk membuat pemberitahuan kustom, dan mengonfigurasi playbook untuk merespons ancaman.

Lindungi kekayaan intelektual

Saat bekerja dengan pelanggan, Anda mungkin ingin melindungi kekayaan intelektual yang telah Anda kembangkan di Microsoft Azure Sentinel, seperti aturan analitik Microsoft Azure Sentinel, kueri perburuan, buku pedoman, dan buku kerja. Ada berbagai metode yang dapat Anda gunakan untuk memastikan bahwa pelanggan tidak memiliki akses lengkap ke kode yang digunakan dalam sumber daya ini.

Untuk informasi selengkapnya, lihat Melindungi kekayaan intelektual MSSP di Microsoft Azure Sentinel.

Langkah berikutnya