Langkah 2. Merancang ruang kerja Microsoft Azure Sentinel Anda
Menyebarkan lingkungan Microsoft Azure Sentinel memerlukan perancangan konfigurasi ruang kerja untuk memenuhi persyaratan keamanan dan kepatuhan Anda. Proses provisi mencakup pembuatan ruang kerja Analitik Log dan mengonfigurasi opsi Microsoft Sentinel yang sesuai.
Artikel ini memberikan rekomendasi tentang cara merancang dan mengimplementasikan ruang kerja Microsoft Azure Sentinel untuk prinsip Zero Trust.
Langkah 1: Merancang strategi tata kelola
Jika organisasi Anda memiliki banyak langganan Azure, Anda mungkin memerlukan cara untuk mengelola akses, kebijakan, dan kepatuhan secara efisien untuk langganan tersebut. Grup manajemen menyediakan cakupan tata kelola untuk langganan. Saat Anda mengatur langganan dalam grup manajemen, kondisi tata kelola yang Anda konfigurasi untuk grup manajemen berlaku untuk langganan yang dikandungnya. Untuk informasi selengkapnya, lihat Menata sumber daya Anda dengan grup manajemen.
Misalnya, ruang kerja Microsoft Azure Sentinel dalam diagram berikut berada dalam langganan Keamanan di bawah grup manajemen Platform, yang merupakan bagian dari penyewa ID Microsoft Entra.
Langganan Azure Keamanan dan ruang kerja Microsoft Azure Sentinel mewarisi kebijakan kontrol akses berbasis peran (RBAC) dan Azure yang diterapkan ke grup manajemen Platform.
Langkah 2: Membuat ruang kerja Analitik Log
Untuk menggunakan Microsoft Azure Sentinel, langkah pertama adalah membuat ruang kerja Analitik Log Anda. Satu ruang kerja Analitik Log mungkin cukup untuk banyak lingkungan, tetapi banyak organisasi membuat beberapa ruang kerja untuk mengoptimalkan biaya dan memenuhi persyaratan bisnis yang berbeda dengan lebih baik.
Ini adalah praktik terbaik untuk membuat ruang kerja terpisah untuk data operasional dan keamanan untuk kepemilikan data dan manajemen biaya untuk Microsoft Azure Sentinel. Misalnya, jika ada lebih dari satu orang yang mengelola peran operasional dan keamanan, keputusan pertama Anda untuk Zero Trust adalah apakah akan membuat ruang kerja terpisah untuk peran tersebut.
Platform operasi keamanan terpadu, yang menyediakan akses ke Microsoft Sentinel di portal Defender, hanya mendukung satu ruang kerja.
Untuk informasi selengkapnya, lihat solusi sampel Contoso untuk ruang kerja terpisah untuk peran operasi dan keamanan.
Pertimbangan desain ruang kerja Analitik Log
Untuk satu penyewa, ada dua cara ruang kerja Microsoft Azure Sentinel dapat dikonfigurasi:
Penyewa tunggal dengan satu ruang kerja Analitik Log. Dalam hal ini, ruang kerja menjadi repositori pusat untuk log di semua sumber daya dalam penyewa.
Keuntungan:
- Konsolidasi pusat log.
- Lebih mudah untuk mengkueri informasi.
- Kontrol akses berbasis peran Azure (Azure RBAC) untuk mengontrol akses ke Log Analytics dan Microsoft Sentinel. Untuk informasi selengkapnya, lihat Mengelola akses ke ruang kerja Log Analytics - Azure Monitor, dan Peran dan izin di Microsoft Azure Sentinel.
Kekurangan:
- Mungkin tidak memenuhi persyaratan tata kelola.
- Ada biaya bandwidth antar wilayah.
Penyewa tunggal dengan ruang kerja Analitik Log regional.
Keuntungan:
- Tidak ada biaya bandwidth lintas wilayah.
- Mungkin diperlukan untuk memenuhi tata kelola.
- Kontrol akses data terperinci.
- Pengaturan retensi terperinci.
- Pisahkan tagihan.
Kekurangan:
- Tidak ada panel kaca pusat.
- Analitik, buku kerja, dan konfigurasi lainnya harus disebarkan beberapa kali.
Untuk informasi selengkapnya, lihat Mendesain arsitektur ruang kerja Analitik Log.
Langkah 3: Merancang ruang kerja Microsoft Azure Sentinel
Onboarding Microsoft Azure Sentinel mengharuskan memilih ruang kerja Analitik Log. Berikut ini adalah pertimbangan untuk menyiapkan Analitik Log untuk Microsoft Azure Sentinel:
Buat grup sumber daya Keamanan untuk tujuan tata kelola, yang memungkinkan Anda mengisolasi sumber daya Microsoft Sentinel dan akses berbasis peran ke koleksi. Untuk informasi selengkapnya, lihat Mendesain arsitektur ruang kerja Analitik Log.
Buat ruang kerja Analitik Log di grup sumber daya Keamanan dan onboard Microsoft Azure Sentinel ke dalamnya. Ini secara otomatis memberi Anda 31 hari penyerapan data hingga 10 Gb sehari gratis sebagai bagian dari uji coba gratis.
Atur Ruang Kerja Analitik Log Anda yang mendukung Microsoft Azure Sentinel ke retensi 90 hari minimal.
Setelah anda onboard Microsoft Sentinel ke ruang kerja Log Analytics, Anda mendapatkan 90 hari retensi data tanpa biaya tambahan, dan memastikan rollover data log 90 hari. Anda akan dikenakan biaya untuk jumlah total data di ruang kerja setelah 90 hari. Anda mungkin mempertimbangkan untuk menyimpan data log lebih lama berdasarkan persyaratan pemerintah. Untuk informasi selengkapnya, lihat Membuat ruang kerja Analitik Log dan Mulai Cepat: Onboard di Microsoft Azure Sentinel.
Zero Trust dengan Microsoft Azure Sentinel
Untuk menerapkan arsitektur zero-trust, pertimbangkan untuk memperluas ruang kerja untuk mengkueri dan menganalisis data Anda di seluruh ruang kerja dan penyewa. Gunakan Sampel desain ruang kerja Microsoft Azure Sentinel dan Perluas Microsoft Azure Sentinel di seluruh ruang kerja dan penyewa untuk menentukan desain ruang kerja terbaik untuk organisasi Anda.
Selain itu, gunakan panduan preskriptif Peran Cloud dan Manajemen Operasi dan spreadsheet Excel-nya (unduh). Dari panduan ini, tugas Zero Trust yang perlu dipertimbangkan untuk Microsoft Azure Sentinel adalah:
- Tentukan peran RBAC Microsoft Sentinel dengan grup Microsoft Entra terkait.
- Validasi bahwa praktik akses yang diterapkan ke Microsoft Azure Sentinel masih memenuhi persyaratan organisasi Anda.
- Pertimbangkan penggunaan kunci yang dikelola pelanggan.
Zero Trust dengan RBAC
Untuk mematuhi Zero Trust, kami sarankan Anda mengonfigurasi Azure RBAC berdasarkan sumber daya yang diizinkan untuk pengguna Anda alih-alih memberi mereka akses ke seluruh lingkungan Microsoft Azure Sentinel.
Tabel berikut ini mencantumkan beberapa peran khusus Microsoft Sentinel.
| Nama peran | Deskripsi |
|---|---|
| Pembaca Microsoft Azure Sentinel | Menampilkan data, insiden, buku kerja, dan sumber daya Microsoft Azure Sentinel lainnya. |
| Penanggap Microsoft Azure Sentinel | Selain kemampuan peran Pembaca Microsoft Sentinel, kelola insiden (tetapkan, tutup, dll.). Peran ini berlaku untuk jenis pengguna analis keamanan. |
| Microsoft Sentinel Playbook Operator | Mencantumkan, melihat, dan menjalankan playbook secara manual. Peran ini juga berlaku untuk jenis pengguna analis keamanan. Peran ini untuk memberikan kemampuan kepada responden Microsoft Azure Sentinel untuk menjalankan playbook Microsoft Azure Sentinel dengan jumlah hak istimewa paling sedikit. |
| Kontributor Microsoft Azure Sentinel | Selain kemampuan peran Operator Playbook Microsoft Sentinel, buat dan edit buku kerja, aturan analitik, dan sumber daya Microsoft Azure Sentinel lainnya. Peran ini berlaku untuk jenis teknisi keamanan pengguna. |
| Kontributor Automasi Microsoft Azure Sentinel | Memungkinkan Microsoft Azure Sentinel menambahkan playbook ke aturan otomatisasi. Hal ini tidak ditujukan untuk akun pengguna. |
Saat menetapkan peran Azure khusus Microsoft Sentinel, Anda mungkin menemukan peran Azure dan Log Analytics lainnya yang mungkin telah ditetapkan kepada pengguna untuk tujuan lain. Misalnya, peran Kontributor Analitik Log dan Pembaca Analitik Log memberikan akses ke ruang kerja Analitik Log.
Untuk informasi selengkapnya, lihat Peran dan izin di Microsoft Azure Sentinel dan Mengelola akses ke data Microsoft Azure Sentinel berdasarkan sumber daya.
Zero Trust dalam arsitektur multipenyewa dengan Azure Lighthouse
Azure Lighthouse memungkinkan manajemen multipenyewa dengan skalabilitas, otomatisasi yang lebih tinggi, dan tata kelola yang ditingkatkan di seluruh sumber daya. Dengan Azure Lighthouse, Anda dapat mengelola beberapa instans Microsoft Sentinel di seluruh penyewa Microsoft Entra dalam skala besar. Berikut adalah contohnya.
Dengan Azure Lighthouse, Anda dapat menjalankan kueri di beberapa ruang kerja atau membuat buku kerja untuk memvisualisasikan dan memantau data dari sumber data yang terhubung dan mendapatkan wawasan tambahan. Penting untuk mempertimbangkan prinsip Zero Trust. Lihat Praktik keamanan yang direkomendasikan untuk menerapkan kontrol akses hak istimewa terkecil untuk Azure Lighthouse.
Pertimbangkan pertanyaan berikut saat menerapkan praktik terbaik keamanan untuk Azure Lighthouse:
- Siapa yang bertanggung jawab atas kepemilikan data?
- Apa saja persyaratan isolasi dan kepatuhan data?
- Bagaimana Anda akan menerapkan hak istimewa paling sedikit di seluruh penyewa?
- Bagaimana beberapa konektor data di beberapa ruang kerja Microsoft Azure Sentinel akan dikelola?
- Bagaimana cara memantau lingkungan office 365?
- Bagaimana cara melindungi properti intelektual–misalnya, playbook, notebook, aturan analitik–di seluruh penyewa?
Lihat Mengelola ruang kerja Microsoft Azure Sentinel dalam skala besar: Granular Azure RBAC untuk praktik terbaik keamanan Microsoft Azure Sentinel dan Azure Lighthouse.
Onboarding ruang kerja Anda ke platform operasi keamanan terpadu
Jika Anda bekerja dengan satu ruang kerja, kami sarankan Anda melakukan onboarding ruang kerja ke platform operasi keamanan terpadu untuk melihat semua data Microsoft Azure Sentinel Anda bersama dengan data XDR di portal Pertahanan Microsoft.
Platform operasi keamanan terpadu juga menyediakan kemampuan yang ditingkatkan, seperti gangguan serangan otomatis untuk sistem SAP, kueri terpadu dari halaman perburuan Tingkat Lanjut Defender, dan insiden dan entitas terpadu di seluruh Pertahanan Microsoft dan Microsoft Sentinel.
Untuk informasi selengkapnya, lihat:
- Menyambungkan Microsoft Sentinel ke Pertahanan Microsoft XDR
- Microsoft Sentinel di portal Pertahanan Microsoft
Pelatihan yang direkomendasikan
Konten pelatihan saat ini tidak mencakup platform operasi keamanan terpadu.
Pengantar Microsoft Sentinel
| Pelatihan | Pengantar Microsoft Azure Sentinel |
|---|---|
|
Pelajari bagaimana Microsoft Azure Sentinel memungkinkan Anda untuk mulai mendapatkan wawasan keamanan yang berharga dari data cloud dan lokal Anda dengan cepat. |
Mengonfigurasikan lingkungan Microsoft Sentinel
| Pelatihan | Mengonfigurasi lingkungan Microsoft Azure Sentinel Anda |
|---|---|
|
Mulai menggunakan Microsoft Azure Sentinel dengan mengonfigurasi ruang kerja Microsoft Azure Sentinel dengan benar. |
Membuat dan mengelola ruang kerja Microsoft Azure Sentinel
| Pelatihan | Membuat dan mengelola ruang kerja Microsoft Azure Sentinel |
|---|---|
|
Pelajari arsitektur ruang kerja Microsoft Azure Sentinel untuk memastikan Anda mengonfigurasi sistem guna memenuhi persyaratan operasi keamanan organisasi Anda. |
Langkah selanjutnya
Lanjutkan dengan Langkah 3 untuk mengonfigurasi Microsoft Sentinel untuk menyerap sumber data dan mengonfigurasi deteksi insiden.
Referensi
Lihat tautan ini untuk mempelajari tentang layanan dan teknologi yang disebutkan dalam artikel ini.
| Area layanan | Pelajari lebih lanjut |
|---|---|
| Microsoft Sentinel | - Mulai cepat: Onboard di Microsoft Azure Sentinel - Mengelola akses ke data Microsoft Azure Sentinel berdasarkan sumber daya |
| Tata kelola Microsoft Azure Sentinel | - Mengatur sumber daya Anda dengan grup manajemen - Peran dan izin di Microsoft Sentinel |
| Ruang Kerja Log Analytics | - Mendesain arsitektur ruang kerja Analitik Log - Kriteria desain untuk ruang kerja Analitik Log - Solusi Contoso - Mengelola akses ke ruang kerja Analitik Log - Azure Monitor - Mendesain arsitektur ruang kerja Analitik Log - Membuat ruang kerja Analitik Log |
| Ruang kerja Microsoft Azure Sentinel dan Azure Lighthouse | - Mengelola ruang kerja Microsoft Azure Sentinel dalam skala besar: Granular Azure RBAC - Praktik keamanan yang direkomendasikan |
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk