Share via

Estendere Microsoft Sentinel tra più aree di lavoro e tenant

  • Articolo

Quando si esegue l'onboarding di Microsoft Sentinel, il primo passaggio consiste nel selezionare l'area di lavoro Log Analytics. Sebbene sia possibile sfruttare appieno l'esperienza di Microsoft Sentinel con una singola area di lavoro, in alcuni casi, è possibile estendere l'area di lavoro per eseguire query e analizzare i dati tra aree di lavoro e tenant. Altre informazioni su come Microsoft Sentinel può estendersi tra più aree di lavoro.

Gestire gli eventi imprevisti in più aree di lavoro

Microsoft Sentinel supporta una visualizzazione degli eventi imprevisti in più aree di lavoro in cui è possibile gestire e monitorare centralmente gli eventi imprevisti in più aree di lavoro. La visualizzazione centralizzata degli eventi imprevisti consente di gestire direttamente gli eventi imprevisti o di eseguire il drill-down in modo trasparente ai dettagli dell'evento imprevisto nel contesto dell'area di lavoro di origine.

Eseguire query su più aree di lavoro

È possibile eseguire query su più aree di lavoro, consentendo di cercare e correlare i dati da più aree di lavoro in una singola query.

  • Usare l'espressione workspace( )con l'identificatore dell'area di lavoro come argomento per fare riferimento a una tabella in un'area di lavoro diversa.

    • Per garantire prestazioni appropriate, vedere informazioni importanti sull'uso dei formati di identificatore.

  • Usare l'operatore union insieme all'espressione workspace( ) per applicare una query tra tabelle in più aree di lavoro.

  • È possibile usare le funzioni salvate per semplificare le query tra aree di lavoro. Ad esempio, è possibile abbreviare un riferimento lungo alla tabella SecurityEvent nell'area di lavoro del cliente A salvando l'espressione

    workspace("/subscriptions/<customerA_subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName>").SecurityEvent

    come funzione denominata SecurityEventCustomerA. È quindi possibile eseguire una query sulla tabella SecurityEvent del cliente A con questa funzione: SecurityEventCustomerA | where ... .

  • Una funzione può anche semplificare un'unione comunemente usata. Ad esempio, è possibile salvare l'espressione seguente come funzione denominata unionSecurityEvent:

    union 
workspace("/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName1>").SecurityEvent, 
workspace("/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName2>").SecurityEvent

    È quindi possibile scrivere una query in entrambe le aree di lavoro iniziando con unionSecurityEvent | where ... .

Includere query tra aree di lavoro nelle regole di analisi pianificate

È possibile includere query tra aree di lavoro nelle regole di analisi pianificate. È possibile usare regole di analisi tra aree di lavoro in un SOC centrale e tra tenant (usando Azure Lighthouse), adatti per i provider di servizi gestito. Questo utilizzo è soggetto alle limitazioni seguenti:

  • È possibile includere fino a 20 aree di lavoro in una singola query. Tuttavia, per buone prestazioni, è consigliabile includere non più di 5.
  • È necessario distribuire Microsoft Sentinel in ogni area di lavoro a cui si fa riferimento nella query.
  • Gli avvisi generati da una regola di analisi tra aree di lavoro e gli eventi imprevisti creati da essi esistono solo nell'area di lavoro in cui è stata definita la regola. Gli avvisi non verranno visualizzati in nessuna delle altre aree di lavoro a cui viene fatto riferimento nella query.
  • Una regola di analisi tra aree di lavoro, come qualsiasi regola di analisi, continuerà a essere eseguita anche se l'utente che ha creato la regola perde l'accesso alle aree di lavoro a cui si fa riferimento nella query della regola. L'unica eccezione è nel caso di aree di lavoro in sottoscrizioni e/o tenant diversi rispetto alla regola di analisi.

Gli avvisi e gli eventi imprevisti creati dalle regole di analisi tra aree di lavoro contengono tutte le entità correlate, incluse quelle di tutte le aree di lavoro a cui si fa riferimento e l'area di lavoro "home" (dove è stata definita la regola). In questo modo, gli analisti ottengono un quadro completo degli avvisi e degli eventi imprevisti.

Nota

L'esecuzione di query su più aree di lavoro nella stessa query potrebbe influire sulle prestazioni e pertanto è consigliabile solo quando la logica richiede questa funzionalità.

Usare cartelle di lavoro tra aree di lavoro

Le cartelle di lavoro forniscono dashboard e app a Microsoft Sentinel. Quando si usano più aree di lavoro, le cartelle di lavoro forniscono monitoraggio e azioni tra aree di lavoro.

Le cartelle di lavoro possono fornire query tra aree di lavoro in uno dei tre metodi, adatti a diversi livelli di esperienza dell'utente finale:

Metodo Descrizione Quando devo usare?
Scrivere query tra aree di lavoro L'autore della cartella di lavoro può scrivere query tra aree di lavoro (descritte in precedenza) nella cartella di lavoro. Si vuole che l'autore della cartella di lavoro crei una struttura dell'area di lavoro trasparente per l'utente.
Aggiungere un selettore dell'area di lavoro alla cartella di lavoro L'autore della cartella di lavoro può implementare un selettore dell'area di lavoro come parte della cartella di lavoro. Si vuole consentire all'utente di controllare le aree di lavoro visualizzate dalla cartella di lavoro, con una casella a discesa facile da usare.
Modificare la cartella di lavoro in modo interattivo Un utente avanzato che modifica una cartella di lavoro esistente può modificare le query in esso contenute, selezionando le aree di lavoro di destinazione usando il selettore dell'area di lavoro nell'editor. Si vuole consentire a un utente di modificare facilmente le cartelle di lavoro esistenti in modo che funzionino con più aree di lavoro.

Eseguire la ricerca in più aree di lavoro

Microsoft Sentinel offre esempi di query precaricati progettati per iniziare e acquisire familiarità con le tabelle e il linguaggio di query. I ricercatori della sicurezza Microsoft aggiungono costantemente nuove query predefinite e ottimizzano le query esistenti. È possibile usare queste query per cercare nuovi rilevamenti e identificare i segni di intrusione che gli strumenti di sicurezza potrebbero aver perso.

Le funzionalità di ricerca tra aree di lavoro consentono ai cacciatori di minacce di creare nuove query di ricerca o adattarne di esistenti per coprire più aree di lavoro, usando l'operatore union e l'espressione workspace(), come illustrato in precedenza.

Gestire più aree di lavoro usando l'automazione

Per configurare e gestire più aree di lavoro di Microsoft Sentinel, è necessario automatizzare l'uso dell'API di gestione di Microsoft Sentinel.

  • Informazioni su come automatizzare la distribuzione delle risorse di Microsoft Sentinel, incluse regole di avviso, query di ricerca, cartelle di lavoro e playbook.
  • Informazioni su come distribuire contenuto personalizzato dal repository. Questa risorsa fornisce una metodologia consolidata per la gestione di Microsoft Sentinel come codice e per la distribuzione e la configurazione delle risorse da un repository Azure DevOps o GitHub privato.

Gestire le aree di lavoro tra i tenant tramite Azure Lighthouse

Come accennato in precedenza, in molti scenari, le diverse aree di lavoro di Microsoft Sentinel possono trovarsi in tenant Microsoft Entra diversi. È possibile usare Azure Lighthouse per estendere tutte le attività tra aree di lavoro oltre i limiti del tenant, consentendo agli utenti del tenant di gestire le aree di lavoro di Microsoft Sentinel in tutti i tenant.

Dopo aver eseguito l'onboarding di Azure Lighthouse, usare il selettore di directory e sottoscrizione nel portale di Azure per selezionare tutte le sottoscrizioni contenenti le aree di lavoro da gestire, per assicurarsi che siano tutti disponibili nei diversi selettori dell'area di lavoro nel portale.

Quando si usa Azure Lighthouse, è consigliabile creare un gruppo per ogni ruolo di Microsoft Sentinel e delegare le autorizzazioni da ogni tenant a tali gruppi.

Passaggi successivi

In questo articolo si è appreso come le funzionalità di Microsoft Sentinel possono essere estese in più aree di lavoro e tenant. Per indicazioni pratiche sull'implementazione dell'architettura tra aree di lavoro di Microsoft Sentinel, vedere gli articoli seguenti: