Condividi tramite

Gestire le aree di lavoro di Microsoft Sentinel su larga scala

  • Articolo

Azure Lighthouse consente ai provider di servizi di eseguire operazioni su larga scala tra più tenant Microsoft Entra contemporaneamente, rendendo più efficienti le attività di gestione.

Microsoft Sentinel offre analisi della sicurezza e intelligence sulle minacce, fornendo un'unica soluzione per il rilevamento degli avvisi, la visibilità delle minacce, la ricerca proattiva e la risposta alle minacce. Con Azure Lighthouse è possibile gestire più aree di lavoro di Microsoft Sentinel su larga scala. Ciò consente scenari come l'esecuzione di query su più aree di lavoro o la creazione di cartelle di lavoro per visualizzare e monitorare i dati delle origini dati connesse per ottenere informazioni dettagliate. L'indirizzo IP, ad esempio query e playbook, rimane nel tenant di gestione, ma può essere usato per eseguire la gestione della sicurezza nei tenant dei clienti.

Questo argomento offre una panoramica delle possibilità che Azure Lighthouse offre per l’uso di Microsoft Sentinel in modo scalabile, per ottenere visibilità tra tenant e servizi di sicurezza gestiti.

Suggerimento

Anche se in questo argomento si fa riferimento a provider di servizi e clienti, le linee guida si applicano anche alle aziende che usano Azure Lighthouse per gestire più tenant.

Nota

È possibile gestire le risorse delegate che si trovano in aree diverse. Tuttavia, non è possibile delegare le risorse in un cloud nazionale e nel cloud pubblico di Azure, né in due cloud nazionali separati.

Considerazioni sull'architettura

Per un provider di servizi di sicurezza gestito (MSSP) che vuole creare un'offerta Security-as-a-Service usando Microsoft Sentinel, potrebbe essere necessario un singolo centro operazioni per la sicurezza (SOC) per monitorare, gestire e configurare centralmente più aree di lavoro Microsoft Sentinel distribuite all'interno di singoli tenant del cliente. Analogamente, le aziende con più tenant Microsoft Entra potrebbero voler gestire centralmente più aree di lavoro di Microsoft Sentinel distribuite nei tenant.

Questo modello di gestione centralizzata presenta i vantaggi seguenti:

  • La proprietà dei dati rimane con ogni tenant gestito.
  • Supporta i requisiti per archiviare i dati all'interno dei limiti geografici.
  • Garantisce l'isolamento dei dati, poiché i dati per più clienti non vengono archiviati nella stessa area di lavoro.
  • Impedisce l'esfiltrazione di dati dai tenant gestiti, contribuendo a garantire la conformità dei dati.
  • I costi correlati vengono addebitati a ogni tenant gestito anziché al tenant di gestione.
  • I dati di tutte le origini dati e i connettori dati integrati con Microsoft Sentinel (ad esempio i log attività di Microsoft Entra, i log di Office 365 o gli avvisi di Microsoft Threat Protection) rimangono all'interno di ogni tenant del cliente.
  • Riduce la latenza di rete.
  • È facile aggiungere o rimuovere nuove filiali o clienti.
  • È possibile usare una visualizzazione multi-area di lavoro quando si usa Azure Lighthouse.
  • Per proteggere la proprietà intellettuale, è possibile usare playbook e cartelle di lavoro per operare tra tenant senza condividere il codice direttamente con i clienti. Solo le regole analitiche e di rilevazione dovranno essere salvate direttamente nel tenant di ogni cliente.

Importante

Se le aree di lavoro vengono create solo nei tenant del cliente, anche i provider di risorse Microsoft.SecurityInsights e Microsoft.OperationalInsights devono essere registrati in una sottoscrizione nel tenant di gestione.

Un modello di distribuzione alternativo consiste nel creare un'area di lavoro di Microsoft Sentinel nel tenant di gestione. In questo modello, Azure Lighthouse abilita la raccolta di log dalle origini dati nei tenant gestiti. Esistono tuttavia alcune origini dati che non possono essere connesse tra tenant, ad esempio Microsoft Defender XDR. A causa di questa limitazione, questo modello non è adatto per molti scenari del provider di servizi.

Controllo dettagliato degli accessi in base al ruolo di Azure

Ogni sottoscrizione del cliente gestita da un MSSP deve essere integrata in Azure Lighthouse. In questo modo gli utenti designati nel tenant di gestione possono accedere ed eseguire operazioni di gestione nelle aree di lavoro di Microsoft Sentinel distribuite nei tenant del cliente.

Quando si creano le autorizzazioni, è possibile assegnare ruoli predefiniti di Microsoft Sentinel a utenti, gruppi o entità servizio nel tenant di gestione. I ruoli comuni includono:

È inoltre possibile assegnare altri ruoli predefiniti per eseguire funzioni aggiuntive. Per informazioni sui ruoli specifici che possono essere usati con Microsoft Sentinel, vedere Ruoli e autorizzazioni in Microsoft Sentinel.

Dopo aver eseguito l'onboarding dei clienti, gli utenti designati possono accedere al tenant di gestione e accedere direttamente all'area di lavoro Microsoft Sentinel del cliente con i ruoli assegnati.

Visualizzare e gestire gli eventi imprevisti tra aree di lavoro

Se si usano risorse di Microsoft Sentinel per più clienti, è possibile visualizzare e gestire gli eventi imprevisti in più aree di lavoro su più tenant contemporaneamente. Per altre informazioni, vedere Usare eventi imprevisti in più aree di lavoro contemporaneamente ed Estendere Microsoft Sentinel tra aree di lavoro e tenant.

Nota

Assicurarsi che agli utenti del tenant di gestione siano state assegnate autorizzazioni di lettura e scrittura per tutte le aree di lavoro gestite. Se un utente dispone di autorizzazioni di sola lettura per alcune aree di lavoro, potrebbero comparire messaggi di avviso quando si selezionano eventi imprevisti in tali aree di lavoro, e l'utente non sarà in grado di modificare tali eventi imprevisti o altri eventi selezionati insieme a essi (anche se l'utente dispone delle autorizzazioni di scrittura per gli altri.

Configurare playbook per la mitigazione

I playbook possono essere usati per la mitigazione automatica quando viene attivato un avviso. Questi playbook possono essere eseguiti manualmente oppure possono essere eseguiti automaticamente quando vengono attivati avvisi specifici. I playbook possono essere distribuiti nel tenant di gestione o nel tenant del cliente, con le procedure di risposta configurate, in base alle quali gli utenti del tenant devono intervenire in risposta a una minaccia alla sicurezza.

Creare cartelle di lavoro tra tenant

Le cartelle di lavoro di Monitoraggio di Azure in Microsoft Sentinel consentono di visualizzare e monitorare i dati delle origini dati connesse per ottenere informazioni dettagliate. È possibile usare i modelli di cartella di lavoro predefiniti in Microsoft Sentinel o creare cartelle di lavoro personalizzate per i propri scenari.

È possibile distribuire cartelle di lavoro nel tenant di gestione e creare dashboard su larga scala per monitorare ed eseguire query sui dati nei tenant del cliente. Per altre informazioni, vedere Cartelle di lavoro tra aree di lavoro.

È inoltre possibile distribuire le cartelle di lavoro direttamente in un singolo tenant gestito per scenari specifici del cliente.

Eseguire query di Log Analytics e ricerca in aree di lavoro di Microsoft Sentinel

Creare e salvare query di Log Analytics per il rilevamento delle minacce centralmente nel tenant di gestione, incluse le query di ricerca. Queste query possono essere eseguite in tutte le aree di lavoro di Microsoft Sentinel del cliente usando l'operatore Union e l'espressione workspace().

Per altre informazioni, vedere Eseguire query su più aree di lavoro.

Usare l'automazione per la gestione tra aree di lavoro

È possibile usare l'automazione per gestire più aree di lavoro di Microsoft Sentinel e configurare query di ricerca, playbook e cartelle di lavoro. Per altre informazioni, vedere Gestire più aree di lavoro usando l'automazione.

Monitorare la sicurezza degli ambienti Office 365

Usare Azure Lighthouse con Microsoft Sentinel per monitorare la sicurezza degli ambienti Office 365 tra tenant. Abilitare prima di tutto i connettori dati predefiniti di Office 365 nel tenant gestito. Le informazioni sulle attività di utenti e amministratori in Exchange e SharePoint (incluso OneDrive) possono quindi essere inserite in un'area di lavoro di Microsoft Sentinel all'interno del tenant gestito. Queste informazioni includono dettagli sulle azioni, ad esempio download di file, richieste di accesso inviate, modifiche agli eventi di gruppo e operazioni sulle cassette postali, oltre ai dettagli sugli utenti che hanno eseguito tali azioni. Gli avvisi DLP di Office 365 sono supportati anche come parte del connettore predefinito di Office 365.

Il connettore di Microsoft Defender for Cloud Apps consente di trasmettere avvisi e log di Cloud Discovery in Microsoft Sentinel. Questo connettore offre visibilità sulle app cloud, fornisce analisi sofisticate per identificare e combattere le minacce informatiche e consente di controllare il modo in cui viaggiano i dati. I log attività di Defender for Cloud Apps possono essere consultati usando il Common Event Format (CEF).

Dopo aver configurato i connettori dati di Office 365, è possibile usare funzionalità di Microsoft Sentinel tra tenant, come la visualizzazione e l'analisi dei dati nelle cartelle di lavoro, usando query per creare avvisi personalizzati e configurando playbook per rispondere alle minacce.

Proteggere la proprietà intellettuale

Quando si lavora con i clienti, è possibile proteggere la proprietà intellettuale sviluppata in Microsoft Sentinel, ad esempio le regole di analisi di Microsoft Sentinel, le query di ricerca, i playbook e le cartelle di lavoro. Esistono diversi metodi per garantire che i clienti non abbiano accesso completo al codice usato in queste risorse.

Per altre informazioni, vedere Protezione della proprietà intellettuale MSSP in Microsoft Sentinel.

Passaggi successivi