Gestire le aree di lavoro di Microsoft Sentinel su larga scala

  • Articolo

Azure Lighthouse consente ai provider di servizi di eseguire operazioni su larga scala in più tenant di Microsoft Entra contemporaneamente, rendendo più efficienti le attività di gestione.

Microsoft Sentinel offre analisi della sicurezza e intelligence sulle minacce, offrendo una singola soluzione per il rilevamento degli avvisi, la visibilità delle minacce, la ricerca proattiva e la risposta alle minacce. Con Azure Lighthouse è possibile gestire più aree di lavoro di Microsoft Sentinel su larga scala. Ciò consente scenari come l'esecuzione di query in più aree di lavoro o la creazione di cartelle di lavoro per visualizzare e monitorare i dati dalle origini dati connesse per ottenere informazioni dettagliate. L'indirizzo IP, ad esempio query e playbook, rimane nel tenant di gestione, ma può essere usato per eseguire la gestione della sicurezza nei tenant dei clienti.

Questo argomento offre una panoramica del modo in cui Azure Lighthouse consente di usare Microsoft Sentinel in modo scalabile per la visibilità tra tenant e i servizi di sicurezza gestiti.

Suggerimento

Anche se si fa riferimento a provider di servizi e clienti in questo argomento, queste linee guida si applicano anche alle aziende che usano Azure Lighthouse per gestire più tenant.

Nota

È possibile gestire le risorse delegate che si trovano in aree diverse. Tuttavia, non è possibile delegare le risorse in un cloud nazionale e nel cloud pubblico di Azure o in due cloud nazionali separati.

Considerazioni sull'architettura

Per un provider di servizi di sicurezza gestito (MSSP) che vuole creare un'offerta Security-as-a-Service usando Microsoft Sentinel, potrebbe essere necessario un singolo centro operativo per la sicurezza (SOC) per monitorare, gestire e configurare centralmente più aree di lavoro di Microsoft Sentinel distribuite all'interno di singoli tenant dei clienti. Analogamente, le aziende con più tenant di Microsoft Entra possono voler gestire centralmente più aree di lavoro di Microsoft Sentinel distribuite nei tenant.

Questo modello di gestione centralizzata presenta i vantaggi seguenti:

  • La proprietà dei dati rimane con ogni tenant gestito.
  • Supporta i requisiti per archiviare i dati all'interno dei limiti geografici.
  • Garantisce l'isolamento dei dati, poiché i dati per più clienti non vengono archiviati nella stessa area di lavoro.
  • Impedisce l'esfiltrazione dei dati dai tenant gestiti, contribuendo a garantire la conformità dei dati.
  • I costi correlati vengono addebitati a ogni tenant gestito anziché al tenant di gestione.
  • I dati di tutte le origini dati e i connettori dati integrati con Microsoft Sentinel (ad esempio i log attività di Microsoft Entra, i log di Office 365 o gli avvisi di Microsoft Threat Protection) rimarranno all'interno di ogni tenant del cliente.
  • Riduce la latenza di rete.
  • Facile da aggiungere o rimuovere nuove filiali o clienti.
  • È possibile usare una visualizzazione multi-area di lavoro quando si usa Azure Lighthouse.
  • Per proteggere la proprietà intellettuale, è possibile usare playbook e cartelle di lavoro per lavorare tra tenant senza condividere il codice direttamente con i clienti. Solo le regole analitiche e di ricerca dovranno essere salvate direttamente nel tenant di ogni cliente.

Importante

Se le aree di lavoro vengono create solo nei tenant dei clienti, anche i provider di risorse Microsoft.SecurityInsights & Microsoft.OperationalInsights devono essere registrati in una sottoscrizione nel tenant di gestione.

Un modello di distribuzione alternativo consiste nel creare un'area di lavoro di Microsoft Sentinel nel tenant di gestione. In questo modello Azure Lighthouse abilita la raccolta di log dalle origini dati nei tenant gestiti. Esistono tuttavia alcune origini dati che non possono essere connesse tra tenant, ad esempio Microsoft Defender XDR. A causa di questa limitazione, questo modello non è adatto per molti scenari del provider di servizi.

Controllo degli accessi in base al ruolo di Azure granulare

Ogni sottoscrizione del cliente gestita da un MSSP deve essere onboarding in Azure Lighthouse. In questo modo gli utenti designati nel tenant di gestione possono accedere ed eseguire operazioni di gestione nelle aree di lavoro di Microsoft Sentinel distribuite nei tenant dei clienti.

Quando si creano le autorizzazioni, è possibile assegnare i ruoli predefiniti di Microsoft Sentinel a utenti, gruppi o entità servizio nel tenant di gestione:

È anche possibile assegnare ruoli predefiniti aggiuntivi per eseguire funzioni aggiuntive. Per informazioni su ruoli specifici che possono essere usati con Microsoft Sentinel, vedere Ruoli e autorizzazioni in Microsoft Sentinel.

Dopo aver eseguito l'onboarding dei clienti, gli utenti designati possono accedere al tenant di gestione e accedere direttamente all'area di lavoro di Microsoft Sentinel del cliente con i ruoli assegnati.

Visualizzare e gestire gli eventi imprevisti tra aree di lavoro

Se si usano risorse di Microsoft Sentinel per più clienti, è possibile visualizzare e gestire gli eventi imprevisti in più aree di lavoro in più tenant contemporaneamente. Per altre informazioni, vedere Usare eventi imprevisti in più aree di lavoro contemporaneamente ed estendere Microsoft Sentinel tra aree di lavoro e tenant.

Nota

Assicurarsi che agli utenti del tenant di gestione siano state assegnate autorizzazioni di lettura e scrittura per tutte le aree di lavoro di gestione. Se un utente dispone solo di autorizzazioni di lettura per alcune aree di lavoro, i messaggi di avviso possono essere visualizzati quando si selezionano eventi imprevisti in tali aree di lavoro e l'utente non sarà in grado di modificare tali eventi imprevisti o altri eventi selezionati insieme a essi (anche se l'utente dispone delle autorizzazioni di scrittura per gli altri utenti).

Configurare playbook per la mitigazione

I playbook possono essere usati per la mitigazione automatica quando viene attivato un avviso. Questi playbook possono essere eseguiti manualmente oppure possono essere eseguiti automaticamente quando vengono attivati avvisi specifici. I playbook possono essere distribuiti nel tenant di gestione o nel tenant del cliente, con le procedure di risposta configurate in base alle quali gli utenti del tenant devono intervenire in risposta a una minaccia alla sicurezza.

Creare cartelle di lavoro tra tenant

Le cartelle di lavoro di Monitoraggio di Azure in Microsoft Sentinel consentono di visualizzare e monitorare i dati dalle origini dati connesse per ottenere informazioni dettagliate. È possibile usare i modelli di cartella di lavoro predefiniti in Microsoft Sentinel o creare cartelle di lavoro personalizzate per gli scenari.

È possibile distribuire cartelle di lavoro nel tenant di gestione e creare dashboard su larga scala per monitorare ed eseguire query sui dati nei tenant dei clienti. Per altre informazioni, vedere Cartelle di lavoro tra aree di lavoro.

È anche possibile distribuire le cartelle di lavoro direttamente in un singolo tenant gestito per scenari specifici del cliente.

Eseguire query di Log Analytics e ricerca in aree di lavoro di Microsoft Sentinel

Creare e salvare query di Log Analytics per il rilevamento delle minacce centralmente nel tenant di gestione, incluse le query di ricerca. Queste query possono essere eseguite in tutte le aree di lavoro di Microsoft Sentinel dei clienti usando l'operatore Union e l'espressione workspace().

Per altre informazioni, vedere Query tra aree di lavoro.

Usare l'automazione per la gestione tra aree di lavoro

È possibile usare l'automazione per gestire più aree di lavoro di Microsoft Sentinel e configurare query di ricerca, playbook e cartelle di lavoro. Per altre informazioni, vedere Gestione tra aree di lavoro tramite l'automazione.

Monitorare la sicurezza degli ambienti di Office 365

Usare Azure Lighthouse insieme a Microsoft Sentinel per monitorare la sicurezza degli ambienti di Office 365 tra i tenant. Prima di tutto, abilitare i connettori dati predefiniti di Office 365 nel tenant gestito. Le informazioni sulle attività di utenti e amministratori in Exchange e SharePoint (incluso OneDrive) possono quindi essere inserite in un'area di lavoro di Microsoft Sentinel all'interno del tenant gestito. Queste informazioni includono informazioni dettagliate sulle azioni, ad esempio download di file, richieste di accesso inviate, modifiche agli eventi di gruppo e operazioni sulle cassette postali, insieme ai dettagli sugli utenti che hanno eseguito tali azioni. Gli avvisi DLP di Office 365 sono supportati anche come parte del connettore predefinito di Office 365.

È possibile usare il connettore Microsoft Defender per il cloud Apps per trasmettere avvisi e log di Cloud Discovery in Microsoft Sentinel. Questo connettore offre visibilità sulle app cloud, offre analisi sofisticate per identificare e combattere le minacce informatiche e consente di controllare il modo in cui viaggiano i dati. I log attività per le app Defender per il cloud possono essere utilizzati usando common event format (CEF).

Dopo aver configurato i connettori dati di Office 365, è possibile usare funzionalità di Microsoft Sentinel tra tenant, ad esempio la visualizzazione e l'analisi dei dati nelle cartelle di lavoro, usando query per creare avvisi personalizzati e configurando playbook per rispondere alle minacce.

Proteggere la proprietà intellettuale

Quando si lavora con i clienti, è possibile proteggere la proprietà intellettuale sviluppata in Microsoft Sentinel, ad esempio le regole di analisi di Microsoft Sentinel, le query di ricerca, i playbook e le cartelle di lavoro. Esistono diversi metodi che è possibile usare per garantire che i clienti non abbiano accesso completo al codice usato in queste risorse.

Per altre informazioni, vedere Protezione della proprietà intellettuale MSSP in Microsoft Sentinel.

Passaggi successivi