大規模な Microsoft Sentinel ワークスペースの管理

  • [アーティクル]

Azure Lighthouse を使うと、サービス プロバイダーは一度に複数の Microsoft Entra テナントに対して大規模に操作を実行できるため、管理タスクがより効率的になります。

Microsoft Sentinel によって、セキュリティ分析と脅威インテリジェンスを提供し、アラートの検出、脅威の可視性、プロアクティブハンティング、脅威への対応のための 1 つのソリューションが提供されます。 Azure Lighthouse を使用すると、テナントをまたぐ複数の Microsoft Sentinel ワークスペースにわたって大規模な管理を行うことができます。 これにより、複数のワークスペースでクエリを実行、あるいはブックを作成し、接続されたデータ ソースからのデータを視覚化および監視して洞察を得るなどのシナリオが実現します。 クエリやプレイブックなどの IP は管理テナントに残りますが、顧客テナントでセキュリティ管理を実行するために使用できます。

このトピックでは、Azure LighthouseでMicrosoft Sentinelを拡張的に使用して、クロステナントの可視化とマネージドセキュリティサービスを提供する方法の概要を説明します。

ヒント

このトピックではサービスのプロバイダーと顧客について触れますが、このガイドラインは、Azure Lighthouse を使用して複数のテナントを管理する企業にも当てはまります。

注意

別のリージョンにある委任されたリソースを管理することができます。 ただし、各国のクラウドと Azure パブリック クラウドをまたぐ、または 2 つの別々の国内クラウド間で、リソースの委任はできません。

アーキテクチャに関する考慮事項

Microsoft Sentinel を使用して、Security-as-a-Serviceを構築しようとする必要があるマネージド セキュリティ サービス プロバイダー (MSSP) の場合、個々のお客様のテナント内にデプロイされた複数の Microsoft Sentinel ワークスペースを一元的に監視、管理、構成するために単一のセキュリティ オペレーション センター (SOC) が必要になることがあります。 同様に、複数の Microsoft Entra テナントを持つ企業では、テナントをまたいでデプロイされた複数の Microsoft Sentinel ワークスペースを一元的に管理することが必要な場合があります。

この集中管理モデルルには、次のような利点があります:

  • データの所有権は管理対象の各テナントに残ります。
  • 地理的境界内にデータを格納するための要件がサポートされます。
  • 複数の顧客のデータが同じワークスペースに格納されないため、データの分離が保証されます。
  • 管理対象テナントからのデータ窃盗を防ぐことができ、データのコンプライアンスを確保するのに役立ちます。
  • 関連コストは、管理テナントではなく、各管理対象テナントに請求されます。
  • Microsoft Sentinel と統合されているすべてのデータ ソースとデータ コネクタからのデータ (Microsoft Entra のアクティビティ ログ、Office 365 のログ、Microsoft Threat Protection のアラートなど) は、各顧客のテナント内に残ります。
  • ネットワーク待機時間が短縮されます。
  • 新しい子会社または顧客を簡単に追加または削除できます。
  • Azure Lighthouse を通じて作業するときに、複数のワークスペース ビューを使用できます。
  • 知的財産を保護するために、プレイブックとブックを使用して、顧客と直接コードを共有せずにテナント間で作業できます。 各顧客のテナントに直接保存する必要があるのは、分析と検出のルールのみです。

重要

ワークスペースが顧客テナントでのみ作成される場合は、Microsoft.Securityインサイト および Microsoft.Operationalインサイト リソース プロバイダーも、管理テナントのサブスクリプションに登録する必要があります

別のデプロイ モデルでは、管理テナントに 1 つの Microsoft Sentinel ワークスペースを作成します。 このモデルでは、Azure Lighthouse を使用して、管理対象テナント全体でデータ ソースからログを収集できます。 ただし、Microsoft Defender XDR など、テナント間で接続できないデータ ソースがいくつかあります。 この制限のため、このモデルは多くのサービス プロバイダーのシナリオには適していません。

詳細な Azure ロールベースのアクセス制御 (Azure RBAC)

MSSP によって管理される各顧客サブスクリプションは、Azure Lighthouse にオンボードする必要があります。 これにより、管理テナントの指定されたユーザーは、顧客テナントにデプロイされた Microsoft Sentinel ワークスペースにアクセスして管理操作を実行できます。

承認の作成時に、管理テナントのユーザー、グループ、またはサービス プリンシパルに Microsoft Sentinel の組み込みロールを割り当てることができます。

追加機能を実行するために、組み込みロールをさらに割り当てることもできます。 Microsoft Sentinel で使用できる特定のロールについては、Microsoft Sentinel のロールと権限をご覧ください。

顧客がオンボードされたら、指定されたユーザーは管理テナントにログインし、割り当てられたロールを使用して顧客の Microsoft Sentinel ワークスペースに直接アクセスできます。

ワークスペース全体のインシデントを表示および管理する

複数のお客様のMicrosoft Sentinelリソースを使用すると、異なるテナントにわたる複数のワークスペースのインシデントを一度に表示または管理できます。 詳細については、「多くのワークスペースのインシデントを一度に操作する」と「ワークスペースおよびテナント全体での Microsoft Sentinel の拡張」を参照してください。

注意

管理テナント内のユーザーに、管理されているすべてのワークスペースに対する読み取り権限または書き込み権限の両方が割り当てられていることを確認してください。 ユーザーが一部のワークスペースに対する読み取り権限しか持っていない場合、それらのワークスペースでインシデントを選択するときに警告メッセージが表示されることはあり、そのインシデントや、一緒に選択した他のインシデントを修正することはできません(他のワークスペースに対する書き込み権限がある場合でも) 。

軽減のためにプレイブックを構成する

プレイブックは、アラートがトリガーされたときに自動的に軽減するために使用できます。 これらのプレイブックは、手動で実行することも、特定のアラートがトリガーされたときに自動的に実行することもできます。 プレイブックは、管理テナントまたはお客様のテナントにデプロイできます。その対応手順は、セキュリティの脅威に対応するためにどのテナントのユーザーがアクションを起こすかにより構成されます。

テナント間のブックを作成する

Microsoft Sentinel の Azure Monitor ブックは、接続されたデータ ソースからのデータを視覚化および監視して分析情報を得るのに役立ちます。 Microsoft Sentinel で組み込みのブック テンプレートを使用することも、シナリオに合わせてカスタム ブックを作成することもできます。

管理テナントでブックをデプロイし、顧客テナント全体のデータを監視およびクエリするために大規模なダッシュボードを作成することができます。 詳細については、クロスワークスペース ブックに関する記事を参照してください。

また、そのお客様固有のシナリオのために、個々の管理テナントに直接ブックを展開することもできます。

Microsoft Sentinel ワークスペースをまたいで Log Analytics とハンティング クエリを実行する

脅威検出のために Log Analytics クエリを作成し、管理テナントで一元的に保存します (ハンティング クエリ を含む)。 その後、これらのクエリは、Union 演算子と workspace() 式を使用することで、お客様のすべての Microsoft Sentinel ワークスペースで実行できます。

詳細については、「ワークスペース間のクエリ」を参照してください。

ワークスペース間の管理にオートメーションを使用する

オートメーションを使用して複数の Microsoft Sentinel ワークスペースを管理し、ハンティング クエリ、プレイブック、ブックを構成することができます。 詳細については、「オートメーションを使用するワークスペース間の管理」を参照してください。

Office 365 環境のセキュリティを監視する

複数のテナントにわたって Office 365 環境のセキュリティを監視するには、Azure Lighthouse と Microsoft Sentinel を組み合わせて使用します。 まず、マネージド テナントですぐに使えるOffice 365データ コネクタを有効にします。 Exchange と SharePoint (OneDrive を含む) でのユーザーと管理者のアクティビティに関する情報は、マネージドテナント内の Microsoft Sentinel ワークスペースに取り込むことができます。 この情報には、ファイルのダウンロード、送信されたアクセス要求、グループ イベントへの変更、メールボックスの操作などのアクションの詳細と、それらのアクションを実行したユーザーの情報が含まれます。 Office 365 DLP アラートも、組み込みの Office 365 コネクタの一部としてサポートされています。

Microsoft Defender For Cloud Apps コネクタを使用して、アラートや Cloud Discovery のログを Microsoft Sentinel にストリーミングできます。 このコネクタでは、クラウド アプリを可視化し、サイバー脅威を特定して対処するための高度な分析、データの移動方法を制御できるようになります。 Defender for Cloud Apps のアクティビティ ログは Common Event Format (CEF) を介して使用することができます

Office 365 データ コネクタのセットアップが完了すると、ワークブック内のデータの表示と分析、クエリを使用したカスタム アラートの作成、脅威に対応するためのプレイブックの構成など、クロステナントの Microsoft Sentinel 機能を使用できるようになります。

知的財産を保護する

顧客と協力して作業をする場合、Microsoft Sentinel で開発した知的財産 (Microsoft Sentinel 分析ルール、ハンティング クエリ、プレイブック、ブックなど) の保護が必要になることがあります。 これらのリソースで使用されているコードに対して、お客様が完全なアクセス権を持たないようにするために、さまざまな方法を使用できます。

詳細については、「Microsoft Sentinel で MSSP の知的財産権を保護する」を参照してください。

次の手順