Microsoft Sentinel uitbreiden tussen werkruimten en tenants

  • Artikel

Wanneer u Microsoft Sentinel onboardt, moet u eerst uw Log Analytics-werkruimte selecteren. Hoewel u het volledige voordeel van de Microsoft Sentinel-ervaring met één werkruimte kunt krijgen, kunt u in sommige gevallen uw werkruimte uitbreiden om uw gegevens op te vragen en te analyseren in werkruimten en tenants. Meer informatie over hoe Microsoft Sentinel meerdere werkruimten kan uitbreiden.

Incidenten beheren in meerdere werkruimten

Microsoft Sentinel biedt ondersteuning voor een incidentweergave met meerdere werkruimten, waar u incidenten centraal kunt beheren en bewaken in meerdere werkruimten. Met de gecentraliseerde incidentweergave kunt u incidenten rechtstreeks beheren of transparant inzoomen op de details van het incident in de context van de oorspronkelijke werkruimte.

Query's uitvoeren op meerdere werkruimten

U kunt query's uitvoeren op meerdere werkruimten, zodat u gegevens uit meerdere werkruimten in één query kunt doorzoeken en correleren.

  • Gebruik de workspace( ) expressie, met de werkruimte-id als het argument, om te verwijzen naar een tabel in een andere werkruimte.

  • Gebruik de samenvoegoperator naast de workspace( ) expressie om een query toe te passen op tabellen in meerdere werkruimten.

  • U kunt opgeslagen functies gebruiken om query's tussen werkruimten te vereenvoudigen. U kunt bijvoorbeeld een lange verwijzing naar de tabel SecurityEvent in de werkruimte van Klant A verkorten door de expressie op te slaan

    workspace("/subscriptions/<customerA_subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName>").SecurityEvent

    als een functie die wordt aangeroepen SecurityEventCustomerA. Vervolgens kunt u een query uitvoeren op de securityEvent-tabel van Klant A met deze functie: SecurityEventCustomerA | where ... .

  • Een functie kan ook een veelgebruikte samenvoeging vereenvoudigen. U kunt bijvoorbeeld de volgende expressie opslaan als een functie met de naam unionSecurityEvent:

    union 
workspace("/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName1>").SecurityEvent, 
workspace("/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName2>").SecurityEvent

    U kunt vervolgens een query schrijven in beide werkruimten door te beginnen met unionSecurityEvent | where ... .

Query's voor meerdere werkruimten opnemen in geplande analyseregels

U kunt query's voor meerdere werkruimten opnemen in geplande analyseregels. U kunt analyseregels voor meerdere werkruimten gebruiken in een centrale SOC en tussen tenants (met behulp van Azure Lighthouse), geschikt voor MSSP's. Dit gebruik is onderhevig aan de volgende beperkingen:

  • U kunt maximaal 20 werkruimten opnemen in één query. Voor goede prestaties raden we echter aan niet meer dan 5 op te geven.
  • U moet Microsoft Sentinel implementeren in elke werkruimte waarnaar in de query wordt verwezen.
  • Waarschuwingen die worden gegenereerd door een analyseregel voor meerdere werkruimten en de incidenten die daaruit zijn gemaakt, bestaan alleen in de werkruimte waarin de regel is gedefinieerd. De waarschuwingen worden niet weergegeven in een van de andere werkruimten waarnaar in de query wordt verwezen.
  • Een analyseregel voor meerdere werkruimten, zoals elke analyseregel, blijft actief, zelfs als de gebruiker die de regel heeft gemaakt, geen toegang meer heeft tot werkruimten waarnaar wordt verwezen in de query van de regel. De enige uitzondering hierop is in het geval van werkruimten in verschillende abonnementen en/of tenants dan de analyseregel.

Waarschuwingen en incidenten die zijn gemaakt door analyseregels voor meerdere werkruimten, bevatten alle gerelateerde entiteiten, inclusief waarschuwingen en incidenten van alle werkruimten waarnaar wordt verwezen en de 'thuiswerkruimte' (waar de regel is gedefinieerd). Op deze manier krijgen analisten een volledig beeld van waarschuwingen en incidenten.

Notitie

Het uitvoeren van query's op meerdere werkruimten in dezelfde query kan van invloed zijn op de prestaties en wordt daarom alleen aanbevolen wanneer deze functionaliteit is vereist voor de logica.

Werkmappen voor meerdere werkruimten gebruiken

Werkmappen bieden dashboards en apps aan Microsoft Sentinel. Wanneer u met meerdere werkruimten werkt, bieden werkmappen bewaking en acties in werkruimten.

Werkmappen kunnen query's voor meerdere werkruimten bieden in een van de drie methoden die geschikt zijn voor verschillende niveaus van expertise van eindgebruikers:

Methode Omschrijving Wanneer moet ik gebruiken?
Query's voor meerdere werkruimten schrijven De maker van de werkmap kan query's voor meerdere werkruimten schrijven (hierboven beschreven) in de werkmap. Ik wil dat de maker van de werkmap een werkruimtestructuur maakt die transparant is voor de gebruiker.
Een werkruimtekiezer toevoegen aan de werkmap De maker van de werkmap kan een werkruimtekiezer implementeren als onderdeel van de werkmap. Ik wil de gebruiker toestaan om de werkruimten te beheren die door de werkmap worden weergegeven, met een gebruiksvriendelijke vervolgkeuzelijst.
De werkmap interactief bewerken Een geavanceerde gebruiker die een bestaande werkmap wijzigt, kan de query's erin bewerken en de doelwerkruimten selecteren met behulp van de werkruimtekiezer in de editor. Ik wil een power-gebruiker toestaan om eenvoudig bestaande werkmappen te wijzigen zodat ze met meerdere werkruimten kunnen werken.

Meerdere werkruimten opsporen

Microsoft Sentinel biedt vooraf geladen queryvoorbeelden die zijn ontworpen om u op weg te helpen en vertrouwd te raken met de tabellen en de querytaal. Microsoft-beveiligingsonderzoekers voegen voortdurend nieuwe ingebouwde query's toe en stellen bestaande query's nauwkeurig af. U kunt deze query's gebruiken om te zoeken naar nieuwe detecties en om binnendringingssignalen te identificeren die uw beveiligingshulpprogramma's mogelijk hebben gemist.

Met opsporingsmogelijkheden voor meerdere werkruimten kunnen uw opsporingsjagers nieuwe opsporingsquery's maken of bestaande query's aanpassen om meerdere werkruimten te behandelen, met behulp van de samenvoegoperator en de expressie workspace() zoals hierboven wordt weergegeven.

Meerdere werkruimten beheren met automatisering

Als u meerdere Microsoft Sentinel-werkruimten wilt configureren en beheren, moet u het gebruik van de Microsoft Sentinel-beheer-API automatiseren.

Werkruimten beheren tussen tenants met behulp van Azure Lighthouse

Zoals hierboven vermeld, kunnen in veel scenario's de verschillende Microsoft Sentinel-werkruimten zich in verschillende Microsoft Entra-tenants bevinden. U kunt Azure Lighthouse gebruiken om alle activiteiten tussen werkruimten over tenantgrenzen uit te breiden, zodat gebruikers in uw beheertenant kunnen werken aan Microsoft Sentinel-werkruimten in alle tenants.

Zodra Azure Lighthouse is onboarded, gebruikt u de map + abonnementskiezer in Azure Portal om alle abonnementen te selecteren die werkruimten bevatten die u wilt beheren, om ervoor te zorgen dat ze allemaal beschikbaar zijn in de verschillende werkruimtekiezers in de portal.

Wanneer u Azure Lighthouse gebruikt, is het raadzaam om een groep te maken voor elke Microsoft Sentinel-rol en machtigingen van elke tenant naar die groepen te delegeren.

Volgende stappen

In dit artikel hebt u geleerd hoe de mogelijkheden van Microsoft Sentinel kunnen worden uitgebreid in meerdere werkruimten en tenants. Zie de volgende artikelen voor praktische richtlijnen voor het implementeren van de architectuur voor meerdere werkruimten van Microsoft Sentinel: