Stap 2. Uw Microsoft Sentinel-werkruimte ontwerpen
Het implementeren van de Microsoft Sentinel-omgeving omvat het ontwerpen van een werkruimteconfiguratie om te voldoen aan uw beveiligings- en nalevingsvereisten. Het inrichtingsproces omvat het maken van Log Analytics-werkruimten en het configureren van de juiste Microsoft Sentinel-opties.
Dit artikel bevat aanbevelingen voor het ontwerpen en implementeren van Microsoft Sentinel-werkruimten voor de principes van Zero Trust.
Stap 1: Een governancestrategie ontwerpen
Als uw organisatie veel Azure-abonnementen heeft, hebt u mogelijk een manier nodig om de toegang, beleidsregels en naleving voor deze abonnementen efficiënt te beheren. Beheergroepen bieden een beheerbereik voor abonnementen. Wanneer u uw abonnementen in beheergroepen ordent, zijn de governancevoorwaarden die u configureert voor een beheergroep van toepassing op de abonnementen die deze bevat. Zie Uw resources organiseren met beheergroepen voor meer informatie.
De Microsoft Sentinel-werkruimte in het volgende diagram bevindt zich bijvoorbeeld in het beveiligingsabonnement onder de platformbeheergroep , die deel uitmaakt van de Microsoft Entra ID-tenant.
Het Beveiligings-Azure-abonnement en de Microsoft Sentinel-werkruimte nemen het op rollen gebaseerde toegangsbeheer (RBAC) en Azure-beleid over dat wordt toegepast op de platformbeheergroep.
Stap 2: Log Analytics-werkruimten maken
Als u Microsoft Sentinel wilt gebruiken, moet u eerst uw Log Analytics-werkruimten maken. Een enkele Log Analytics-werkruimte is mogelijk voldoende voor veel omgevingen, maar veel organisaties maken meerdere werkruimten om de kosten te optimaliseren en beter te voldoen aan verschillende zakelijke vereisten.
Het is een best practice om afzonderlijke werkruimten te maken voor de operationele en beveiligingsgegevens voor gegevenseigendom en kostenbeheer voor Microsoft Sentinel. Als er bijvoorbeeld meer dan één persoon is die operationele en beveiligingsrollen beheert, is uw eerste beslissing voor Zero Trust of u afzonderlijke werkruimten voor deze rollen wilt maken.
Het geïntegreerde platform voor beveiligingsbewerkingen, dat toegang biedt tot Microsoft Sentinel in de Defender-portal, ondersteunt slechts één werkruimte.
Zie de voorbeeldoplossing van Contoso voor afzonderlijke werkruimten voor bewerkings- en beveiligingsrollen voor meer informatie.
Overwegingen bij het ontwerpen van Log Analytics-werkruimten
Voor één tenant zijn er twee manieren waarop Microsoft Sentinel-werkruimten kunnen worden geconfigureerd:
Eén tenant met één Log Analytics-werkruimte. In dit geval wordt de werkruimte de centrale opslagplaats voor logboeken voor alle resources binnen de tenant.
Voordelen:
- Centrale samenvoeging van logboeken.
- Eenvoudiger om query's uit te voeren op informatie.
- Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) om de toegang tot Log Analytics en Microsoft Sentinel te beheren. Zie Toegang tot Log Analytics-werkruimten beheren - Azure Monitor en rollen en machtigingen in Microsoft Sentinel voor meer informatie.
Nadelen:
- Voldoet mogelijk niet aan governancevereisten.
- Er zijn kosten voor bandbreedte tussen regio's.
Eén tenant met regionale Log Analytics-werkruimten.
Voordelen:
- Geen bandbreedtekosten voor meerdere regio's.
- Het kan nodig zijn om te voldoen aan governance.
- Gedetailleerd toegangsbeheer voor gegevens.
- Gedetailleerde bewaarinstellingen.
- Facturering splitsen.
Nadelen:
- Geen centraal venster van glas.
- Analyse, werkmappen en andere configuraties moeten meerdere keren worden geïmplementeerd.
Zie Een Log Analytics-werkruimtearchitectuur ontwerpen voor meer informatie.
Stap 3: De Microsoft Sentinel-werkruimte ontwerpen
Voor onboarding van Microsoft Sentinel moet u een Log Analytics-werkruimte selecteren. Hier volgen overwegingen voor het instellen van Log Analytics voor Microsoft Sentinel:
Maak een beveiligingsresourcegroep voor beheerdoeleinden, waarmee u Microsoft Sentinel-resources en op rollen gebaseerde toegang tot de verzameling kunt isoleren. Zie Een Log Analytics-werkruimtearchitectuur ontwerpen voor meer informatie.
Maak een Log Analytics-werkruimte in de beveiligingsresourcegroep en onboard microsoft Sentinel erin. Hierdoor krijgt u automatisch 31 dagen aan gegevensopname tot 10 Gb per dag gratis als onderdeel van een gratis proefversie.
Stel uw Log Analytics-werkruimte in die Microsoft Sentinel ondersteunt op minimaal 90 dagen .
Zodra u Microsoft Sentinel onboardt naar een Log Analytics-werkruimte, krijgt u 90 dagen aan gegevensretentie zonder extra kosten en zorgt u voor een rollover van logboekgegevens van 90 dagen. Er worden kosten in rekening gebracht voor de totale hoeveelheid gegevens in de werkruimte na 90 dagen. U kunt overwegen logboekgegevens langer te bewaren op basis van overheidsvereisten. Zie Log Analytics-werkruimten en quickstart maken voor meer informatie: Onboarden in Microsoft Sentinel.
Zero Trust met Microsoft Sentinel
Als u architectuur zonder vertrouwen wilt implementeren, kunt u overwegen om de werkruimte uit te breiden om uw gegevens op te vragen en te analyseren in werkruimten en tenants. Gebruik voorbeeldwerkruimten van Microsoft Sentinel en Breid Microsoft Sentinel uit in werkruimten en tenants om het beste werkruimteontwerp voor uw organisatie te bepalen.
Gebruik bovendien de prescriptieve richtlijnen voor cloudrollen en Operations Management en het Bijbehorende Excel-spreadsheet (download). In deze handleiding zijn de Zero Trust-taken die u moet overwegen voor Microsoft Sentinel:
- Definieer Microsoft Sentinel RBAC-rollen met gekoppelde Microsoft Entra-groepen.
- Controleer of de geïmplementeerde toegangsprocedures voor Microsoft Sentinel nog steeds voldoen aan de vereisten van uw organisatie.
- Overweeg het gebruik van door de klant beheerde sleutels.
Zero Trust met RBAC
Om te voldoen aan Zero Trust, raden we u aan Om Azure RBAC te configureren op basis van de resources die aan uw gebruikers zijn toegestaan in plaats van hen toegang te geven tot de hele Microsoft Sentinel-omgeving.
De volgende tabel bevat enkele van de specifieke Rollen van Microsoft Sentinel.
Rolnaam | Beschrijving |
---|---|
Microsoft Sentinel Reader | Gegevens, incidenten, werkmappen en andere Microsoft Sentinel-resources weergeven. |
Microsoft Sentinel Responder | Naast de mogelijkheden van de rol Microsoft Sentinel Reader, beheert u incidenten (toewijzen, negeren, enzovoort). Deze rol is van toepassing op gebruikerstypen beveiligingsanalisten. |
Microsoft Sentinel Playbook Operator | Playbooks weergeven, weergeven en handmatig uitvoeren. Deze rol is ook van toepassing op gebruikerstypen beveiligingsanalisten. Deze rol is bedoeld voor het verlenen van een Microsoft Sentinel-responder aan de mogelijkheid om Microsoft Sentinel-playbooks uit te voeren met de minste bevoegdheid. |
Microsoft Sentinel-inzender | Naast de mogelijkheden van de rol Microsoft Sentinel Playbook Operator, kunt u werkmappen, analyseregels en andere Microsoft Sentinel-resources maken en bewerken. Deze rol is van toepassing op gebruikerstypen beveiligingstechnici. |
Inzender voor Microsoft Sentinel Automation | Hiermee kan Microsoft Sentinel playbooks toevoegen aan automatiseringsregels. Het is niet bedoeld voor gebruikersaccounts. |
Wanneer u Microsoft Sentinel-specifieke Azure-rollen toewijst, kunt u andere Azure- en Log Analytics-rollen tegenkomen die voor andere doeleinden aan gebruikers zijn toegewezen. De rollen Log Analytics-inzender en Log Analytics Reader verlenen bijvoorbeeld toegang tot een Log Analytics-werkruimte.
Zie Rollen en machtigingen in Microsoft Sentinel en Toegang tot Microsoft Sentinel-gegevens beheren per resource voor meer informatie.
Zero Trust in multitenant architecturen met Azure Lighthouse
Azure Lighthouse maakt multitenant-beheer mogelijk met schaalbaarheid, hogere automatisering en verbeterde governance tussen resources. Met Azure Lighthouse kunt u meerdere Microsoft Sentinel-exemplaren op schaal beheren in Microsoft Entra-tenants. Hier volgt een voorbeeld.
Met Azure Lighthouse kunt u query's uitvoeren in meerdere werkruimten of werkmappen maken om gegevens uit uw verbonden gegevensbronnen te visualiseren en te bewaken en extra inzicht te krijgen. Het is belangrijk om de principes van Zero Trust te overwegen. Zie Aanbevolen beveiligingsprocedures voor het implementeren van besturingselementen voor toegang tot minimale bevoegdheden voor Azure Lighthouse.
Houd rekening met de volgende vragen bij het implementeren van aanbevolen beveiligingsprocedures voor Azure Lighthouse:
- Wie is verantwoordelijk voor het eigendom van gegevens?
- Wat zijn de vereisten voor gegevensisolatie en naleving?
- Hoe implementeert u de minste bevoegdheden voor tenants?
- Hoe worden meerdere gegevensconnectors in meerdere Microsoft Sentinel-werkruimten beheerd?
- Office 365-omgevingen bewaken
- Intellectuele eigenschappen beveiligen, bijvoorbeeld playbooks, notebooks, analyseregels voor tenants?
Zie Microsoft Sentinel-werkruimten op schaal beheren: Gedetailleerde Azure RBAC voor de aanbevolen beveiligingsprocedures van Microsoft Sentinel en Azure Lighthouse.
Uw werkruimte onboarden naar het geïntegreerde platform voor beveiligingsbewerkingen
Als u met één werkruimte werkt, raden we u aan uw werkruimte te onboarden op het geïntegreerde platform voor beveiligingsbewerkingen om al uw Microsoft Sentinel-gegevens samen met XDR-gegevens weer te geven in de Microsoft Defender-portal.
Het geïntegreerde platform voor beveiligingsbewerkingen biedt ook verbeterde mogelijkheden, zoals automatische aanvalsonderbreking voor SAP-systeem, geïntegreerde query's van de Defender Advanced-opsporingspagina en geïntegreerde incidenten en entiteiten in zowel Microsoft Defender als Microsoft Sentinel.
Zie voor meer informatie:
- Microsoft Sentinel verbinden met Microsoft Defender XDR
- Microsoft Sentinel in de Microsoft Defender-portal
Aanbevolen training
Trainingsinhoud heeft momenteel geen betrekking op het geïntegreerde platform voor beveiligingsbewerkingen.
Inleiding tot Microsoft Sentinel
Training | Inleiding tot Microsoft Sentinel |
---|---|
Ontdek hoe u met Microsoft Sentinel snel waardevolle beveiligingsinzichten kunt krijgen van uw cloud- en on-premises gegevens. |
Uw Microsoft Sentinel-omgeving configureren
Training | Uw Microsoft Sentinel-omgeving configureren |
---|---|
Ga aan de slag met Microsoft Sentinel door de Microsoft Sentinel-werkruimte correct te configureren. |
Microsoft Sentinel-werkruimten maken en beheren
Training | Microsoft Sentinel-werkruimten maken en beheren |
---|---|
Meer informatie over de architectuur van Microsoft Sentinel-werkruimten om ervoor te zorgen dat u uw systeem configureert om te voldoen aan de beveiligingsvereisten van uw organisatie. |
Volgende stap
Ga verder met stap 3 om Microsoft Sentinel te configureren voor het opnemen van gegevensbronnen en het configureren van incidentdetectie.
Verwijzingen
Raadpleeg deze koppelingen voor meer informatie over de services en technologieën die in dit artikel worden genoemd.
Servicegebied | Meer informatie |
---|---|
Microsoft Sentinel | - Quickstart: Onboarden in Microsoft Sentinel - Toegang tot Microsoft Sentinel-gegevens beheren per resource |
Microsoft Sentinel-governance | - Uw resources organiseren met beheergroepen - Rollen en machtigingen in Microsoft Sentinel |
Log Analytics-werkruimten | - Een Log Analytics-werkruimtearchitectuur ontwerpen - Ontwerpcriteria voor Log Analytics-werkruimten - De oplossing van Contoso - Toegang tot Log Analytics-werkruimten beheren - Azure Monitor - Een Log Analytics-werkruimtearchitectuur ontwerpen - Log Analytics-werkruimten maken |
Microsoft Sentinel-werkruimten en Azure Lighthouse | - Microsoft Sentinel-werkruimten op schaal beheren: Gedetailleerde Azure RBAC - Aanbevolen beveiligingsprocedures |
Feedback
https://aka.ms/ContentUserFeedback.
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie:Feedback verzenden en weergeven voor