Zarządzanie obszarami roboczymi usługi Microsoft Sentinel na dużą skalę

Jako dostawca usług możesz dołączyć wiele dzierżaw klientów do usługi Azure Lighthouse. Usługa Azure Lighthouse umożliwia dostawcom usług wykonywanie operacji na dużą skalę w kilku dzierżawach usługi Azure Active Directory (Azure AD), dzięki czemu zadania zarządzania są wydajniejsze.

Usługa Microsoft Sentinel zapewnia analizę zabezpieczeń i analizę zagrożeń, zapewniając jedno rozwiązanie do wykrywania alertów, widoczności zagrożeń, proaktywnego wyszukiwania zagrożeń i reagowania na zagrożenia. Usługa Azure Lighthouse umożliwia zarządzanie wieloma obszarami roboczymi usługi Microsoft Sentinel w różnych dzierżawach na dużą skalę. Umożliwia to scenariusze, takie jak uruchamianie zapytań w wielu obszarach roboczych lub tworzenie skoroszytów w celu wizualizacji i monitorowania danych ze połączonych źródeł danych w celu uzyskania szczegółowych informacji. Adres IP, taki jak zapytania i podręczniki, pozostają w dzierżawie zarządzania, ale może służyć do zarządzania zabezpieczeniami w dzierżawach klientów.

Ten temat zawiera omówienie sposobu używania usługi Microsoft Sentinel w skalowalny sposób na potrzeby widoczności między dzierżawami i zarządzanych usług zabezpieczeń.

Porada

Chociaż w tym temacie odwołujemy się do dostawców usług i klientów, te wskazówki dotyczą również przedsiębiorstw korzystających z usługi Azure Lighthouse do zarządzania wieloma dzierżawami.

Uwaga

Możesz zarządzać delegowanymi zasobami znajdującymi się w różnych regionach. Jednak delegowanie subskrypcji w chmurze krajowej i chmurze publicznej platformy Azure lub w dwóch oddzielnych chmurach krajowych nie jest obsługiwane.

Zagadnienia dotyczące architektury

W przypadku zarządzanego dostawcy usług zabezpieczeń (MSSP), który chce utworzyć ofertę zabezpieczeń jako usługi przy użyciu usługi Microsoft Sentinel, może być konieczne centralne monitorowanie i konfigurowanie wielu obszarów roboczych usługi Microsoft Sentinel wdrożonych w ramach poszczególnych dzierżaw klienta. Podobnie przedsiębiorstwa z wieloma dzierżawami Azure AD mogą chcieć centralnie zarządzać wieloma obszarami roboczymi usługi Microsoft Sentinel wdrożonych w różnych dzierżawach.

Ten model wdrażania ma następujące zalety:

  • Własność danych pozostaje w każdej dzierżawie zarządzanej.
  • Obsługuje wymagania dotyczące przechowywania danych w granicach geograficznych.
  • Zapewnia izolację danych, ponieważ dane dla wielu klientów nie są przechowywane w tym samym obszarze roboczym.
  • Zapobiega eksfiltracji danych z zarządzanych dzierżaw, co pomaga zapewnić zgodność danych.
  • Powiązane koszty są naliczane dla każdej dzierżawy zarządzanej, a nie do dzierżawy zarządzającej.
  • Dane ze wszystkich źródeł danych i łączników danych zintegrowanych z usługą Microsoft Sentinel (takie jak dzienniki aktywności Azure AD, dzienniki Office 365 lub alerty usługi Microsoft Threat Protection) pozostaną w każdej dzierżawie klienta.
  • Zmniejsza opóźnienie sieci.
  • Łatwe dodawanie lub usuwanie nowych podmiotów zależnych lub klientów.
  • Możliwość korzystania z widoku z wieloma obszarami roboczymi podczas pracy za pośrednictwem usługi Azure Lighthouse.
  • Aby chronić własność intelektualną, możesz użyć podręczników i skoroszytów do pracy między dzierżawami bez bezpośredniego udostępniania kodu klientom. Tylko reguły analizy i wyszukiwania zagrożeń muszą być zapisywane bezpośrednio w dzierżawie każdego klienta.

Ważne

Jeśli wszystkie obszary robocze są tworzone w dzierżawach klientów, dostawcy zasobów Microsoft.SecurityInsights Microsoft.OperationalInsights & muszą być również zarejestrowani w subskrypcji w dzierżawie zarządzającej.

Alternatywny model wdrażania polega na utworzeniu jednego obszaru roboczego usługi Microsoft Sentinel w dzierżawie zarządzającej. W tym modelu usługa Azure Lighthouse umożliwia zbieranie dzienników ze źródeł danych w zarządzanych dzierżawach. Istnieją jednak pewne źródła danych, które nie mogą być połączone między dzierżawami, takimi jak Microsoft 365 Defender. Ze względu na to ograniczenie ten model nie jest odpowiedni dla wielu scenariuszy dostawcy usług.

Szczegółowa kontrola dostępu oparta na rolach platformy Azure (Kontrola dostępu oparta na rolach platformy Azure)

Każda subskrypcja klienta zarządzana przez program MSSP musi zostać dołączona do usługi Azure Lighthouse. Dzięki temu wyznaczeni użytkownicy w dzierżawie zarządzającej uzyskują dostęp do obszarów roboczych usługi Microsoft Sentinel wdrożonych w dzierżawach klientów i wykonują operacje zarządzania nimi.

Podczas tworzenia autoryzacji można przypisać wbudowane role usługi Microsoft Sentinel do użytkowników, grup lub jednostek usługi w dzierżawie zarządzającej:

Możesz również przypisać dodatkowe wbudowane role, aby wykonywać dodatkowe funkcje. Aby uzyskać informacje o określonych rolach, które mogą być używane z usługą Microsoft Sentinel, zobacz Uprawnienia w usłudze Microsoft Sentinel.

Po dołączeniu klientów wyznaczeni użytkownicy mogą logować się do dzierżawy zarządzania i bezpośrednio uzyskiwać dostęp do obszaru roboczego usługi Microsoft Sentinel klienta przy użyciu przypisanych ról.

Wyświetlanie zdarzeń w obszarach roboczych i zarządzanie nimi

Jeśli zarządzasz zasobami usługi Microsoft Sentinel dla wielu klientów, możesz wyświetlać zdarzenia i zarządzać nimi w wielu obszarach roboczych w wielu dzierżawach jednocześnie. Aby uzyskać więcej informacji, zobacz Praca z incydentami w wielu obszarach roboczych jednocześnie i Rozszerzanie usługi Microsoft Sentinel między obszarami roboczymi i dzierżawami.

Uwaga

Upewnij się, że użytkownicy w dzierżawie zarządzania mają przypisane uprawnienia do odczytu i zapisu we wszystkich zarządzanych obszarach roboczych. Jeśli użytkownik ma uprawnienia tylko do odczytu w niektórych obszarach roboczych, komunikaty ostrzegawcze mogą być wyświetlane podczas wybierania zdarzeń w tych obszarach roboczych, a użytkownik nie będzie mógł modyfikować tych zdarzeń ani innych wybranych z nich (nawet jeśli masz uprawnienia dla innych).

Konfigurowanie podręczników pod kątem ograniczania ryzyka

Podręczniki mogą być używane do automatycznego ograniczania ryzyka po wyzwoleniu alertu. Te podręczniki można uruchamiać ręcznie lub uruchamiać je automatycznie po wyzwoleniu określonych alertów. Podręczniki można wdrożyć w dzierżawie zarządzającej lub dzierżawie klienta z procedurami odpowiedzi skonfigurowanymi na podstawie tego, którzy użytkownicy dzierżawy będą musieli podjąć działania w odpowiedzi na zagrożenie bezpieczeństwa.

Tworzenie skoroszytów między dzierżawami

Skoroszyty usługi Azure Monitor w usłudze Microsoft Sentinel ułatwiają wizualizowanie i monitorowanie danych z połączonych źródeł danych w celu uzyskania szczegółowych informacji. Możesz użyć wbudowanych szablonów skoroszytów w usłudze Microsoft Sentinel lub utworzyć niestandardowe skoroszyty dla Twoich scenariuszy.

Skoroszyty można wdrażać w dzierżawie zarządzania i tworzyć pulpity nawigacyjne na dużą skalę w celu monitorowania i wykonywania zapytań dotyczących danych w dzierżawach klientów. Aby uzyskać więcej informacji, zobacz Skoroszyty między obszarami roboczymi.

Skoroszyty można również wdrażać bezpośrednio w pojedynczej dzierżawie, którą zarządzasz dla scenariuszy specyficznych dla tego klienta.

Uruchamianie zapytań usługi Log Analytics i wyszukiwania zagrożeń w obszarach roboczych usługi Microsoft Sentinel

Tworzenie i zapisywanie zapytań usługi Log Analytics na potrzeby wykrywania zagrożeń w centralnej dzierżawie zarządzania, w tym zapytań dotyczących wyszukiwania zagrożeń. Te zapytania można następnie uruchamiać we wszystkich obszarach roboczych usługi Microsoft Sentinel klientów przy użyciu operatora Union i wyrażenia workspace().

Aby uzyskać więcej informacji, zobacz Wykonywanie zapytań między obszarami roboczymi.

Używanie automatyzacji do zarządzania między obszarami roboczymi

Automatyzacja umożliwia zarządzanie wieloma obszarami roboczymi usługi Microsoft Sentinel i konfigurowanie zapytań dotyczących wyszukiwania zagrożeń, podręczników i skoroszytów. Aby uzyskać więcej informacji, zobacz Zarządzanie między obszarami roboczymi przy użyciu automatyzacji.

Monitorowanie zabezpieczeń środowisk Office 365

Usługa Azure Lighthouse w połączeniu z usługą Microsoft Sentinel umożliwia monitorowanie zabezpieczeń środowisk Office 365 w różnych dzierżawach. Najpierw w dzierżawie zarządzanej należy włączyć gotowe Office 365 łączniki danych, aby informacje o działaniach użytkowników i administratorów w programie Exchange i SharePoint (w tym usłudze OneDrive) mogły zostać pozyskane do obszaru roboczego usługi Microsoft Sentinel w ramach dzierżawy zarządzanej. Obejmuje to szczegółowe informacje o akcjach, takich jak pobieranie plików, wysyłane żądania dostępu, zmiany w zdarzeniach grupowych i operacjach skrzynki pocztowej oraz informacje o użytkownikach, którzy wykonali akcje. Office 365 alerty DLP są również obsługiwane w ramach wbudowanego łącznika Office 365.

Łącznik Microsoft Defender for Cloud Apps służy do przesyłania strumieniowego alertów i dzienników usługi Cloud Discovery do usługi Microsoft Sentinel. Zapewnia to wgląd w aplikacje w chmurze, zapewnia zaawansowaną analizę w celu identyfikowania i zwalczania cyberzagrożeń oraz ułatwia kontrolowanie sposobu podróżowania danych. Dzienniki aktywności dla usługi Defender for Cloud Apps można używać przy użyciu formatu Common Event Format (CEF).

Po skonfigurowaniu Office 365 łączników danych można używać międzydostępnych funkcji usługi Microsoft Sentinel, takich jak wyświetlanie i analizowanie danych w skoroszytach, używanie zapytań do tworzenia alertów niestandardowych i konfigurowanie podręczników w celu reagowania na zagrożenia.

Ochrona własności intelektualnej

Podczas pracy z klientami warto chronić własność intelektualną opracowaną w usłudze Microsoft Sentinel, taką jak reguły analizy usługi Microsoft Sentinel, zapytania wyszukiwania zagrożeń, podręczniki i skoroszyty. Istnieją różne metody, których można użyć, aby upewnić się, że klienci nie mają pełnego dostępu do kodu używanego w tych zasobach.

Aby uzyskać więcej informacji, zobacz Ochrona własności intelektualnej programu MSSP w usłudze Microsoft Sentinel.

Następne kroki