Zarządzanie obszarami roboczymi usługi Microsoft Sentinel na dużą skalę

  • Artykuł

Usługa Azure Lighthouse umożliwia dostawcom usług wykonywanie operacji na dużą skalę w kilku dzierżawach firmy Microsoft Entra jednocześnie, dzięki czemu zadania zarządzania będą wydajniejsze.

Usługa Microsoft Sentinel zapewnia analizę zabezpieczeń i analizę zagrożeń, zapewniając pojedyncze rozwiązanie do wykrywania alertów, widoczności zagrożeń, proaktywnego wyszukiwania zagrożeń i reagowania na zagrożenia. Usługa Azure Lighthouse umożliwia zarządzanie wieloma obszarami roboczymi usługi Microsoft Sentinel w różnych dzierżawach na dużą skalę. Umożliwia to scenariusze, takie jak uruchamianie zapytań w wielu obszarach roboczych lub tworzenie skoroszytów w celu wizualizacji i monitorowania danych z połączonych źródeł danych w celu uzyskania szczegółowych informacji. Adres IP, taki jak zapytania i podręczniki, pozostają w dzierżawie zarządzającej, ale może służyć do zarządzania zabezpieczeniami w dzierżawach klientów.

Ten temat zawiera omówienie sposobu używania usługi Microsoft Sentinel w skalowalny sposób widoczności między dzierżawami i zarządzanych usług zabezpieczeń.

Napiwek

Chociaż w tym temacie odwołujemy się do dostawców usług i klientów, te wskazówki dotyczą również przedsiębiorstw korzystających z usługi Azure Lighthouse do zarządzania wieloma dzierżawami.

Uwaga

Możesz zarządzać delegowanymi zasobami znajdującymi się w różnych regionach. Nie można jednak delegować zasobów w chmurze krajowej i w chmurze publicznej platformy Azure ani w dwóch oddzielnych chmurach krajowych.

Zagadnienia dotyczące architektury

W przypadku zarządzanego dostawcy usług zabezpieczeń (MSSP), który chce utworzyć ofertę zabezpieczeń jako usługa przy użyciu usługi Microsoft Sentinel, może być konieczne centralne monitorowanie i konfigurowanie wielu obszarów roboczych usługi Microsoft Sentinel wdrożonych w ramach poszczególnych dzierżaw klientów. Podobnie przedsiębiorstwa z wieloma dzierżawami firmy Microsoft Entra mogą chcieć centralnie zarządzać wieloma obszarami roboczymi usługi Microsoft Sentinel wdrożonych w swoich dzierżawach.

Ten model scentralizowanego zarządzania ma następujące zalety:

  • Własność danych pozostaje w każdej dzierżawie zarządzanej.
  • Obsługuje wymagania dotyczące przechowywania danych w granicach geograficznych.
  • Zapewnia izolację danych, ponieważ dane dla wielu klientów nie są przechowywane w tym samym obszarze roboczym.
  • Zapobiega eksfiltracji danych z zarządzanych dzierżaw, co pomaga zapewnić zgodność danych.
  • Powiązane koszty są naliczane dla każdej dzierżawy zarządzanej, a nie do zarządzania dzierżawą.
  • Dane ze wszystkich źródeł danych i łączników danych zintegrowanych z usługą Microsoft Sentinel (takie jak dzienniki aktywności firmy Microsoft, dzienniki usługi Office 365 lub alerty usługi Microsoft Threat Protection) pozostaną w każdej dzierżawie klienta.
  • Zmniejsza opóźnienie sieci.
  • Łatwe dodawanie lub usuwanie nowych spółek zależnych lub klientów.
  • Możliwość korzystania z widoku z wieloma obszarami roboczymi podczas pracy z usługą Azure Lighthouse.
  • Aby chronić własność intelektualną, możesz używać podręczników i skoroszytów do pracy między dzierżawami bez bezpośredniego udostępniania kodu klientom. Tylko reguły analizy i wyszukiwania zagrożeń muszą być zapisywane bezpośrednio w dzierżawie każdego klienta.

Ważne

Jeśli obszary robocze są tworzone tylko w dzierżawach klientów, dostawcy zasobów Microsoft.Security Szczegółowe informacje i Microsoft.Szczegółowe informacje Operational muszą być również zarejestrowani w subskrypcji w dzierżawie zarządzającej.

Alternatywny model wdrażania polega na utworzeniu jednego obszaru roboczego usługi Microsoft Sentinel w dzierżawie zarządzającej. W tym modelu usługa Azure Lighthouse umożliwia zbieranie dzienników ze źródeł danych w zarządzanych dzierżawach. Istnieją jednak pewne źródła danych, które nie mogą być połączone między dzierżawami, takimi jak Usługa Microsoft Defender XDR. Ze względu na to ograniczenie ten model nie jest odpowiedni dla wielu scenariuszy dostawcy usług.

Szczegółowa kontrola dostępu oparta na rolach platformy Azure (Kontrola dostępu oparta na rolach na platformie Azure)

Każda subskrypcja klienta, którą będzie zarządzać usługa MSSP, musi zostać dołączona do usługi Azure Lighthouse. Dzięki temu wyznaczeni użytkownicy w dzierżawie zarządzającej mogą uzyskiwać dostęp do obszarów roboczych usługi Microsoft Sentinel wdrożonych w dzierżawach klientów i wykonywać operacje zarządzania nimi.

Podczas tworzenia autoryzacji możesz przypisać wbudowane role usługi Microsoft Sentinel do użytkowników, grup lub jednostek usługi w dzierżawie zarządzającej:

Możesz również przypisać dodatkowe wbudowane role, aby wykonywać dodatkowe funkcje. Aby uzyskać informacje o określonych rolach, które mogą być używane z usługą Microsoft Sentinel, zobacz Role i uprawnienia w usłudze Microsoft Sentinel.

Po dołączeniu klientów wyznaczeni użytkownicy mogą logować się do dzierżawy zarządzającej i bezpośrednio uzyskiwać dostęp do obszaru roboczego usługi Microsoft Sentinel klienta z przypisanymi rolami.

Wyświetlanie zdarzeń w obszarach roboczych i zarządzanie nimi

Jeśli pracujesz z zasobami usługi Microsoft Sentinel dla wielu klientów, możesz wyświetlać zdarzenia i zarządzać nimi w wielu obszarach roboczych w różnych dzierżawach jednocześnie. Aby uzyskać więcej informacji, zobacz Praca ze zdarzeniami w wielu obszarach roboczych jednocześnie i Rozszerzanie usługi Microsoft Sentinel między obszarami roboczymi i dzierżawami.

Uwaga

Upewnij się, że użytkownicy w dzierżawie zarządzającej mają przypisane zarówno uprawnienia do odczytu, jak i zapisu we wszystkich obszarach roboczych zarządzania. Jeśli użytkownik ma tylko uprawnienia do odczytu w niektórych obszarach roboczych, komunikaty ostrzegawcze mogą pojawić się podczas wybierania zdarzeń w tych obszarach roboczych, a użytkownik nie będzie mógł modyfikować tych zdarzeń ani innych wybranych razem z nimi (nawet jeśli użytkownik ma uprawnienia do zapisu dla innych).

Konfigurowanie podręczników pod kątem ograniczania ryzyka

Podręczniki mogą służyć do automatycznego ograniczania ryzyka po wyzwoleniu alertu. Te podręczniki można uruchamiać ręcznie lub uruchamiać je automatycznie po wyzwoleniu określonych alertów. Podręczniki można wdrożyć w dzierżawie zarządzającej lub dzierżawie klienta, z procedurami odpowiedzi skonfigurowanymi na podstawie tego, którzy użytkownicy dzierżawy powinni podjąć działania w odpowiedzi na zagrożenie bezpieczeństwa.

Tworzenie skoroszytów między dzierżawami

Skoroszyty usługi Azure Monitor w usłudze Microsoft Sentinel ułatwiają wizualizowanie i monitorowanie danych z połączonych źródeł danych w celu uzyskania szczegółowych informacji. Możesz użyć wbudowanych szablonów skoroszytów w usłudze Microsoft Sentinel lub utworzyć niestandardowe skoroszyty dla Twoich scenariuszy.

Skoroszyty można wdrażać w dzierżawie zarządzającej i tworzyć pulpity nawigacyjne na dużą skalę, aby monitorować i wykonywać zapytania dotyczące danych w dzierżawach klientów. Aby uzyskać więcej informacji, zobacz Skoroszyty między obszarami roboczymi.

Skoroszyty można również wdrażać bezpośrednio w indywidualnej dzierżawie zarządzanej w scenariuszach specyficznych dla tego klienta.

Uruchamianie zapytań usługi Log Analytics i wyszukiwania zagrożeń w obszarach roboczych usługi Microsoft Sentinel

Twórz i zapisuj zapytania usługi Log Analytics dotyczące wykrywania zagrożeń centralnie w dzierżawie zarządzającej, w tym zapytania wyszukiwania zagrożeń. Te zapytania można uruchamiać we wszystkich obszarach roboczych usługi Microsoft Sentinel klientów przy użyciu operatora Union i wyrażenia workspace().

Aby uzyskać więcej informacji, zobacz Wykonywanie zapytań między obszarami roboczymi.

Używanie automatyzacji do zarządzania między obszarami roboczymi

Automatyzacja umożliwia zarządzanie wieloma obszarami roboczymi usługi Microsoft Sentinel i konfigurowanie zapytań wyszukiwania zagrożeń, podręczników i skoroszytów. Aby uzyskać więcej informacji, zobacz Zarządzanie między obszarami roboczymi przy użyciu automatyzacji.

Monitorowanie zabezpieczeń środowisk usługi Office 365

Usługa Azure Lighthouse w połączeniu z usługą Microsoft Sentinel umożliwia monitorowanie zabezpieczeń środowisk usługi Office 365 w różnych dzierżawach. Najpierw włącz gotowe łączniki danych usługi Office 365 w dzierżawie zarządzanej. Informacje o działaniach użytkowników i administratorów w programach Exchange i SharePoint (w tym OneDrive) można następnie pozyskiwać do obszaru roboczego usługi Microsoft Sentinel w ramach dzierżawy zarządzanej. Te informacje zawierają szczegółowe informacje o akcjach, takich jak pobieranie plików, żądania dostępu wysyłane, zmiany zdarzeń grupy i operacje skrzynki pocztowej, a także szczegółowe informacje o użytkownikach, którzy wykonali te akcje. Alerty DLP usługi Office 365 są również obsługiwane w ramach wbudowanego łącznika usługi Office 365.

Łącznik Microsoft Defender dla Chmury Apps umożliwia przesyłanie strumieniowe alertów i dzienników usługi Cloud Discovery do usługi Microsoft Sentinel. Ten łącznik zapewnia wgląd w aplikacje w chmurze, zapewnia zaawansowaną analizę w celu identyfikowania i zwalczania cyberataków oraz pomaga kontrolować sposób podróżować danych. Dzienniki aktywności dla aplikacji Defender dla Chmury można używać przy użyciu formatu Common Event Format (CEF).

Po skonfigurowaniu łączników danych usługi Office 365 można używać międzydostępnych funkcji usługi Microsoft Sentinel, takich jak wyświetlanie i analizowanie danych w skoroszytach, używanie zapytań do tworzenia alertów niestandardowych i konfigurowanie podręczników w celu reagowania na zagrożenia.

Ochrona własności intelektualnej

Podczas pracy z klientami warto chronić własność intelektualną opracowaną w usłudze Microsoft Sentinel, taką jak reguły analizy usługi Microsoft Sentinel, zapytania wyszukiwania zagrożeń, podręczniki i skoroszyty. Istnieją różne metody, których można użyć, aby upewnić się, że klienci nie mają pełnego dostępu do kodu używanego w tych zasobach.

Aby uzyskać więcej informacji, zobacz Ochrona własności intelektualnej MSSP w usłudze Microsoft Sentinel.

Następne kroki