Udostępnij za pośrednictwem

Zarządzanie obszarami roboczymi usługi Microsoft Sentinel na dużą skalę

Usługa Azure Lighthouse umożliwia dostawcom usług wykonywanie operacji na dużą skalę w kilku dzierżawach firmy Microsoft Entra jednocześnie, dzięki czemu zadania zarządzania będą wydajniejsze.

Usługa Microsoft Sentinel zapewnia analizę zabezpieczeń i analizę zagrożeń, zapewniając pojedyncze rozwiązanie do wykrywania alertów, widoczności zagrożeń, proaktywnego wyszukiwania zagrożeń i reagowania na zagrożenia. Usługa Azure Lighthouse umożliwia zarządzanie wieloma obszarami roboczymi usługi Microsoft Sentinel w różnych dzierżawach na dużą skalę. Umożliwia to scenariusze, takie jak uruchamianie zapytań w wielu obszarach roboczych lub tworzenie skoroszytów w celu wizualizacji i monitorowania danych z połączonych źródeł danych w celu uzyskania szczegółowych informacji. Adres IP, taki jak zapytania i podręczniki, pozostają w dzierżawie zarządzającej, ale może służyć do zarządzania zabezpieczeniami w dzierżawach klientów.

Ten temat przedstawia omówienie, w jaki sposób Azure Lighthouse pozwala używać usługi Microsoft Sentinel w skalowalny sposób, zapewniając widoczność między dzierżawami i zarządzane usługi zabezpieczeń.

Wskazówka

Chociaż w tym temacie odwołujemy się do dostawców usług i klientów, te wskazówki dotyczą również przedsiębiorstw korzystających z usługi Azure Lighthouse do zarządzania wieloma dzierżawami.

Uwaga / Notatka

Możesz zarządzać delegowanymi zasobami znajdującymi się w różnych regionach. Nie można jednak delegować zasobów w chmurze krajowej i w chmurze publicznej platformy Azure ani w dwóch oddzielnych chmurach krajowych.

Zagadnienia dotyczące architektury

W przypadku zarządzanego dostawcy usług zabezpieczeń (MSSP), który chce utworzyć ofertę typu Zabezpieczenia jako Usługa przy użyciu usługi Microsoft Sentinel, może być konieczne utworzenie jednego centrum operacji bezpieczeństwa (SOC) w celu centralnego monitorowania, zarządzania i konfigurowania wielu obszarów roboczych usługi Microsoft Sentinel, wdrożonych w ramach poszczególnych dzierżaw klientów. Podobnie przedsiębiorstwa z wieloma dzierżawami Microsoft Entra mogą chcieć centralnie zarządzać wieloma środowiskami Microsoft Sentinel wdrożonymi w swoich dzierżawach.

Ten model scentralizowanego zarządzania ma następujące zalety:

  • Własność danych pozostaje w każdym zarządzanym podmiocie.
  • Obsługuje wymagania dotyczące przechowywania danych w granicach geograficznych.
  • Zapewnia izolację danych, ponieważ dane dla wielu klientów nie są przechowywane w tym samym obszarze roboczym.
  • Zapobiega eksfiltracji danych z zarządzanych dzierżaw, co pomaga zapewnić zgodność danych.
  • Powiązane koszty są naliczane dla każdego zarządzanego najemcy, a nie dla najemcy zarządzającego.
  • Dane ze wszystkich źródeł danych i łączników danych zintegrowanych z usługą Microsoft Sentinel (takie jak dzienniki aktywności Microsoft Entra, dzienniki usługi Office 365 lub alerty Microsoft Threat Protection) są przechowywane w dzierżawach klientów.
  • Zmniejsza opóźnienie sieci.
  • Łatwe dodawanie lub usuwanie nowych spółek zależnych lub klientów.
  • Możliwość korzystania z widoku z wieloma obszarami roboczymi podczas pracy z usługą Azure Lighthouse.
  • Aby chronić własność intelektualną, możesz używać zestawów instrukcji i ksiąg do pracy z dzierżawcami, bez bezpośredniego udostępniania kodu klientom. Tylko reguły analizy i wyszukiwania zagrożeń muszą być zapisywane bezpośrednio w dzierżawie każdego klienta.

Ważne

Jeśli obszary robocze są tworzone wyłącznie w tenantach klientów, dostawcy zasobów Microsoft.SecurityInsights i Microsoft.OperationalInsights muszą być również zarejestrowani w subskrypcji w tenantach zarządzających.

Alternatywny model wdrażania polega na utworzeniu jednego obszaru roboczego usługi Microsoft Sentinel w dzierżawie zarządzającej. W tym modelu usługa Azure Lighthouse umożliwia zbieranie dzienników ze źródeł danych w zarządzanych dzierżawach. Istnieją jednak pewne źródła danych, które nie mogą być połączone między dzierżawami, jak Microsoft Defender XDR. Ze względu na to ograniczenie ten model nie jest odpowiedni dla wielu scenariuszy dostawcy usług.

Granularna kontrola dostępu oparta na rolach platformy Azure (Azure RBAC)

Każda subskrypcja klienta, którą będzie zarządzać usługa MSSP, musi zostać dołączona do usługi Azure Lighthouse. Dzięki temu wyznaczeni użytkownicy w dzierżawie zarządzającej mogą uzyskiwać dostęp do obszarów roboczych usługi Microsoft Sentinel wdrożonych w dzierżawach klientów i wykonywać operacje zarządzania nimi.

Podczas tworzenia autoryzacji możesz przypisać wbudowane role Microsoft Sentinel do użytkowników, grup lub pryncypałów usługi w dzierżawie podlegającej twojemu zarządzaniu. Typowe role obejmują:

Możesz również przypisać inne wbudowane role, aby wykonywać dodatkowe funkcje. Aby uzyskać informacje o określonych rolach, które mogą być używane z usługą Microsoft Sentinel, zobacz Role i uprawnienia w usłudze Microsoft Sentinel.

Po wprowadzeniu klientów wyznaczeni użytkownicy mogą zalogować się do dzierżawy zarządzającej i bezpośrednio uzyskiwać dostęp do obszaru roboczego usługi Microsoft Sentinel klienta przy użyciu przypisanych ról.

Wyświetlanie zdarzeń w obszarach roboczych i zarządzanie nimi

Jeśli pracujesz z zasobami usługi Microsoft Sentinel dla wielu klientów, możesz wyświetlać zdarzenia i zarządzać nimi w wielu obszarach roboczych w różnych dzierżawach jednocześnie. Aby uzyskać więcej informacji, zobacz Jednoczesna praca z incydentami w wielu obszarach roboczych i Rozszerzanie działania usługi Microsoft Sentinel na różne obszary robocze i dzierżawy.

Uwaga / Notatka

Upewnij się, że użytkownicy w dzierżawie zarządzającej mają przypisane zarówno uprawnienia do odczytu, jak i zapisu we wszystkich zarządzanych obszarach roboczych. Jeśli użytkownik ma tylko uprawnienia do odczytu w niektórych obszarach roboczych, komunikaty ostrzegawcze mogą pojawić się podczas wybierania zdarzeń w tych obszarach roboczych, a użytkownik nie będzie mógł modyfikować tych zdarzeń ani innych wybranych razem z nimi (nawet jeśli użytkownik ma uprawnienia do zapisu dla innych).

Konfigurowanie scenariuszy działania dla łagodzenia skutków

Podręczniki mogą służyć do automatycznego ograniczania ryzyka po wyzwoleniu alertu. Te podręczniki można uruchamiać ręcznie lub uruchamiać je automatycznie po wyzwoleniu określonych alertów. Podręczniki można wdrożyć w dzierżawie zarządzającej lub dzierżawie klienta, z procedurami odpowiedzi skonfigurowanymi na podstawie tego, którzy użytkownicy dzierżawy powinni podjąć działania w odpowiedzi na zagrożenie bezpieczeństwa.

Tworzenie skoroszytów międzynajemcowych

Skoroszyty usługi Azure Monitor w usłudze Microsoft Sentinel ułatwiają wizualizowanie i monitorowanie danych z połączonych źródeł danych w celu uzyskania szczegółowych informacji. Możesz użyć wbudowanych szablonów skoroszytów w usłudze Microsoft Sentinel lub utworzyć niestandardowe skoroszyty dla Twoich scenariuszy.

Skoroszyty można wdrażać w dzierżawie zarządzającej i tworzyć pulpity nawigacyjne na dużą skalę, aby monitorować i wykonywać zapytania dotyczące danych w dzierżawach klientów. Aby uzyskać więcej informacji, zobacz Używanie skoroszytów między obszarami roboczymi.

Skoroszyty można również wdrażać bezpośrednio w indywidualnej, zarządzanej dzierżawie dla scenariuszy specyficznych dla danego użytkownika.

Uruchamianie zapytań usługi Log Analytics i zapytań wykrywania zagrożeń w obszarach roboczych Microsoft Sentinel

Twórz i zapisuj zapytania usługi Log Analytics dotyczące wykrywania zagrożeń centralnie w dzierżawie zarządzającej, w tym zapytania wyszukiwania zagrożeń. Te zapytania można uruchamiać w obszarach roboczych Microsoft Sentinel należących do wszystkich klientów, korzystając z operatora Union i wyrażenia workspace().

Aby uzyskać więcej informacji, zobacz Wykonywanie zapytań dotyczących wielu obszarów roboczych.

Używanie automatyzacji do zarządzania między obszarami roboczymi

Automatyzacja umożliwia zarządzanie wieloma obszarami roboczymi usługi Microsoft Sentinel i konfigurowanie zapytań wyszukiwania zagrożeń, podręczników i skoroszytów. Aby uzyskać więcej informacji, zobacz Zarządzanie wieloma obszarami roboczymi przy użyciu automatyzacji.

Monitorowanie zabezpieczeń środowisk platformy Microsoft 365

Usługa Azure Lighthouse z usługą Microsoft Sentinel umożliwia monitorowanie zabezpieczeń środowisk platformy Microsoft 365 w różnych dzierżawach. Najpierw włącz gotowe łączniki do danych Microsoft 365 w dzierżawie zarządzanej. Informacje o działaniach użytkowników i administratorów w programach Exchange i SharePoint (w tym OneDrive) można następnie pozyskiwać do obszaru roboczego usługi Microsoft Sentinel w ramach dzierżawy zarządzanej. Te informacje zawierają szczegółowe informacje o akcjach, takich jak pobieranie plików, żądania dostępu wysyłane, zmiany zdarzeń grupy i operacje skrzynki pocztowej, a także szczegółowe informacje o użytkownikach, którzy wykonali te akcje.

Łącznik Microsoft Defender dla aplikacji w chmurze umożliwia przesyłanie strumieniowe alertów oraz logów Cloud Discovery do Microsoft Sentinel. Ten łącznik zapewnia wgląd w aplikacje w chmurze, zapewnia zaawansowaną analizę w celu identyfikowania i zwalczania cyberataków oraz pomaga kontrolować sposób podróżować danych.

Po skonfigurowaniu łączników danych usługi Office 365 można używać międzydostępnych funkcji usługi Microsoft Sentinel, takich jak wyświetlanie i analizowanie danych w skoroszytach, używanie zapytań do tworzenia alertów niestandardowych i konfigurowanie podręczników w celu reagowania na zagrożenia.

Ochrona własności intelektualnej

Podczas pracy z klientami warto chronić własność intelektualną opracowaną w usłudze Microsoft Sentinel, taką jak reguły analizy usługi Microsoft Sentinel, zapytania wyszukiwania zagrożeń, podręczniki i skoroszyty. Istnieją różne metody, których można użyć, aby upewnić się, że klienci nie mają pełnego dostępu do kodu używanego w tych zasobach.

Aby uzyskać więcej informacji, zobacz Ochrona własności intelektualnej MSSP w usłudze Microsoft Sentinel.

Dalsze kroki