Rozszerzanie usługi Microsoft Sentinel między obszarami roboczymi i dzierżawami

  • Artykuł

Podczas dołączania usługi Microsoft Sentinel pierwszym krokiem jest wybranie obszaru roboczego usługi Log Analytics. Chociaż możesz uzyskać pełną korzyść z korzystania z usługi Microsoft Sentinel w jednym obszarze roboczym, w niektórych przypadkach możesz rozszerzyć obszar roboczy w celu wykonywania zapytań i analizowania danych między obszarami roboczymi i dzierżawami. Dowiedz się więcej o tym, jak usługa Microsoft Sentinel może rozszerzać wiele obszarów roboczych.

Zarządzanie zdarzeniami w wielu obszarach roboczych

Usługa Microsoft Sentinel obsługuje widok zdarzeń w wielu obszarach roboczych, w którym można centralnie zarządzać zdarzeniami i monitorować je w wielu obszarach roboczych. Scentralizowany widok zdarzeń umożliwia bezpośrednie zarządzanie zdarzeniami lub przechodzenie do szczegółów zdarzenia w sposób niewidoczny dla szczegółów zdarzenia w kontekście źródłowego obszaru roboczego.

Wykonywanie zapytań dotyczących wielu obszarów roboczych

Możesz wykonywać zapytania dotyczące wielu obszarów roboczych, co umożliwia wyszukiwanie i korelowanie danych z wielu obszarów roboczych w jednym zapytaniu.

  • workspace( ) Użyj wyrażenia z identyfikatorem obszaru roboczego jako argumentem, aby odwołać się do tabeli w innym obszarze roboczym.

    • Zapoznaj się z ważnymi informacjami na temat używania formatów identyfikatorów, aby zapewnić właściwą wydajność.

  • Użyj operatora unii wraz z wyrażeniemworkspace( ), aby zastosować zapytanie między tabelami w wielu obszarach roboczych.

  • Za pomocą zapisanych funkcji można uprościć zapytania między obszarami roboczymi. Można na przykład skrócić długie odwołanie do tabeli SecurityEvent w obszarze roboczym Klienta A, zapisując wyrażenie

    workspace("/subscriptions/<customerA_subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName>").SecurityEvent

    jako funkcja o nazwie SecurityEventCustomerA. Następnie możesz wysłać zapytanie do tabeli SecurityEvent klienta A przy użyciu tej funkcji: SecurityEventCustomerA | where ... .

  • Funkcja może również uprościć powszechnie używany związek. Możesz na przykład zapisać następujące wyrażenie jako funkcję o nazwie unionSecurityEvent:

    union 
workspace("/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName1>").SecurityEvent, 
workspace("/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName2>").SecurityEvent

    Następnie możesz napisać zapytanie w obu obszarach roboczych, zaczynając od unionSecurityEvent | where ... .

Uwzględnianie zapytań między obszarami roboczymi w zaplanowanych regułach analizy

Zapytania między obszarami roboczymi można uwzględnić w zaplanowanych regułach analizy. Reguły analizy między obszarami roboczymi można używać w centralnej usłudze SOC i w różnych dzierżawach (przy użyciu usługi Azure Lighthouse), odpowiednich dla dostawców usług MSSPs. To zastosowanie podlega następującym ograniczeniom:

  • W jednym zapytaniu można uwzględnić maksymalnie 20 obszarów roboczych . Jednak w celu uzyskania dobrej wydajności zalecamy uwzględnienie nie więcej niż 5.
  • Należy wdrożyć usługę Microsoft Sentinel w każdym obszarze roboczym , do którego odwołuje się zapytanie.
  • Alerty generowane przez regułę analizy między obszarami roboczymi i zdarzenia utworzone na ich podstawie istnieją tylko w obszarze roboczym, w którym zdefiniowano regułę. Alerty nie będą wyświetlane w żadnym z innych obszarów roboczych, do których odwołuje się zapytanie.
  • Reguła analizy między obszarami roboczymi, podobnie jak każda reguła analizy, będzie nadal działać, nawet jeśli użytkownik, który utworzył regułę, utraci dostęp do obszarów roboczych, do których odwołuje się zapytanie reguły. Jedynym wyjątkiem jest w przypadku obszarów roboczych w różnych subskrypcjach i/lub dzierżawach niż reguła analizy.

Alerty i zdarzenia utworzone przez reguły analizy między obszarami roboczymi zawierają wszystkie powiązane jednostki, w tym te ze wszystkich przywoływałych obszarów roboczych i obszaru roboczego "strona główna" (gdzie zdefiniowano regułę). Dzięki temu analitycy uzyskują pełny obraz alertów i zdarzeń.

Uwaga

Wykonywanie zapytań dotyczących wielu obszarów roboczych w tym samym zapytaniu może mieć wpływ na wydajność i dlatego jest zalecane tylko wtedy, gdy logika wymaga tej funkcji.

Używanie skoroszytów między obszarami roboczymi

Skoroszyty udostępniają pulpity nawigacyjne i aplikacje do usługi Microsoft Sentinel. Podczas pracy z wieloma obszarami roboczymi skoroszyty zapewniają monitorowanie i akcje w obszarach roboczych.

Skoroszyty mogą udostępniać zapytania obejmujące wiele obszarów roboczych w jednej z trzech metod, odpowiednie dla różnych poziomów wiedzy użytkownika końcowego:

Metoda opis Kiedy należy używać?
Pisanie zapytań między obszarami roboczymi Twórca skoroszytu może pisać zapytania między obszarami roboczymi (opisane powyżej) w skoroszycie. Chcę, aby twórca skoroszytu utworzył strukturę obszaru roboczego, która jest niewidoczna dla użytkownika.
Dodawanie selektora obszaru roboczego do skoroszytu Twórca skoroszytu może zaimplementować selektor obszaru roboczego w ramach skoroszytu. Chcę zezwolić użytkownikowi na kontrolowanie obszarów roboczych wyświetlanych przez skoroszyt przy użyciu łatwego w użyciu pola rozwijanego.
Interakcyjne edytowanie skoroszytu Zaawansowany użytkownik modyfikujący istniejący skoroszyt może edytować w nim zapytania, wybierając docelowe obszary robocze przy użyciu selektora obszaru roboczego w edytorze. Chcę zezwolić użytkownikowi na łatwe modyfikowanie istniejących skoroszytów w celu pracy z wieloma obszarami roboczymi.

Wyszukiwanie w wielu obszarach roboczych

Usługa Microsoft Sentinel udostępnia wstępnie załadowane przykłady zapytań, które ułatwiają rozpoczęcie pracy i zapoznanie się z tabelami i językiem zapytań. Naukowcy zajmujący się zabezpieczeniami firmy Microsoft stale dodawają nowe wbudowane zapytania i dostrajają istniejące zapytania. Możesz użyć tych zapytań, aby wyszukać nowe wykrycia i zidentyfikować oznaki nieautoryzowanego włamania do narzędzi zabezpieczeń.

Możliwości wyszukiwania zagrożeń między obszarami roboczymi umożliwiają łowcom zagrożeń tworzenie nowych zapytań wyszukiwania zagrożeń lub dostosowanie istniejących do obsługi wielu obszarów roboczych przy użyciu operatora unii i wyrażenia workspace(), jak pokazano powyżej.

Zarządzanie wieloma obszarami roboczymi przy użyciu automatyzacji

Aby skonfigurować wiele obszarów roboczych usługi Microsoft Sentinel i zarządzać nimi, należy zautomatyzować korzystanie z interfejsu API zarządzania usługi Microsoft Sentinel.

  • Dowiedz się, jak zautomatyzować wdrażanie zasobów usługi Microsoft Sentinel, w tym reguł alertów, zapytań dotyczących wyszukiwania zagrożeń, skoroszytów i podręczników.
  • Dowiedz się, jak wdrożyć zawartość niestandardową z repozytorium. Ten zasób zawiera skonsolidowaną metodologię zarządzania usługą Microsoft Sentinel jako kodem oraz wdrażania i konfigurowania zasobów z prywatnego repozytorium Usługi Azure DevOps lub GitHub.

Zarządzanie obszarami roboczymi między dzierżawami przy użyciu usługi Azure Lighthouse

Jak wspomniano powyżej, w wielu scenariuszach różne obszary robocze usługi Microsoft Sentinel mogą znajdować się w różnych dzierżawach firmy Microsoft Entra. Usługa Azure Lighthouse umożliwia rozszerzanie wszystkich działań między obszarami roboczymi w granicach dzierżawy, co umożliwia użytkownikom w dzierżawie zarządzania pracę nad obszarami roboczymi usługi Microsoft Sentinel we wszystkich dzierżawach.

Po dołączeniu usługi Azure Lighthouse użyj selektora katalogów i subskrypcji w witrynie Azure Portal, aby wybrać wszystkie subskrypcje zawierające obszary robocze, którymi chcesz zarządzać, aby upewnić się, że wszystkie będą dostępne w różnych selektorach obszarów roboczych w portalu.

W przypadku korzystania z usługi Azure Lighthouse zaleca się utworzenie grupy dla każdej roli usługi Microsoft Sentinel i delegowanie uprawnień z każdej dzierżawy do tych grup.

Następne kroki

W tym artykule przedstawiono sposób rozszerzania możliwości usługi Microsoft Sentinel w wielu obszarach roboczych i dzierżawach. Aby uzyskać praktyczne wskazówki dotyczące implementowania architektury między obszarami roboczymi usługi Microsoft Sentinel, zobacz następujące artykuły: