Krok 2. Tworzenie architektury obszaru roboczego usługi Microsoft Sentinel
Wdrożenie środowiska usługi Microsoft Sentinel obejmuje projektowanie konfiguracji obszaru roboczego w celu spełnienia wymagań dotyczących zabezpieczeń i zgodności. Proces aprowizacji obejmuje tworzenie obszarów roboczych usługi Log Analytics i konfigurowanie odpowiednich opcji usługi Microsoft Sentinel.
Ten artykuł zawiera zalecenia dotyczące projektowania i implementowania obszarów roboczych usługi Microsoft Sentinel dla zasad zerowego zaufania.
Krok 1. Projektowanie strategii zapewniania ładu
Jeśli twoja organizacja ma wiele subskrypcji platformy Azure, może być konieczne efektywne zarządzanie dostępem, zasadami i zgodnością dla tych subskrypcji. Grupy zarządzania zapewniają zakres ładu dla subskrypcji. Podczas organizowania subskrypcji w grupach zarządzania warunki ładu skonfigurowane dla grupy zarządzania mają zastosowanie do zawartych w niej subskrypcji. Aby uzyskać więcej informacji, zobacz Organizowanie zasobów przy użyciu grup zarządzania.
Na przykład obszar roboczy usługi Microsoft Sentinel na poniższym diagramie znajduje się w subskrypcji zabezpieczeń w grupie zarządzania platformą , która jest częścią dzierżawy microsoft Entra ID.
Subskrypcja zabezpieczeń platformy Azure i obszar roboczy usługi Microsoft Sentinel dziedziczą zasady kontroli dostępu opartej na rolach (RBAC) i platformy Azure, które są stosowane do grupy zarządzania platformą.
Krok 2. Tworzenie obszarów roboczych usługi Log Analytics
Aby użyć usługi Microsoft Sentinel, pierwszym krokiem jest utworzenie obszarów roboczych usługi Log Analytics. Pojedynczy obszar roboczy usługi Log Analytics może być wystarczający dla wielu środowisk, ale wiele organizacji tworzy wiele obszarów roboczych, aby zoptymalizować koszty i lepiej spełnić różne wymagania biznesowe.
Najlepszym rozwiązaniem jest utworzenie oddzielnych obszarów roboczych dla danych operacyjnych i danych zabezpieczeń na potrzeby własności danych i zarządzania kosztami w usłudze Microsoft Sentinel. Jeśli na przykład istnieje więcej niż jedna osoba administrowająca rolami operacyjnymi i zabezpieczeń, pierwszą decyzją dla modelu Zero Trust jest to, czy utworzyć oddzielne obszary robocze dla tych ról.
Ujednolicona platforma operacji zabezpieczeń, która zapewnia dostęp do usługi Microsoft Sentinel w portalu usługi Defender, obsługuje tylko jeden obszar roboczy.
Aby uzyskać więcej informacji, zobacz przykładowe rozwiązanie firmy Contoso dla oddzielnych obszarów roboczych dla ról operacji i zabezpieczeń.
Zagadnienia dotyczące projektowania obszaru roboczego usługi Log Analytics
W przypadku jednej dzierżawy można skonfigurować dwa sposoby konfigurowania obszarów roboczych usługi Microsoft Sentinel:
Pojedyncza dzierżawa z pojedynczym obszarem roboczym usługi Log Analytics. W takim przypadku obszar roboczy staje się centralnym repozytorium dzienników we wszystkich zasobach w dzierżawie.
Zalety:
- Centralna konsolidacja dzienników.
- Łatwiejsze wykonywanie zapytań o informacje.
- Kontrola dostępu oparta na rolach (RBAC) na platformie Azure w celu kontrolowania dostępu do usługi Log Analytics i usługi Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem do obszarów roboczych usługi Log Analytics — Azure Monitor i Role i uprawnienia w usłudze Microsoft Sentinel.
Wady:
- Może nie spełniać wymagań dotyczących ładu.
- Istnieje koszt przepustowości między regionami.
Pojedyncza dzierżawa z regionalnymi obszarami roboczymi usługi Log Analytics.
Zalety:
- Brak kosztów przepustowości między regionami.
- Może być wymagane spełnienie ładu.
- Szczegółowa kontrola dostępu do danych.
- Szczegółowe ustawienia przechowywania.
- Podziel rozliczenia.
Wady:
- Nie ma centralnego okienka szkła.
- Analizy, skoroszyty i inne konfiguracje muszą być wdrażane wiele razy.
Aby uzyskać więcej informacji, zobacz Projektowanie architektury obszaru roboczego usługi Log Analytics.
Krok 3. Tworzenie architektury obszaru roboczego usługi Microsoft Sentinel
Dołączanie usługi Microsoft Sentinel wymaga wybrania obszaru roboczego usługi Log Analytics. Poniżej przedstawiono zagadnienia dotyczące konfigurowania usługi Log Analytics dla usługi Microsoft Sentinel:
Utwórz grupę zasobów zabezpieczeń na potrzeby ładu, która umożliwia izolowanie zasobów usługi Microsoft Sentinel i dostępu opartego na rolach do kolekcji. Aby uzyskać więcej informacji, zobacz Projektowanie architektury obszaru roboczego usługi Log Analytics.
Utwórz obszar roboczy usługi Log Analytics w grupie zasobów Zabezpieczenia i dołącz do niego usługę Microsoft Sentinel. To automatycznie zapewnia 31 dni pozyskiwania danych do 10 Gb dziennie bezpłatnie w ramach bezpłatnej wersji próbnej.
Ustaw obszar roboczy usługi Log Analytics obsługujący usługę Microsoft Sentinel na 90 dni przechowywania co najmniej.
Po dołączeniu usługi Microsoft Sentinel do obszaru roboczego usługi Log Analytics uzyskasz 90 dni przechowywania danych bez dodatkowych kosztów i zapewnisz 90-dniowe przerzucanie danych dziennika. Po upływie 90 dni poniesiesz koszty całkowitej ilości danych w obszarze roboczym. Możesz rozważyć przechowywanie danych dziennika na dłużej na podstawie wymagań rządowych. Aby uzyskać więcej informacji, zobacz Tworzenie obszarów roboczych usługi Log Analytics i Szybki start: dołączanie w usłudze Microsoft Sentinel.
Zero Trust z usługą Microsoft Sentinel
Aby zaimplementować architekturę zerowego zaufania, rozważ rozszerzenie obszaru roboczego w celu wykonywania zapytań i analizowania danych między obszarami roboczymi i dzierżawami. Użyj przykładowych projektów obszarów roboczych usługi Microsoft Sentinel i rozszerz usługę Microsoft Sentinel między obszarami roboczymi i dzierżawami , aby określić najlepszy projekt obszaru roboczego dla organizacji.
Ponadto należy użyć wskazówek dotyczących ról w chmurze i zarządzania operacjami oraz arkusza kalkulacyjnego programu Excel (pobierz). W tym przewodniku zadania Zero Trust, które należy wziąć pod uwagę w przypadku usługi Microsoft Sentinel, to:
- Zdefiniuj role RBAC usługi Microsoft Sentinel ze skojarzonymi grupami firmy Microsoft Entra.
- Sprawdź, czy zaimplementowano praktyki dostępu do usługi Microsoft Sentinel nadal spełniają wymagania organizacji.
- Rozważ użycie kluczy zarządzanych przez klienta.
Zero Trust z kontrolą dostępu opartą na rolach
Aby zachować zgodność z funkcją Zero Trust, zalecamy skonfigurowanie kontroli dostępu opartej na rolach platformy Azure na podstawie zasobów, które są dozwolone użytkownikom, zamiast zapewniać im dostęp do całego środowiska usługi Microsoft Sentinel.
W poniższej tabeli wymieniono niektóre role specyficzne dla usługi Microsoft Sentinel.
| Nazwa roli | opis |
|---|---|
| Czytelnik usługi Microsoft Sentinel | Wyświetlanie danych, zdarzeń, skoroszytów i innych zasobów usługi Microsoft Sentinel. |
| Osoba odpowiadająca w usłudze Microsoft Sentinel | Oprócz możliwości roli czytelnika usługi Microsoft Sentinel zarządzaj zdarzeniami (przypisywanie, odrzucanie itp.). Ta rola ma zastosowanie do typów użytkowników analityków zabezpieczeń. |
| Operator podręcznika usługi Microsoft Sentinel | Wyświetlanie, wyświetlanie i ręczne uruchamianie podręczników. Ta rola ma również zastosowanie do typów analityków zabezpieczeń użytkowników. Ta rola służy do udzielania odpowiedzi usługi Microsoft Sentinel na możliwość uruchamiania podręczników usługi Microsoft Sentinel z najmniejszą ilością uprawnień. |
| Współautor usługi Microsoft Sentinel | Oprócz możliwości roli Operatora podręcznika usługi Microsoft Sentinel, utwórz i edytuj skoroszyty, reguły analizy i inne zasoby usługi Microsoft Sentinel. Ta rola ma zastosowanie do typów użytkowników inżynierów ds. zabezpieczeń. |
| Współautor automatyzacji usługi Microsoft Sentinel | Umożliwia usłudze Microsoft Sentinel dodawanie podręczników do reguł automatyzacji. Nie jest przeznaczona dla kont użytkowników. |
Po przypisaniu ról platformy Azure specyficznych dla usługi Microsoft Sentinel możesz napotkać inne role platformy Azure i usługi Log Analytics, które mogły zostać przypisane do użytkowników w innych celach. Na przykład role Współautor usługi Log Analytics i Czytelnik usługi Log Analytics udzielają dostępu do obszaru roboczego usługi Log Analytics.
Aby uzyskać więcej informacji, zobacz Role i uprawnienia w usłudze Microsoft Sentinel i Zarządzanie dostępem do danych usługi Microsoft Sentinel według zasobu.
Zero Trust w architekturach wielodostępnych za pomocą usługi Azure Lighthouse
Usługa Azure Lighthouse umożliwia wielodostępne zarządzanie skalowalnością, większą automatyzację i ulepszony nadzór między zasobami. Usługa Azure Lighthouse umożliwia zarządzanie wieloma wystąpieniami usługi Microsoft Sentinel w różnych dzierżawach firmy Microsoft Entra na dużą skalę. Oto przykład.
Usługa Azure Lighthouse umożliwia uruchamianie zapytań w wielu obszarach roboczych lub tworzenie skoroszytów w celu wizualizacji i monitorowania danych z połączonych źródeł danych oraz uzyskiwania dodatkowych szczegółowych informacji. Ważne jest, aby wziąć pod uwagę zasady Zero Trust. Zobacz Zalecane rozwiązania w zakresie zabezpieczeń, aby zaimplementować najmniej uprawnień kontroli dostępu dla usługi Azure Lighthouse.
Podczas implementowania najlepszych rozwiązań w zakresie zabezpieczeń dla usługi Azure Lighthouse należy wziąć pod uwagę następujące pytania:
- Kto jest odpowiedzialny za własność danych?
- Jakie są wymagania dotyczące izolacji danych i zgodności?
- Jak wdrożysz najmniejsze uprawnienia w dzierżawach?
- Jak będzie zarządzanych wiele łączników danych w wielu obszarach roboczych usługi Microsoft Sentinel?
- Jak monitorować środowiska usługi Office 365?
- Jak chronić właściwości intelektualne, na przykład podręczniki, notesy, reguły analizy między dzierżawami?
Zobacz Zarządzanie obszarami roboczymi usługi Microsoft Sentinel na dużą skalę: Szczegółowa kontrola dostępu oparta na rolach platformy Azure, aby uzyskać najlepsze rozwiązania w zakresie zabezpieczeń usług Microsoft Sentinel i Azure Lighthouse.
Dołączanie obszaru roboczego do ujednoliconej platformy operacji zabezpieczeń
Jeśli pracujesz z jednym obszarem roboczym, zalecamy dodanie obszaru roboczego do ujednoliconej platformy operacji zabezpieczeń w celu wyświetlenia wszystkich danych usługi Microsoft Sentinel wraz z danymi XDR w portalu usługi Microsoft Defender.
Ujednolicona platforma operacji zabezpieczeń zapewnia również ulepszone funkcje, takie jak automatyczne zakłócenia ataków dla systemu SAP, ujednolicone zapytania ze strony zaawansowanego wyszukiwania w usłudze Defender oraz ujednolicone zdarzenia i jednostki zarówno w usłudze Microsoft Defender, jak i w usłudze Microsoft Sentinel.
Aby uzyskać więcej informacji, zobacz:
- Łączenie usługi Microsoft Sentinel z usługą Microsoft Defender XDR
- Usługa Microsoft Sentinel w portalu usługi Microsoft Defender
Zalecane szkolenie
Zawartość szkoleniowa nie obejmuje obecnie ujednoliconej platformy operacji zabezpieczeń.
Wprowadzenie do usługi Microsoft Sentinel
| Szkolenia | Wprowadzenie do usługi Microsoft Sentinel |
|---|---|
|
Dowiedz się, jak usługa Microsoft Sentinel umożliwia szybkie rozpoczęcie uzyskiwania cennych szczegółowych informacji o zabezpieczeniach z chmury i danych lokalnych. |
Konfigurowanie środowiska usługi Microsoft Sentinel
| Szkolenia | Konfigurowanie środowiska usługi Microsoft Sentinel |
|---|---|
|
Rozpocznij pracę z usługą Microsoft Sentinel, prawidłowo konfigurując obszar roboczy usługi Microsoft Sentinel. |
Tworzenie obszarów roboczych usługi Microsoft Sentinel i zarządzanie nimi
| Szkolenia | Tworzenie obszarów roboczych usługi Microsoft Sentinel i zarządzanie nimi |
|---|---|
|
Dowiedz się więcej o architekturze obszarów roboczych usługi Microsoft Sentinel, aby upewnić się, że system jest skonfigurowany tak, aby spełniał wymagania dotyczące operacji zabezpieczeń organizacji. |
Następny krok
Przejdź do kroku 3, aby skonfigurować usługę Microsoft Sentinel do pozyskiwania źródeł danych i konfigurowania wykrywania zdarzeń.
Informacje
Zapoznaj się z tymi linkami, aby dowiedzieć się więcej o usługach i technologiach wymienionych w tym artykule.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla