Gerenciar workspaces do Microsoft Sentinel em escala

  • Artigo

O Azure Lighthouse permite que os provedores de serviços realizem operações em escala em vários locatários do Microsoft Entra ao mesmo tempo, tornando as tarefas de gerenciamento mais eficientes.

O Microsoft Sentinel oferece análises de segurança e inteligência contra ameaças, fornecendo uma solução única de alertas, visibilidade de ameaças, busca proativa e resposta a ameaças. Com o Azure Lighthouse, você pode gerenciar vários workspaces do Microsoft Sentinel em locatários em escala. Isso permite cenários como executar consultas em vários espaços de trabalho ou criar pastas de trabalho para visualizar e monitorar dados de suas fontes de dados conectadas para obter insights. O IP, como consultas e manuais, fica no locatário de gerenciamento, mas pode ser usado para fazer o gerenciamento de segurança nos locatários do cliente.

Este tópico fornece uma visão geral sobre como o Azure Lighthouse permite que você use o Microsoft Sentinel de forma escalonável para poder visualizar todos os locatários e serviços de segurança gerenciados.

Dica

Embora possamos nos referir a provedores de serviços e clientes neste tópico, essa orientação também se aplica a empresas que usam o Azure Lighthouse para gerenciar vários locatários.

Observação

Você pode gerenciar recursos delegados que estão em regiões diferentes. No entanto, você não pode delegar recursos em uma nuvem nacional e na nuvem pública do Azure, ou em duas nuvens nacionais separadas.

Considerações de arquitetura

Em relação a um MSSP (provedor de serviços de segurança gerenciada) que deseja criar uma oferta de Segurança como serviço usando o Microsoft Sentinel, pode ser necessário ter um único SOC (centro de operações de segurança) para monitorar, gerenciar e configurar centralmente vários workspaces do Microsoft Sentinel implantados em locatários de clientes individuais. Da mesma forma, empresas com vários locatários do Microsoft Entra podem desejar gerenciar centralmente vários workspaces do Microsoft Sentinel implantados nos locatários.

Esse modelo centralizado de implantação possui as seguintes vantagens:

  • A propriedade dos dados fica com cada locatário gerenciado.
  • Dá suporte a requisitos para armazenar dados dentro de limites geográficos.
  • Garante o isolamento de dados, pois os dados para diversos clientes não são armazenados no mesmo espaço de trabalho.
  • Evita vazamento de dados dos locatários gerenciados, ajudando a garantir a conformidade dos dados.
  • Os custos relacionados são cobrados em cada locatário gerenciado; não no locatário de gerenciamento.
  • Os dados de todas as fontes de dados e conectores de dados integrados ao Microsoft Sentinel (como Logs de Atividades do Microsoft Entra, logs do Office 365 ou alertas da Proteção contra Ameaças da Microsoft) ficarão em cada locatário do cliente.
  • Reduz a latência de rede.
  • Fácil de adicionar ou remover novas subsidiárias ou clientes.
  • É possível usar uma exibição de vários workspaces ao trabalhar com o Azure Lighthouse.
  • Para proteger sua propriedade intelectual, use guias estratégicos e pastas de trabalho para trabalhar entre locatários sem compartilhar código diretamente com os clientes. Somente regras de análise e busca precisarão ser salvas diretamente no locatário de cada cliente.

Importante

Se os espaços de trabalho forem criados apenas em locatários do cliente, os provedores de recursos Microsoft.SecurityInsights & Microsoft.OperationalInsights também deverão ser registrados em uma assinatura no locatário de gerenciamento.

Um modelo de implantação alternativo é criar um workspace do Microsoft Sentinel no locatário de gerenciamento. Nesse modelo, o Azure Lighthouse habilita a coleta de log de fontes de dados entre locatários gerenciados. No entanto, existem algumas fontes de dados que não podem ser conectadas entre locatários, como o Microsoft Defender XDR. Devido a essa limitação, esse modelo não é adequado para muitos cenários de provedores de serviços.

RBAC do Azure (controle de acesso baseado em função do Azure) granular

Cada assinatura de cliente que um MSSP gerenciará deve ser integrada no Azure Lighthouse. Isso permite que usuários designados no locatário de gerenciamento acessem e executem operações de gerenciamento em workspaces do Microsoft Sentinel implantados em locatários do cliente.

Ao criar suas autorizações, você pode atribuir as funções internas do Microsoft Sentinel a usuários, grupos ou entidades de serviço no locatário de gerenciamento:

Você também pode atribuir funções internas adicionais para executar funções adicionais. Para obter informações sobre funções específicas que podem ser usadas com o Microsoft Sentinel, veja Funções e permissões no Microsoft Sentinel.

Depois de integrar seus clientes, os usuários designados podem fazer logon no locatário de gerenciamento e acessar diretamente o workspace do Microsoft Sentinel do cliente com as funções atribuídas.

Ver e gerenciar incidentes em espaços de trabalho

Se você estiver trabalhando com recursos do Microsoft Sentinel para vários clientes, poderá exibir e gerenciar incidentes em vários workspaces de vários locatários simultaneamente. Para obter mais informações, veja Trabalhar com incidentes em vários workspaces ao mesmo tempo e Estender o Microsoft Sentinel entre workspaces e locatários.

Observação

Verifique se os usuários no locatário administrativo receberam as permissões de leitura e gravação em todos os espaços de trabalho gerenciados. Se algum usuário tiver permissões de leitura somente em alguns espaços de trabalho, algumas mensagens de alerta poderão aparecer ao selecionar incidentes nesses espaços de trabalho, e o usuário não poderá modificar esses incidentes ou quaisquer outros que você tenha selecionado com eles (mesmo se o usuário tiver permissões de gravação para os outros).

Configurar guias estratégicos para mitigação

Os guias estratégicos podem ser usados para mitigação automática quando um alerta for acionado. Esses guias estratégicos podem ser executados manualmente ou automaticamente quando alertas específicos forem acionados. Os guias estratégicos podem ser implantados no locatário de gerenciamento ou no locatário do cliente, com os procedimentos de resposta configurados com base em quais usuários do locatário precisarão tomar medidas em resposta a uma ameaça de segurança.

Criar pastas de trabalho em locatários

As Pastas de Trabalho do Azure Monitor no Microsoft Sentinel ajudam a visualizar e monitorar dados das fontes de dados conectadas para obter insights. Você pode usar os modelos de pastas de trabalho integradas no Microsoft Sentinel ou criar pastas de trabalho personalizadas para seus cenários.

Você pode implantar as pastas de trabalho no locatário de gerenciamento e criar painéis em escala para monitorar e consultar dados nos locatários do cliente. Para obter mais informações, consulte Pastas de trabalho entre workspaces.

Você também pode implantar pastas de trabalho diretamente em um locatário individual gerenciado em relação a cenários específicos para esse cliente.

Executar o Log Analytics e buscar consultas em workspaces do Microsoft Sentinel

Crie e salve consultas do Log Analytics para detectar ameaças centralmente no locatário de gerenciamento, incluindo consultas de busca. Essas consultas podem ser feitas em todos os workspaces do Microsoft Sentinel dos clientes usando o operador Union e a expressão workspace().

Para obter mais informações, veja Consultas em espaços de trabalho.

Usar a automação para gerenciamento em espaços de trabalho

Você pode usar a automação para gerenciar vários workspaces do Microsoft Sentinel e configurar consultas de busca, guias estratégicos e pastas de trabalho. Para obter mais informações, veja Gerenciamento entre espaços de trabalho usando a automação.

Monitorar a segurança dos ambientes do Office 365

Use o Azure Lighthouse com o Microsoft Sentinel para monitorar a segurança dos ambientes do Office 365 nos locatários. Primeiro, habilite os conectores de dados prontos para uso do Office 365 no locatário gerenciado. As informações sobre as atividades do usuário e do administrador no Exchange e no SharePoint (incluindo o OneDrive) podem ser ingeridas em um workspace do Microsoft Sentinel no locatário gerenciado. Essas informações incluem detalhes sobre ações como downloads de arquivos, solicitações de acesso enviadas, alterações em eventos de grupo e operações de caixa de correio, juntamente com detalhes sobre os usuários que executaram essas ações. Os alertas do Office 365 DLP também são compatíveis como parte do conector interno do Office 365.

Use o Conector do Microsoft Defender for Cloud Apps para transmitir alertas e logs do Cloud Discovery para o Microsoft Sentinel. Esse conector oferece visibilidade em relação aos aplicativos de nuvem, fornece análises sofisticadas para identificar e combater ameaças cibernéticas e ajuda você a controlar o deslocamento de dos dados. Os logs de atividades para Defender para Aplicativos na Nuvem podem ser consumidos com o CEF (formato de evento comum).

Depois de configurar os conectores de dados do Office 365, use as funcionalidades do Microsoft Sentinel em locatários, como exibir e analisar os dados em pastas de trabalho, usar consultas para criar alertas personalizados e configurar guias estratégicos para responder a ameaças.

Proteger propriedade intelectual

Ao trabalhar com clientes, talvez você queira proteger a propriedade intelectual desenvolvida no Microsoft Sentinel, como regras de análise Microsoft Sentinel, consultas de busca, guias estratégicos e pastas de trabalho. Há métodos diferentes que você pode usar para garantir que os clientes não tenham acesso completo ao código usado nesses recursos.

Para obter mais informações, confira Como proteger a propriedade intelectual do MSSP no Microsoft Sentinel.

Próximas etapas