Gerenciar espaços de trabalho do Microsoft Sentinel em escala

  • Artigo

O Azure Lighthouse permite que os provedores de serviços executem operações em escala em vários locatários do Microsoft Entra ao mesmo tempo, tornando as tarefas de gerenciamento mais eficientes.

O Microsoft Sentinel oferece análises de segurança e inteligência contra ameaças, fornecendo uma solução única para deteção de alertas, visibilidade de ameaças, caça proativa e resposta a ameaças. Com o Azure Lighthouse, você pode gerenciar vários espaços de trabalho do Microsoft Sentinel entre locatários em escala. Isso permite cenários como a execução de consultas em vários espaços de trabalho ou a criação de pastas de trabalho para visualizar e monitorar dados de suas fontes de dados conectadas para obter informações. IP, como consultas e playbooks, permanecem em seu locatário de gerenciamento, mas podem ser usados para executar o gerenciamento de segurança nos locatários do cliente.

Este tópico fornece uma visão geral de como o Azure Lighthouse permite que você use o Microsoft Sentinel de forma escalável para visibilidade entre locatários e serviços de segurança gerenciados.

Gorjeta

Embora nos referimos a provedores de serviços e clientes neste tópico, esta orientação também se aplica a empresas que usam o Azure Lighthouse para gerenciar vários locatários.

Nota

Você pode gerenciar recursos delegados localizados em regiões diferentes. No entanto, não é possível delegar recursos em uma nuvem nacional e na nuvem pública do Azure ou em duas nuvens nacionais separadas.

Considerações arquitetônicas

Para um provedor de serviços de segurança gerenciado (MSSP) que deseja criar uma oferta de segurança como serviço usando o Microsoft Sentinel, um único centro de operações de segurança (SOC) pode ser necessário para monitorar, gerenciar e configurar centralmente vários espaços de trabalho do Microsoft Sentinel implantados em locatários de clientes individuais. Da mesma forma, as empresas com vários locatários do Microsoft Entra podem querer gerenciar centralmente vários espaços de trabalho do Microsoft Sentinel implantados em seus locatários.

Este modelo de gestão centralizada apresenta as seguintes vantagens:

  • A propriedade dos dados permanece com cada locatário gerenciado.
  • Suporta requisitos para armazenar dados dentro de limites geográficos.
  • Garante o isolamento dos dados, uma vez que os dados de vários clientes não são armazenados no mesmo espaço de trabalho.
  • Evita a exfiltração de dados dos locatários gerenciados, ajudando a garantir a conformidade dos dados.
  • Os custos relacionados são cobrados a cada locatário gerenciado, e não ao locatário gerenciador.
  • Os dados de todas as fontes de dados e conectores de dados integrados ao Microsoft Sentinel (como logs de atividades do Microsoft Entra, logs do Office 365 ou alertas da Proteção contra ameaças da Microsoft) permanecerão em cada locatário do cliente.
  • Reduz a latência da rede.
  • Fácil de adicionar ou remover novas subsidiárias ou clientes.
  • Capaz de usar um modo de exibição de vários espaços de trabalho ao trabalhar no Azure Lighthouse.
  • Para proteger sua propriedade intelectual, você pode usar playbooks e pastas de trabalho para trabalhar entre locatários sem compartilhar código diretamente com os clientes. Apenas as regras analíticas e de caça terão de ser guardadas diretamente no inquilino de cada cliente.

Importante

Se os espaços de trabalho forem criados apenas em locatários de clientes, os provedores de recursos Microsoft.SecurityInsights & Microsoft.OperationalInsights também deverão ser registrados em uma assinatura no locatário de gerenciamento.

Um modelo de implantação alternativo é criar um espaço de trabalho do Microsoft Sentinel no locatário de gerenciamento. Neste modelo, o Azure Lighthouse permite a coleta de logs de fontes de dados entre locatários gerenciados. No entanto, existem algumas fontes de dados que não podem ser conectadas entre locatários, como o Microsoft Defender XDR. Devido a essa limitação, esse modelo não é adequado para muitos cenários de provedor de serviços.

Controle de acesso granular baseado em função do Azure (Azure RBAC)

Cada assinatura de cliente que um MSSP gerenciará deve ser integrada ao Azure Lighthouse. Isso permite que usuários designados no locatário de gerenciamento acessem e executem operações de gerenciamento em espaços de trabalho do Microsoft Sentinel implantados em locatários de clientes.

Ao criar suas autorizações, você pode atribuir as funções internas do Microsoft Sentinel a usuários, grupos ou entidades de serviço em seu locatário de gerenciamento:

Você também pode querer atribuir funções internas adicionais para executar funções adicionais. Para obter informações sobre funções específicas que podem ser usadas com o Microsoft Sentinel, consulte Funções e permissões no Microsoft Sentinel.

Depois de integrar seus clientes, os usuários designados podem fazer logon em seu locatário de gerenciamento e acessar diretamente o espaço de trabalho Microsoft Sentinel do cliente com as funções que foram atribuídas.

Visualize e gerencie incidentes em espaços de trabalho

Se você trabalha com recursos do Microsoft Sentinel para vários clientes, pode exibir e gerenciar incidentes em vários espaços de trabalho em diferentes locatários ao mesmo tempo. Para obter mais informações, consulte Trabalhar com incidentes em vários espaços de trabalho ao mesmo tempo e Estender o Microsoft Sentinel entre espaços de trabalho e locatários.

Nota

Certifique-se de que os usuários em seu locatário de gerenciamento receberam permissões de leitura e gravação em todos os espaços de trabalho de gerenciamento. Se um usuário tiver apenas permissões de leitura em alguns espaços de trabalho, mensagens de aviso poderão aparecer ao selecionar incidentes nesses espaços de trabalho, e o usuário não poderá modificar esses incidentes ou quaisquer outros selecionados junto com eles (mesmo que o usuário tenha permissões de gravação para os outros).

Configurar playbooks para mitigação

Os playbooks podem ser usados para mitigação automática quando um alerta é acionado. Esses playbooks podem ser executados manualmente ou automaticamente quando alertas específicos são acionados. Os playbooks podem ser implantados no locatário gerente ou no locatário do cliente, com os procedimentos de resposta configurados com base em quais usuários do locatário devem agir em resposta a uma ameaça à segurança.

Criar pastas de trabalho entre locatários

As pastas de trabalho do Azure Monitor no Microsoft Sentinel ajudam você a visualizar e monitorar dados de suas fontes de dados conectadas para obter informações. Você pode usar os modelos de pasta de trabalho internos no Microsoft Sentinel ou criar pastas de trabalho personalizadas para seus cenários.

Você pode implantar pastas de trabalho em seu locatário de gerenciamento e criar painéis em escala para monitorar e consultar dados entre locatários clientes. Para obter mais informações, consulte Pastas de trabalho entre espaços de trabalho.

Você também pode implantar pastas de trabalho diretamente em um locatário gerenciado individual para cenários específicos desse cliente.

Executar o Log Analytics e procurar consultas em espaços de trabalho do Microsoft Sentinel

Crie e salve consultas do Log Analytics para deteção de ameaças centralmente no locatário de gerenciamento, incluindo consultas de caça. Essas consultas podem ser executadas em todos os espaços de trabalho do Microsoft Sentinel de seus clientes usando o operador Union e a expressão workspace().

Para obter mais informações, consulte Consulta entre espaços de trabalho.

Use a automação para gerenciamento entre espaços de trabalho

Você pode usar a automação para gerenciar vários espaços de trabalho do Microsoft Sentinel e configurar consultas de busca, playbooks e pastas de trabalho. Para obter mais informações, consulte Gerenciamento entre espaços de trabalho usando automação.

Monitorar a segurança dos ambientes do Office 365

Use o Azure Lighthouse em conjunto com o Microsoft Sentinel para monitorar a segurança dos ambientes do Office 365 entre locatários. Primeiro, habilite os conectores de dados do Office 365 prontos para uso no locatário gerenciado. As informações sobre atividades de usuário e administração no Exchange e no SharePoint (incluindo o OneDrive) podem ser ingeridas em um espaço de trabalho do Microsoft Sentinel dentro do locatário gerenciado. Essas informações incluem detalhes sobre ações como downloads de arquivos, solicitações de acesso enviadas, alterações em eventos de grupo e operações de caixa de correio, além de detalhes sobre os usuários que executaram essas ações. Os alertas DLP do Office 365 também são suportados como parte do conector interno do Office 365.

Você pode usar o conector do Microsoft Defender for Cloud Apps para transmitir alertas e logs do Cloud Discovery para o Microsoft Sentinel. Este conector oferece visibilidade de aplicações na nuvem, fornece análises sofisticadas para identificar e combater ciberameaças e ajuda-o a controlar a forma como os dados viajam. Os logs de atividades do Defender for Cloud Apps podem ser consumidos usando o CEF (Common Event Format).

Depois de configurar os conectores de dados do Office 365, você pode usar recursos do Microsoft Sentinel entre locatários, como exibir e analisar os dados em pastas de trabalho, usar consultas para criar alertas personalizados e configurar playbooks para responder a ameaças.

Proteger a propriedade intelectual

Ao trabalhar com clientes, convém proteger a propriedade intelectual desenvolvida no Microsoft Sentinel, como regras de análise do Microsoft Sentinel, consultas de caça, manuais e pastas de trabalho. Há diferentes métodos que você pode usar para garantir que os clientes não tenham acesso completo ao código usado nesses recursos.

Para obter mais informações, consulte Protegendo a propriedade intelectual do MSSP no Microsoft Sentinel.

Próximos passos