Estenda o Microsoft Sentinel entre espaços de trabalho e locatários

  • Artigo

Ao integrar o Microsoft Sentinel, a primeira etapa é selecionar o espaço de trabalho do Log Analytics. Embora você possa obter todos os benefícios da experiência do Microsoft Sentinel com um único espaço de trabalho, em alguns casos, convém estender seu espaço de trabalho para consultar e analisar seus dados entre espaços de trabalho e locatários. Saiba mais sobre como o Microsoft Sentinel pode se estender por vários espaços de trabalho.

Gerenciar incidentes em vários espaços de trabalho

O Microsoft Sentinel oferece suporte a uma exibição de incidentes de vários espaços de trabalho onde você pode gerenciar e monitorar centralmente incidentes em vários espaços de trabalho. A visualização centralizada de incidentes permite gerenciar incidentes diretamente ou detalhar de forma transparente os detalhes do incidente no contexto do espaço de trabalho de origem.

Consultar vários espaços de trabalho

Você pode consultar vários espaços de trabalho, permitindo pesquisar e correlacionar dados de vários espaços de trabalho em uma única consulta.

  • Use a workspace( ) expressão, com o identificador do espaço de trabalho como argumento, para fazer referência a uma tabela em um espaço de trabalho diferente.

    • Consulte informações importantes sobre o uso de formatos de identificador para garantir o desempenho adequado.

  • Use o operador union ao lado da workspace( ) expressão para aplicar uma consulta entre tabelas em vários espaços de trabalho.

  • Você pode usar funções salvas para simplificar consultas entre espaços de trabalho. Por exemplo, você pode encurtar uma referência longa à tabela SecurityEvent no espaço de trabalho do Cliente A salvando a expressão

    workspace("/subscriptions/<customerA_subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName>").SecurityEvent

    como uma função chamada SecurityEventCustomerA. Em seguida, você pode consultar a tabela SecurityEvent do Cliente A com esta função: SecurityEventCustomerA | where ... .

  • Uma função também pode simplificar uma união comumente usada. Por exemplo, você pode salvar a seguinte expressão como uma função chamada unionSecurityEvent:

    union 
workspace("/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName1>").SecurityEvent, 
workspace("/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName2>").SecurityEvent

    Em seguida, você pode escrever uma consulta em ambos os espaços de trabalho começando com unionSecurityEvent | where ... .

Incluir consultas entre espaços de trabalho em regras de análise agendadas

Você pode incluir consultas entre espaços de trabalho em regras de análise agendadas. Você pode usar regras de análise entre espaços de trabalho em um SOC central e entre locatários (usando o Azure Lighthouse), adequado para MSSPs. Esta utilização está sujeita às seguintes limitações:

  • Você pode incluir até 20 espaços de trabalho em uma única consulta. No entanto, para um bom desempenho, recomendamos incluir não mais do que 5.
  • Você deve implantar o Microsoft Sentinel em cada espaço de trabalho referenciado na consulta.
  • Os alertas gerados por uma regra de análise entre espaços de trabalho e os incidentes criados a partir deles existem apenas no espaço de trabalho onde a regra foi definida. Os alertas não serão exibidos em nenhum dos outros espaços de trabalho referenciados na consulta.
  • Uma regra de análise entre espaços de trabalho, como qualquer regra de análise, continuará em execução mesmo se o usuário que criou a regra perder o acesso aos espaços de trabalho referenciados na consulta da regra. A única exceção a isso é no caso de espaços de trabalho em assinaturas e/ou locatários diferentes da regra de análise.

Os alertas e incidentes criados por regras de análise entre espaços de trabalho contêm todas as entidades relacionadas, incluindo as de todos os espaços de trabalho referenciados e o espaço de trabalho "inicial" (onde a regra foi definida). Desta forma, os analistas obtêm uma imagem completa dos alertas e incidentes.

Nota

Consultar vários espaços de trabalho na mesma consulta pode afetar o desempenho e, portanto, é recomendado apenas quando a lógica requer essa funcionalidade.

Usar pastas de trabalho entre espaços de trabalho

As pastas de trabalho fornecem painéis e aplicativos para o Microsoft Sentinel. Ao trabalhar com vários espaços de trabalho, as pastas de trabalho fornecem monitoramento e ações entre espaços de trabalho.

As pastas de trabalho podem fornecer consultas entre espaços de trabalho em um dos três métodos, adequados para diferentes níveis de conhecimento do usuário final:

Método Descrição Quando devo usar?
Escrever consultas entre espaços de trabalho O criador da pasta de trabalho pode escrever consultas entre espaços de trabalho (descritas acima) na pasta de trabalho. Quero que o criador da pasta de trabalho crie uma estrutura de espaço de trabalho transparente para o usuário.
Adicionar um seletor de espaço de trabalho à pasta de trabalho O criador da pasta de trabalho pode implementar um seletor de espaço de trabalho como parte da pasta de trabalho. Quero permitir que o usuário controle os espaços de trabalho mostrados pela pasta de trabalho, com uma caixa suspensa fácil de usar.
Editar a pasta de trabalho interativamente Um usuário avançado modificando uma pasta de trabalho existente pode editar as consultas nela, selecionando os espaços de trabalho de destino usando o seletor de espaço de trabalho no editor. Quero permitir que um usuário avançado modifique facilmente pastas de trabalho existentes para trabalhar com vários espaços de trabalho.

Procure em vários espaços de trabalho

O Microsoft Sentinel fornece exemplos de consulta pré-carregados projetados para você começar e familiarizá-lo com as tabelas e a linguagem de consulta. Os pesquisadores de segurança da Microsoft adicionam constantemente novas consultas internas e ajustam as consultas existentes. Pode utilizar estas consultas para procurar novas deteções e identificar sinais de intrusão que as suas ferramentas de segurança possam ter perdido.

Os recursos de caça entre espaços de trabalho permitem que seus caçadores de ameaças criem novas consultas de caça, ou adaptem as existentes, para cobrir vários espaços de trabalho, usando o operador union e a expressão workspace(), conforme mostrado acima.

Gerencie vários espaços de trabalho usando automação

Para configurar e gerenciar vários espaços de trabalho do Microsoft Sentinel, você precisa automatizar o uso da API de gerenciamento do Microsoft Sentinel.

  • Saiba como automatizar a implantação de recursos do Microsoft Sentinel, incluindo regras de alerta, consultas de caça, pastas de trabalho e playbooks.
  • Saiba como implantar conteúdo personalizado a partir do repositório. Este recurso fornece uma metodologia consolidada para gerenciar o Microsoft Sentinel como código e para implantar e configurar recursos de um repositório privado do Azure DevOps ou GitHub.

Gerenciar espaços de trabalho entre locatários usando o Azure Lighthouse

Como mencionado acima, em muitos cenários, os diferentes espaços de trabalho do Microsoft Sentinel podem estar localizados em diferentes locatários do Microsoft Entra. Você pode usar o Azure Lighthouse para estender todas as atividades entre espaços de trabalho entre limites de locatário, permitindo que os usuários em seu locatário de gerenciamento trabalhem em espaços de trabalho do Microsoft Sentinel em todos os locatários.

Depois que o Azure Lighthouse estiver integrado, use o seletor de diretório + assinatura no portal do Azure para selecionar todas as assinaturas que contêm espaços de trabalho que você deseja gerenciar, a fim de garantir que todos estejam disponíveis nos diferentes seletores de espaço de trabalho no portal.

Ao usar o Azure Lighthouse, é recomendável criar um grupo para cada função do Microsoft Sentinel e delegar permissões de cada locatário a esses grupos.

Próximos passos

Neste artigo, você aprendeu como os recursos do Microsoft Sentinel podem ser estendidos em vários espaços de trabalho e locatários. Para obter orientações práticas sobre como implementar a arquitetura entre espaços de trabalho do Microsoft Sentinel, consulte os seguintes artigos: