Управление рабочими областями Microsoft Sentinel в большом масштабе

Azure Lighthouse позволяет поставщикам услуг выполнять операции в масштабе нескольких клиентов Microsoft Entra одновременно, что делает задачи управления более эффективными.

Microsoft Sentinel предоставляет аналитику безопасности и аналитику угроз, предоставляя единое решение для обнаружения оповещений, видимости угроз, упреждающей охоты и реагирования на угрозы. Microsoft Lighthouse позволяет управлять несколькими рабочими областями Azure Sentinel для клиентов в большом масштабе. Это дает возможность создавать такие сценарии, как выполнение запросов в несколько рабочих областей, или создавать книги для визуализации и мониторинга данных из подключенных источников данных с целью получения аналитических сведений. IP-адреса, такие как запросы и сборники схем, остаются в вашем управляющем клиенте, но могут использоваться для управления безопасностью в клиентах.

В этом разделе представлен обзор того, как Azure Lighthouse позволяет использовать Microsoft Sentinel в масштабируемом режиме для видимости между клиентами и управляемых служб безопасности.

Совет

Хотя в этом разделе мы будем ссылаться на поставщиков услуг и клиентов, это руководство также применимо к предприятиям, где Azure Lighthouse используют для управления несколькими клиентами.

Примечание.

Вы можете управлять делегированными ресурсами, расположенными в разных регионах. Однако вы не можете делегировать ресурсы в национальном облаке и общедоступном облаке Azure или между двумя отдельными национальными облаками.

Рекомендации по архитектуре

Для поставщика управляемых служб безопасности (MSSP), который хочет создать предложение "Безопасность как услуга" с помощью Microsoft Sentinel, может потребоваться единый центр управления безопасностью (SOC) для централизованного мониторинга, управления и настройки нескольких рабочих областей Microsoft Sentinel, развернутых в отдельных клиентах. Аналогичным образом предприятия с несколькими клиентами Microsoft Entra могут централизованно управлять несколькими рабочими областями Microsoft Sentinel, развернутыми в своих клиентах.

Эта модель централизованного управления имеет следующие преимущества:

• Владение данными остается внутри каждого управляемого клиента.
• Поддерживает требования по хранению данных в пределах географических границ.
• Обеспечивает изоляцию данных, так как данные для нескольких клиентов не хранятся в одной рабочей области.
• Предотвращает кражу данных у управляемых клиентов, обеспечивая соответствие нормативным требованиям.
• Связанная плата взимается с каждого управляемого клиента, а не с управляющего клиента.
• Данные из всех источников данных и соединителей данных, интегрированных с Microsoft Sentinel (например, журналы действий Microsoft Entra, журналы Office 365 или оповещения Microsoft Threat Protection) останутся в каждом клиенте.
• Уменьшает задержку в сети.
• Легко добавлять или удалять новые филиалы или клиентов.
• Возможность использовать представление с несколькими рабочими областями при работе с Azure Lighthouse.
• Чтобы защитить интеллектуальную собственность, можно использовать сборники схем и книги для работы с клиентами без совместного использования с ними кода. Только правила аналитики и поиск должны быть сохранены непосредственно в каждом клиенте.

Важно!

Если рабочие области создаются только в клиентах клиентов, поставщики ресурсов Microsoft.Security Аналитика и Microsoft.Operational Аналитика также должны быть зарегистрированы в подписке в управляемом клиенте.

Альтернативной моделью развертывания является создание одной рабочей области Microsoft Sentinel в управляющем клиенте. В этой модели Azure Lighthouse имеется сбор журналов из источников данных в управляемых клиентах. Однако существуют некоторые источники данных, которые не могут быть подключены между клиентами, например XDR в Microsoft Defender. Из-за этого ограничения эта модель не подходит для многих сценариев поставщика услуг.

Фрагментарное управление доступом на основе ролей (Azure RBAC)

Каждая подписка клиента, которой будет управлять MSSP, должна быть подключена к Azure Lighthouse. Это позволяет указанным пользователям в управляющем клиенте получать доступ и выполнять операции управления в рабочих областях Microsoft Sentinel, развернутых в клиентах.

При создании авторизаций можно назначить встроенные роли Microsoft Sentinel пользователям, группам или субъектам-службам в управляемом клиенте:

• Средство чтения Microsoft Sentinel
• Microsoft Sentinel Responder
• Участник Microsoft Sentinel

Также может потребоваться назначить дополнительные встроенные роли для выполнения дополнительных функций. Сведения о конкретных ролях, которые можно использовать с Microsoft Sentinel, см. в разделе "Роли и разрешения" в Microsoft Sentinel.

После подключения клиентов указанные пользователи смогут войти в управляющий клиент и напрямую получить доступ к рабочей области Microsoft Azure клиента с назначенными ролями.

Просмотр инцидентов и управление ими в рабочих областях

Если вы работаете с ресурсами Microsoft Sentinel для нескольких клиентов, вы можете одновременно просматривать инциденты в нескольких рабочих областях в разных клиентах и управлять ими. Дополнительные сведения см. в статьях Работа с инцидентами в нескольких рабочих областях и Расширение Microsoft Sentinel по рабочим областям и клиентам.

Примечание.

Убедитесь, что пользователям в управляемом клиенте назначены разрешения на чтение и запись во всех рабочих областях управления. Если у пользователя есть разрешения только на чтение в некоторых рабочих областях, при выборе инцидентов в этих рабочих областях могут появиться предупреждения, и пользователь не сможет изменять эти инциденты или любые другие, выбранные вместе с ними (даже если у пользователя есть разрешения на запись для других).

Настройка сборников схем для устранения рисков

Сборники схем можно использовать для автоматического устранения рисков при срабатывании оповещения. Такие сборники схем можно запускать вручную или настроить для автоматического запуска в случае активации конкретных оповещений. Сборники схем можно развернуть в управляемом клиенте или клиенте клиента, используя процедуры реагирования, настроенные на основе того, какие пользователи клиента должны принять меры в ответ на угрозу безопасности.

Создание книг между клиентами

Книги Azure Monitor в Microsoft Sentinel позволяют визуализировать и отслеживать данные из подключенных источников данных для получения аналитических сведений. Вы можете использовать встроенные шаблоны книг в Microsoft Sentinel или создать настраиваемые книги для своих сценариев.

Вы можете развертывать книги в управляющем клиенте и создавать масштабируемые панели мониторинга для мониторинга и запроса данных в клиентах. Дополнительные сведения см. в разделе Книги для нескольких рабочих областей.

Вы также можете развертывать книги непосредственно в отдельном управляемом клиенте для сценариев, относящихся к данному клиенту.

Запуск Log Analytics и запросов на поиск в рабочих областях Microsoft Sentinel

Создавайте и сохраняйте запросы Log Analytics для обнаружения угроз в централизованном режиме в управляющем клиенте, включая запросы на поиск. Эти запросы можно выполнять во всех рабочих областях Microsoft Sentinel клиентов с помощью оператора Union и выражения рабочей области().

Дополнительные сведения см. в разделе Запрос между рабочими областями.

Использование автоматизации для управления между рабочими областями

Для управления несколькими рабочими областями Microsoft Sentinel и настройки запросов на поиск, сборников схем и книг можно использовать службу автоматизации. Дополнительные сведения см. в разделе Управление между рабочими областями с помощью службы автоматизации.

Мониторинг безопасности сред Office 365

Для мониторинга безопасности сред Office 365 в клиентах используйте Azure Lighthouse вместе с Microsoft Sentinel. Во-первых , включите встроенные соединители данных Office 365 в управляемом клиенте. Сведения о действиях пользователей и администраторов в Exchange и SharePoint (включая OneDrive) затем можно принять в рабочую область Microsoft Sentinel в управляемом клиенте. Эти сведения содержат сведения о действиях, таких как скачивание файлов, запросы на доступ, отправленные, изменения в событиях группы и операциях почтовых ящиков, а также сведения о пользователях, которые выполнили эти действия. Оповещения DLP в Office 365 также поддерживаются в составе встроенного соединителя Office 365.

Вы можете использовать соединитель Microsoft Defender для облачных приложений для потоковой передачи оповещений и журналов Cloud Discovery в Microsoft Sentinel. Этот соединитель обеспечивает видимость облачных приложений, предоставляет сложную аналитику для выявления и борьбы с киберугрозами и помогает управлять перемещением данных. Журналы действий для Defender для облачных приложений можно использовать с помощью формата Common Event Format (CEF).

После настройки соединителей данных Office 365 можно использовать возможности Microsoft Sentinel для работы между клиентами, такие как просмотр и анализ данных в книгах, использование запросов для создания пользовательских оповещений и настройка сборников схем для реагирования на угрозы.

Защита интеллектуальной собственности

При работе с клиентами может потребоваться защитить интеллектуальную собственность, разработанную в Microsoft Sentinel, например правила аналитики, запросы на поиск, сборники схем и книги Microsoft Sentinel. Существуют различные методы, которые можно использовать, чтобы гарантировать, что у клиентов нет полного доступа к коду, используемому в этих ресурсах.

Дополнительные сведения см. в разделе Защита интеллектуальной собственности MSSP в Microsoft Sentinel.

Следующие шаги

• Узнайте больше о решении Microsoft Sentinel.
• Ознакомьтесь со страницей с расценками для Microsoft Sentinel.
• Ознакомьтесь с проектом MicrosoftSentinel All-in-One, чтобы ускорить развертывание и начальные задачи настройки среды Microsoft Sentinel.
• Узнайте больше об интерфейсах управления для различных клиентов.