Централизованные операции безопасности с внешними удостоверениями для оборонных организаций
Эта статья предназначена для мультитенантных организаций обороны с централизованной группой по операциям безопасности. В нем объясняется, как управлять несколькими клиентами и соответствовать требованиям нулевого доверия с одним удостоверением и привилегированным устройством доступа. В этой конфигурации операторы безопасности не нуждаются в нескольких учетных записях пользователей, учетных данных и рабочих станциях для защиты среды. Программа установки поддерживает возможности нулевого доверия в дополнительных клиентах.
Общие сведения о компонентах конфигурации
Этот сценарий объединяет Azure Lighthouse, Entra External ID, Entra управление привилегированными пользователями и мультитенантное управление в XDR в Microsoft Defender.
Используйте Azure Lighthouse для управления Microsoft Sentinel в дополнительных клиентах. Необходимо использовать Azure Lighthouse для управления рабочими областями Microsoft Sentinel в подписках, подключенных к дополнительным клиентам. Azure Lighthouse обеспечивает мультитенантное управление масштабируемостью, более высокой автоматизацией и расширенным управлением между ресурсами.
Azure Lighthouse позволяет субъекту безопасности (пользователю, группе или субъекту-службе) в одном клиенте иметь роль Azure для управления ресурсами в другом клиенте. С помощью этой установки операторы безопасности в основном клиенте могут легко управлять как Sentinel, так и Defender для облака между клиентами.
Примечание.
Разрешения для рабочих областей Microsoft Sentinel, подключенных к дополнительным клиентам, могут быть назначены пользователям, локальным пользователям вторичного клиента, гостевым пользователям B2B из основного клиента или непосредственно пользователям основного клиента с помощью Azure Lighthouse. Azure Lighthouse — это рекомендуемый вариант для Sentinel, так как он позволяет расширить действия между рабочими областями по границам клиента.
Используйте внешний идентификатор Entra для управления Microsoft Defender для конечной точки в дополнительных клиентах. Вы не можете использовать Azure Lighthouse для совместного использования Microsoft Defender для конечной точки (MDE) между клиентами, поэтому необходимо использовать внешние удостоверения (гости B2B). Внешние удостоверения позволяют операторам безопасности в основном клиенте управлять MDE в дополнительном клиенте без входа с другой учетной записью или учетными данными. Оператор безопасности должен указать клиент, который они используют. Они должны включать идентификатор клиента в URL-адрес портала Microsoft Defender, чтобы указать клиент. Операторы должны закладывать порталы Microsoft Defender для каждого клиента, которым они должны управлять. Чтобы завершить настройку, необходимо настроить параметры доступа между клиентами в дополнительном клиенте. Задайте параметры доверия для входящего трафика, чтобы доверять многофакторной проверке подлинности (MFA) и соответствию устройств из основного клиента. Эта конфигурация позволяет гостевым пользователям управлять MDE без создания исключений для существующих политик условного доступа для вторичных клиентов.
При включении Defender для сервера в подписке, связанной с дополнительным клиентом, расширение MDE автоматически развертывается и начинает предоставлять сигналы безопасности службе MDE. Он использует тот же вторичный клиент. Разрешения MDE не могут использовать Azure Lighthouse. Их необходимо назначить пользователям или группам в локальном (вторичном) идентификаторе Microsoft Entra. Необходимо подключить операторы безопасности в качестве внешних удостоверений (гости B2B) в дополнительном клиенте. Затем вы можете добавить гостя в роль MDE с помощью группы безопасности Microsoft Entra. С помощью этой конфигурации основной оператор безопасности клиента может принимать меры реагирования на серверах, защищенных MDE в дополнительном клиенте.
Используйте управление привилегированными пользователями.Microsoft Entra управление привилегированными пользователями (PIM) обеспечивает JIT-повышение прав роли для ролей Azure и Microsoft Entra. PIM для групп расширяет эту функцию, чтобы группировать членство в группах Microsoft 365 и группах безопасности Microsoft Entra. После настройки PIM для групп необходимо проверить активное и допустимое членство в привилегированной группе, создав проверку доступа PIM для групп.
Важно!
Существует два способа использования Entra управление привилегированными пользователями с Azure Lighthouse. PIM можно использовать для групп, чтобы повысить членство в группе безопасности Entra с постоянной авторизацией, настроенной в Azure Lighthouse, как описано в предыдущем разделе. Другим вариантом является настройка Azure Lighthouse с соответствующими разрешениями. Дополнительные сведения см. в статье "Подключение клиента к Azure Lighthouse".
Настройка централизованных операций безопасности
Чтобы настроить централизованные операции безопасности для мультитенантной среды, необходимо настроить Azure Lighthouse, External ID и Entra управление привилегированными пользователями. Оператор безопасности в основном клиенте может использовать одно удостоверение, защищенное несколькими клиентами. Они войдите один раз, повысить уровень доступа с помощью PIM, отслеживать ресурсы между клиентами и службами и реагировать на угрозы для клиентов (см. рис. 1).
Рис. 1. Как настроить операции безопасности в мультитенантных организациях защиты.
1. Разверните Sentinel и включите Defender для облака. Создайте рабочую область Microsoft Sentinel в подписках, связанных с каждым клиентом. Настройте соответствующие соединители данных и включите правила аналитики. Включите Defender для облака расширенную защиту рабочих нагрузок для размещенных рабочих нагрузок, включая Defender для сервера, во всех средах Azure и подключите Defender для облака к Microsoft Sentinel.
2. Настройка PIM для операций безопасности Azure. Создайте группу с возможностью назначения ролей (Azure SecOps на рис. 1) и навсегда назначьте группу ролям Azure, которые требуются операторам безопасности. В этом примере используется участник Microsoft Sentinel и средство чтения безопасности, но вы также можете рассмотреть вопрос о участнике приложения логики и других ролей, которые им нужны. Настройте PIM для групп , чтобы назначить операторы безопасности в качестве подходящих для группы Azure SecOps. Этот подход позволяет оператору безопасности повысить доступ ко всем ролям, которые они нуждаются в одном запросе PIM. При необходимости настройте постоянные назначения ролей для доступа на чтение.
3. Настройка PIM для операций безопасности XDR в Microsoft Defender. Создайте группу с возможностью назначения ролей (группа ролей Microsoft 365 на рис. 1) для назначения разрешений XDR в Microsoft Defender. Затем создайте роль PIM для группы ролей Microsoft 365 и назначьте право оператора безопасности. Если вы не хотите управлять несколькими ролями, вы можете использовать одну и ту же группу (Azure SecOps), настроенную на шаге 1, чтобы назначить разрешения XDR в Microsoft Defender и роли Azure.
4. Настройка Azure Lighthouse. Используйте Azure Lighthouse для назначения ролей Azure для подписок ресурсов Azure вторичного клиента Azure. Используйте идентификатор объекта группы Azure SecOps и идентификатор клиента основного клиента. В примере на рис. 1 используются роли Средства реагирования Microsoft Sentinel и средства чтения безопасности. Настройте постоянные назначения ролей с помощью Azure Lighthouse, чтобы обеспечить постоянный доступ на чтение при необходимости.
5. Настройка доступа внешних пользователей в дополнительном клиенте. Используйте управление правами, чтобы настроить сценарий , инициированный пользователем, или использовать гостевое приглашение для привлечения основных операторов безопасности клиента в качестве внешних удостоверений в дополнительном клиенте. Настройка параметров доступа между клиентами в вторичном клиенте настроена для доверия утверждений MFA и соответствия устройств из основного клиента. Создайте группу с возможностью назначения ролей (группа ролей Microsoft 365 на рис. 1), назначьте разрешения Microsoft Defender для конечной точки и настройте роль PIM после того же процесса, что и шаг 2.
Управление централизованным операциями безопасности
Операторы безопасности нуждаются в учетных записях и соответствующих правах доступа для защиты среды и реагирования на угрозы. Операторы безопасности должны знать, какие роли они имеют право и как повысить их разрешения с помощью Microsoft Entra PIM. Для Microsoft Defender для конечной точки (MDE) они должны знать, как переключаться между клиентами для охоты и реагирования на угрозы с помощью MDE.
Операторы безопасности используют настройку многотенантных операций безопасности (см. рис. 1) для защиты нескольких клиентов. Они могут отслеживать, исследовать и реагировать на угрозы в Microsoft 365 и Azure в клиентах Microsoft Entra (см. рис. 2).
Рис. 2. Как использовать настройку многотенантных операций безопасности.
1. Запрос Sentinel и Defender для доступа к облаку. Оператор безопасности должен войти в портал Azure, чтобы запросить и активировать роль Azure SecOps с помощью PIM. После активной роли они могут получить доступ к Microsoft Sentinel и Defender для облака.
2. Используйте Sentinel в рабочих областях и клиентах. Если роль Azure SecOps активна, оператор безопасности может перейти в Microsoft Sentinel и выполнять операции между клиентами. Вы настраиваете XDR в Microsoft Defender и Defender для облака соединители данных для экземпляров Sentinel в основном клиенте и вторичном клиенте. При настройке Azure Lighthouse для роли Azure SecOps оператор безопасности может просматривать все оповещения Sentinel, запрашивать в рабочих областях и управлять инцидентами и расследованиями во всех клиентах.
3. Используйте портал Microsoft Defender в основном клиенте для реагирования на угрозы рабочей станции. Когда оператору безопасности нужен доступ к XDR в Microsoft Defender, они используют Microsoft Entra PIM для активации роли Microsoft 365. Членство в этой группе назначает разрешения, необходимые для реагирования на угрозы безопасности на устройствах рабочих станций, управляемых Intune и подключенных к MDE в основном клиенте. Оператор безопасности использует портал Microsoft Defender для выполнения действий реагирования и изоляции рабочей станции.
4. Используйте портал Microsoft Defender в дополнительном клиенте для реагирования на угрозы сервера. Когда операторы безопасности должны реагировать на угрозы, обнаруженные MDE для серверов в подписках вторичного клиента, они должны использовать Microsoft Defender для дополнительного клиента. Мультитенантное управление в XDR в Microsoft Defender упрощает этот процесс и может представлять объединенное представление XDR в Microsoft Defender для всех клиентов. Оператор должен повысить уровень доступа MDE в дополнительном клиенте, прежде чем они смогут инициировать действие ответа. Оператор безопасности должен войти на порталы Azure или Entra и перейти в дополнительный каталог клиента. Затем оператор безопасности должен использовать PIM для активации группы ролей Microsoft 365. После активной роли оператор может перейти на портал Microsoft Defender. Отсюда оператор безопасности может инициировать динамический ответ для сбора журналов с сервера или выполнения других действий ответа MDE.
5. Используйте Lighthouse для управления Defender для облака между клиентами. Оператор безопасности должен проверка Defender для облака рекомендации. Оператор должен использовать портал Azure для переключения каталогов обратно в основной клиент. Azure Lighthouse позволяет оператору безопасности находить ресурсы Azure вторичного клиента из основного клиента. Defender для облака может показать несколько рекомендаций. Эти рекомендации могут включать JIT-доступ к виртуальной машине и порты управления, доступные через Интернет. В этом сценарии оператор безопасности не имеет роли Azure для реализации Defender для облака рекомендаций. Оператор безопасности должен обратиться к группе управления инфраструктурой вторичного клиента, чтобы устранить уязвимость. Оператор безопасности также должен назначать Политика Azure, чтобы предотвратить развертывание виртуальных машин с открытыми портами управления.
Другие шаблоны операций безопасности
Шаблон управления, представленный в этой статье, является одним из многих шаблонов, которые можно использовать с помощью сочетания внешних удостоверений и Azure Lighthouse. Ваша организация может решить реализовать другой шаблон, который лучше соответствует потребностям операторов безопасности.