Шаг 2. Архитектор рабочей области Microsoft Sentinel
Развертывание среды Microsoft Sentinel предполагает разработку конфигурации рабочей области в соответствии с требованиями к безопасности и соответствию. Процесс подготовки включает создание рабочих областей Log Analytics и настройку соответствующих параметров Microsoft Sentinel.
В этой статье приводятся рекомендации по проектированию и реализации рабочих областей Microsoft Sentinel для принципов нулевого доверия.
Шаг 1. Разработка стратегии управления
Если у вашей организации много подписок Azure, может потребоваться способ эффективного управления доступом, политиками и соответствием этих подписок. Группы управления предоставляют область управления для подписок. При организации подписок в группах управления условия управления, настроенные для группы управления, применяются к подпискам, которые он содержит. Дополнительные сведения см. в разделе "Упорядочение ресурсов с помощью групп управления".
Например, рабочая область Microsoft Sentinel на следующей схеме находится в подписке "Безопасность" в группе управления платформой, которая входит в клиент Microsoft Entra ID.
Подписка Security Azure и рабочая область Microsoft Sentinel наследуют управление доступом на основе ролей (RBAC) и политики Azure, применяемые к группе управления платформой.
Шаг 2. Создание рабочих областей Log Analytics
Чтобы использовать Microsoft Sentinel, первым шагом является создание рабочих областей Log Analytics. Одна рабочая область Log Analytics может быть достаточной для многих сред, но многие организации создают несколько рабочих областей для оптимизации затрат и лучше соответствуют различным бизнес-требованиям.
Рекомендуется создавать отдельные рабочие области для операционных и безопасности данных для управления правами на данные о данных и управлении затратами для Microsoft Sentinel. Например, если существует несколько пользователей, которые управляют операционными и ролями безопасности, первое решение об нулевом доверии заключается в том, следует ли создавать отдельные рабочие области для этих ролей.
Единая платформа операций безопасности, которая предоставляет доступ к Microsoft Sentinel на портале Defender, поддерживает только одну рабочую область.
Дополнительные сведения см . в примере решения Contoso для отдельных рабочих областей для ролей операций и безопасности.
Рекомендации по проектированию рабочей области Log Analytics
Для одного клиента можно настроить два способа настройки рабочих областей Microsoft Sentinel:
Один клиент с одной рабочей областью Log Analytics. В этом случае рабочая область становится центральным репозиторием для журналов во всех ресурсах в клиенте.
Преимущества.
- Центральная консолидация журналов.
- Проще запрашивать сведения.
- Управление доступом на основе ролей Azure (Azure RBAC) для управления доступом к Log Analytics и Microsoft Sentinel. Дополнительные сведения см. в статье "Управление доступом к рабочим областям Log Analytics— Azure Monitor" и "Роли и разрешения" в Microsoft Sentinel.
Недостатки.
- Может не соответствовать требованиям к управлению.
- Между регионами существует стоимость пропускной способности.
Один клиент с региональными рабочими областями Log Analytics.
Преимущества.
- Нет затрат на пропускную способность между регионами.
- Может потребоваться обеспечить соответствие управлению.
- Детальный контроль доступа к данным.
- Детализированные параметры хранения.
- Разделение выставления счетов.
Недостатки.
- Отсутствует ненадежность центральных служб.
- Аналитика, книги и другие конфигурации должны развертываться несколько раз.
Дополнительные сведения см. в разделе "Проектирование архитектуры рабочей области Log Analytics".
Шаг 3. Разработка рабочей области Microsoft Sentinel
Для подключения Microsoft Sentinel требуется выбрать рабочую область Log Analytics. Ниже приведены рекомендации по настройке Log Analytics для Microsoft Sentinel:
Создайте группу ресурсов безопасности для целей управления, которая позволяет изолировать ресурсы Microsoft Sentinel и доступ на основе ролей к коллекции. Дополнительные сведения см. в разделе "Проектирование архитектуры рабочей области Log Analytics".
Создайте рабочую область Log Analytics в группе ресурсов безопасности и войдите в нее в Microsoft Sentinel. Это автоматически дает вам 31 дней приема данных до 10 ГБ в день бесплатно в рамках бесплатной пробной версии.
Задайте рабочую область Log Analytics, поддерживающую хранение Microsoft Sentinel до 90 дней , как минимум.
После подключения Microsoft Sentinel к рабочей области Log Analytics вы получите 90 дней хранения данных без дополнительных затрат и убедитесь, что 90-дневный перенос данных журнала. Вы будете нести расходы на общий объем данных в рабочей области через 90 дней. Вы можете сохранить данные журнала дольше в зависимости от государственных требований. Дополнительные сведения см. в статье "Создание рабочих областей Log Analytics" и краткое руководство. Подключение в Microsoft Sentinel.
Нулевое доверие с помощью Microsoft Sentinel
Чтобы реализовать архитектуру нулевого доверия, рассмотрите возможность расширения рабочей области для запроса и анализа данных в рабочих областях и клиентах. Используйте примеры проектов рабочих областей Microsoft Sentinel и расширение Microsoft Sentinel между рабочими областями и клиентами , чтобы определить оптимальный дизайн рабочей области для вашей организации.
Кроме того, используйте инструкции по управлению облачными ролями и операциями и ее электронную таблицу Excel (скачать). Из этого руководства задачи "Нулевое доверие", которые следует учитывать для Microsoft Sentinel, являются следующими:
- Определите роли Microsoft Sentinel RBAC с связанными группами Microsoft Entra.
- Убедитесь, что реализованы методики доступа к Microsoft Sentinel по-прежнему соответствуют требованиям вашей организации.
- Рассмотрите возможность использования ключей, управляемых клиентом.
Нулевое доверие с помощью RBAC
Чтобы обеспечить нулевое доверие, рекомендуется настроить Azure RBAC на основе ресурсов, разрешенных пользователям, а не предоставлять им доступ ко всей среде Microsoft Sentinel.
В следующей таблице перечислены некоторые роли, относящиеся к Microsoft Sentinel.
| Имя роли | Description |
|---|---|
| Средство чтения Microsoft Sentinel | Просмотр инцидентов с данными, книг и других ресурсов Microsoft Sentinel. |
| Microsoft Sentinel Responder | Помимо возможностей роли читателя Microsoft Sentinel, управление инцидентами (назначение, увольнение и т. д.). Эта роль применима к типам пользователей аналитиков безопасности. |
| Оператор сборника схем Microsoft Sentinel | Вывод списка, просмотра и ручного запуска сборников схем. Эта роль также применима к типам пользователей аналитиков безопасности. Эта роль предназначена для предоставления ответа Microsoft Sentinel возможности запуска сборников схем Microsoft Sentinel с минимальным количеством привилегий. |
| Участник Microsoft Sentinel | Помимо возможностей роли оператора playbook Microsoft Sentinel, создания и редактирования книг, правил аналитики и других ресурсов Microsoft Sentinel. Эта роль применима к типам пользователей инженеров безопасности. |
| Участник службы автоматизации Microsoft Sentinel | Позволяет Microsoft Sentinel добавлять сборники схем в правила автоматизации. Она не предназначена для учетных записей пользователей. |
При назначении ролей Azure, относящихся к Microsoft Sentinel, вы можете столкнуться с другими ролями Azure и Log Analytics, которые могли быть назначены пользователям в других целях. Например, роли участника Log Analytics и читателя Log Analytics предоставляют доступ к рабочей области Log Analytics.
Дополнительные сведения см. в статье "Роли и разрешения" в Microsoft Sentinel и управление доступом к данным Microsoft Sentinel по ресурсам.
Нулевое доверие в мультитенантных архитектурах с помощью Azure Lighthouse
Azure Lighthouse обеспечивает мультитенантное управление масштабируемостью, более высокой автоматизацией и расширенным управлением между ресурсами. С помощью Azure Lighthouse можно управлять несколькими экземплярами Microsoft Sentinel в клиентах Microsoft Entra в масштабе. Вот пример.
С помощью Azure Lighthouse можно выполнять запросы в нескольких рабочих областях или создавать книги для визуализации и мониторинга данных из подключенных источников данных и получения дополнительных сведений. Важно учитывать принципы нулевого доверия. Ознакомьтесь с рекомендациями по обеспечению безопасности для реализации элементов управления доступом с минимальными привилегиями для Azure Lighthouse.
При реализации рекомендаций по безопасности для Azure Lighthouse следует учитывать следующие вопросы:
- Кто отвечает за владение данными?
- Каковы требования к изоляции и соответствию данным?
- Как реализовать минимальные привилегии для клиентов?
- Как управлять несколькими соединителями данных в нескольких рабочих областях Microsoft Sentinel?
- Как отслеживать среды Office 365?
- Как защитить интеллектуальные свойства, например сборники схем, записные книжки, правила аналитики между клиентами?
См. статью "Управление рабочими областями Microsoft Sentinel в большом масштабе: детализация Azure RBAC " для рекомендаций по безопасности Microsoft Sentinel и Azure Lighthouse.
Подключение рабочей области к единой платформе операций безопасности
Если вы работаете с одной рабочей областью, рекомендуется подключить рабочую область к единой платформе операций безопасности, чтобы просмотреть все данные Microsoft Sentinel вместе с данными XDR на портале Microsoft Defender.
Платформа унифицированных операций безопасности также предоставляет улучшенные возможности, такие как автоматическое нарушение атак для системы SAP, унифицированные запросы со страницы расширенной охоты Defender, а также унифицированные инциденты и сущности как в Microsoft Defender, так и в Microsoft Sentinel.
Дополнительные сведения см. в разделе:
- Подключение Microsoft Sentinel к XDR в Microsoft Defender
- Microsoft Sentinel на портале Microsoft Defender
Рекомендуемое обучение
В настоящее время обучающее содержимое не охватывает единую платформу операций безопасности.
Общие сведения о Microsoft Sentinel
| Обучение | Общие сведения о Microsoft Sentinel |
|---|---|
|
Узнайте, как Microsoft Sentinel позволяет быстро получать ценные аналитические сведения о безопасности из облака и локальных данных. |
Настройка среды Microsoft Sentinel
| Обучение | Настройка среды Microsoft Sentinel |
|---|---|
|
Начните работу с Microsoft Sentinel с правильной настройки рабочей области Microsoft Sentinel. |
Создание рабочих областей Microsoft Sentinel и управление ими
| Обучение | Создание рабочих областей Microsoft Sentinel и управление ими |
|---|---|
|
Изучите архитектуру рабочих областей Microsoft Sentinel, чтобы обеспечить настройку системы в соответствии с требованиями безопасности вашей организации. |
Следующий шаг
Перейдите к шагу 3 , чтобы настроить Microsoft Sentinel для приема источников данных и настройки обнаружения инцидентов.
Ссылки
Ознакомьтесь с этими ссылками, чтобы узнать о службах и технологиях, упомянутых в этой статье.
| Область обслуживания | Подробнее |
|---|---|
| Microsoft Sentinel | - Краткое руководство. Подключение в Microsoft Sentinel - Управление доступом к данным Microsoft Sentinel по ресурсам |
| Управление Microsoft Sentinel | - Упорядочение ресурсов с помощью групп управления - Роли и разрешения в Microsoft Sentinel |
| Рабочие области Log Analytics | - Проектирование архитектуры рабочей области Log Analytics - Условия разработки для рабочих областей Log Analytics - Решение Contoso - Управление доступом к рабочим областям Log Analytics — Azure Monitor - Проектирование архитектуры рабочей области Log Analytics - Создание рабочих областей Log Analytics |
| Рабочие области Microsoft Sentinel и Azure Lighthouse | - Управление рабочими областями Microsoft Sentinel в масштабе: детализированный azure RBAC - Recommended security practices (Рекомендации по безопасности) |