Шаг 2. Архитектор рабочей области Microsoft Sentinel

  • Статья

Развертывание среды Microsoft Sentinel предполагает разработку конфигурации рабочей области в соответствии с требованиями к безопасности и соответствию. Процесс подготовки включает создание рабочих областей Log Analytics и настройку соответствующих параметров Microsoft Sentinel.

В этой статье приводятся рекомендации по проектированию и реализации рабочих областей Microsoft Sentinel для принципов нулевого доверия.

Примечание.

Если вы не знакомы с рабочими областями Microsoft Sentinel, ознакомьтесь с стратегиями проектирования и критериями в архитектуре рабочей области Log Analytics.

Шаг 1. Разработка стратегии управления

Если в вашей организации оформлено много подписок Azure, возможно, потребуется повысить эффективность управления доступом, политиками и соответствием требованиям для этих подписок. Группы управления предоставляют область управления для подписок. При организации подписок в группах управления условия управления, настроенные для группы управления, применяются к подпискам, которые он содержит. Дополнительные сведения см. в разделе "Упорядочение ресурсов с помощью групп управления".

Например, рабочая область Microsoft Sentinel на следующей схеме находится в подписке "Безопасность" в группе управления платформой, которая входит в клиент Microsoft Entra.

Пример рабочей области Microsoft Sentinel в клиенте Microsoft Entra.

Подписка Security Azure и рабочая область Microsoft Sentinel наследуют управление доступом на основе ролей (RBAC) и политики Azure, применяемые к группе управления платформой.

Шаг 2. Создание рабочих областей Log Analytics

Чтобы использовать Microsoft Sentinel, первым шагом является создание рабочих областей Log Analytics. Одна рабочая область Log Analytics может быть достаточной для многих сред, но многие организации создают несколько рабочих областей для оптимизации затрат и лучше соответствуют различным бизнес-требованиям.

Рекомендуется создавать отдельные рабочие области для операционных и безопасности данных для управления правами на доступ к данным и затратам для Microsoft Sentinel. Например, если существует несколько пользователей, которые управляют операционными и ролями безопасности, первое решение об нулевом доверии заключается в том, следует ли создавать отдельные рабочие области для этих ролей.

Дополнительные сведения см. в разделе "Условия разработки" для рабочих областей Log Analytics.

Пример отдельных рабочих областей для ролей операций и безопасности см . в решении Contoso.

Рекомендации по проектированию рабочей области Log Analytics

Для одного клиента можно настроить два способа настройки рабочих областей Microsoft Sentinel:

  • Один клиент с одной рабочей областью Log Analytics. В этом случае рабочая область становится центральным репозиторием для журналов во всех ресурсах в клиенте.

  • Один клиент с региональными рабочими областями Log Analytics.

    • Преимущества.

      • Нет затрат на пропускную способность между регионами.
      • Может потребоваться обеспечить соответствие управлению.
      • Детальный контроль доступа к данным.
      • Детализированные параметры хранения.
      • Разделение выставления счетов.

    • Недостатки.

      • Отсутствует ненадежность центральных служб.
      • Аналитика, книги и другие конфигурации должны развертываться несколько раз.

Сведения о создании рабочих областей Log Analytics см. в статье "Создание рабочих областей Log Analytics".

Шаг 3. Архитектор рабочей области Sentinel

Для подключения Microsoft Sentinel требуется выбрать рабочую область Log Analytics. Ниже приведены рекомендации по настройке Log Analytics для Microsoft Sentinel:

  • Создайте группу ресурсов "Безопасность" для целей управления, которая позволяет изоляции ресурсов Microsoft Sentinel и доступа на основе ролей к коллекции. Дополнительные сведения см. в разделе "Проектирование архитектуры рабочей области Log Analytics".
  • Создайте рабочую область Log Analytics в группе ресурсов "Безопасность" и войдите в нее в Microsoft Sentinel. Это автоматически дает вам 31 дней приема данных до 10 ГБ в день бесплатно в рамках бесплатной пробной версии.
  • Задайте рабочую область Log Analytics, поддерживающую хранение Microsoft Sentinel до 90 дней , как минимум.

После подключения Microsoft Sentinel к рабочей области Log Analytics вы получите 90 дней хранения данных без дополнительных затрат. Вы будете нести расходы на общий объем данных в рабочей области через 90 дней. Установка 90 дней обеспечивает 90-дневный откат данных журнала. Вы можете сохранить данные журнала дольше в зависимости от государственных требований. Дополнительные сведения см . в кратком руководстве. Подключение в Microsoft Sentinel .

Нулевое доверие с помощью Microsoft Sentinel

Чтобы реализовать архитектуру нулевого доверия, рассмотрите возможность расширения рабочей области для запроса и анализа данных в рабочих областях и клиентах. Используйте примеры проектов рабочих областей Microsoft Sentinel и расширение Microsoft Sentinel между рабочими областями и клиентами , чтобы определить оптимальный дизайн рабочей области для вашей организации.

Кроме того, используйте инструкции по управлению облачными ролями и операциями и ее электронную таблицу Excel (скачать). Из этого руководства задачи "Нулевое доверие", которые следует учитывать для Microsoft Sentinel, являются следующими:

  • Определите роли Microsoft Sentinel RBAC с связанными группами Microsoft Entra.
  • Убедитесь, что реализованы методики доступа к Microsoft Sentinel по-прежнему соответствуют требованиям вашей организации.
  • Рассмотрите возможность использования ключей, управляемых клиентом.

Нулевое доверие с помощью RBAC

Чтобы обеспечить нулевое доверие, рекомендуется настроить RBAC на основе ресурсов, разрешенных пользователям, а не предоставлять им доступ ко всей среде Microsoft Sentinel. В следующей таблице перечислены некоторые роли, относящиеся к Microsoft Sentinel.

Имя роли Description
Читатель Microsoft Sentinel Просмотр инцидентов с данными, книг и других ресурсов Microsoft Sentinel.
Респондент Microsoft Sentinel Помимо возможностей роли читателя Microsoft Sentinel, управление инцидентами (назначение, увольнение и т. д.). Эта роль применима к типам пользователей аналитиков безопасности.
Оператор сборника схем Microsoft Sentinel Вывод списка, просмотра и ручного запуска сборников схем. Эта роль также применима к типам пользователей аналитиков безопасности. Эта роль предназначена для предоставления ответа Microsoft Sentinel возможности запуска сборников схем Microsoft Sentinel с минимальным количеством привилегий.
Участник Microsoft Sentinel Помимо возможностей роли оператора playbook Microsoft Sentinel, создания и редактирования книг, правил аналитики и других ресурсов Microsoft Sentinel. Эта роль применима к типам пользователей инженеров безопасности.
Участник службы автоматизации Microsoft Sentinel Позволяет Microsoft Sentinel добавлять сборники схем в правила автоматизации. Она не предназначена для учетных записей пользователей.

При назначении ролей Microsoft Sentinel в Azure вам могут встречаться другие роли Azure и Log Analytics, назначенные пользователям в других целях. Например, роли участника Log Analytics и читателя Log Analytics предоставляют доступ к рабочей области Log Analytics. Сведения о реализации RBAC для рабочей области Microsoft Sentinel см. в статье "Роли и разрешения" в Microsoft Sentinel и управление доступом к данным Microsoft Sentinel по ресурсам.

Нулевое доверие в многотенантной архитектуре с помощью Azure Lighthouse

Azure Lighthouse обеспечивает управление несколькими клиентами, обеспечивая масштабируемость, более высокую степень автоматизации и улучшенную систему управления ресурсами. С помощью Azure Lighthouse можно управлять несколькими экземплярами Microsoft Sentinel в клиентах Microsoft Entra в масштабе. Вот пример.

Пример использования Azure Lighthouse в нескольких клиентах Microsoft Entra.

С помощью Azure Lighthouse можно выполнять запросы в нескольких рабочих областях или создавать книги для визуализации и мониторинга данных из подключенных источников данных и получения дополнительных сведений. Важно учитывать принципы нулевого доверия. Ознакомьтесь с рекомендациями по обеспечению безопасности для реализации элементов управления доступом с минимальными привилегиями для Azure Lighthouse.

При реализации рекомендаций по безопасности для Azure Lighthouse следует учитывать следующие вопросы:

  • Кто отвечает за владение данными?
  • Каковы требования к изоляции и соответствию данным?
  • Как реализовать минимальные привилегии между клиентами.
  • Как управлять несколькими соединителями данных в нескольких рабочих областях Microsoft Sentinel?
  • Как отслеживать среды Office 365?
  • Как защитить интеллектуальные свойства, например сборники схем, записные книжки, правила аналитики между клиентами?

См. статью "Управление рабочими областями Microsoft Sentinel в большом масштабе: детализация Azure RBAC " для рекомендаций по безопасности Microsoft Sentinel и Azure Lighthouse.

Ниже приведены рекомендуемые учебные модули для этого шага.

Общие сведения о Microsoft Sentinel

Обучение Общие сведения о Microsoft Sentinel
Узнайте, как Microsoft Sentinel позволяет быстро получать ценные аналитические сведения о безопасности из облака и локальных данных.

Начало >

Настройка среды Microsoft Sentinel

Обучение Настройка среды Microsoft Sentinel
Начните работу с Microsoft Sentinel с правильной настройки рабочей области Microsoft Sentinel.

Начало >

Создание рабочих областей Microsoft Sentinel и управление ими

Обучение Создание рабочих областей Microsoft Sentinel и управление ими
Изучите архитектуру рабочих областей Microsoft Sentinel, чтобы обеспечить настройку системы в соответствии с требованиями безопасности вашей организации.

Начало >

Следующий шаг

Перейдите к шагу 3 , чтобы настроить Microsoft Sentinel для приема источников данных и настройки обнаружения инцидентов.

Изображение шагов решения Microsoft Sentinel и XDR с выделенным шагом 3

Ссылки

Ознакомьтесь с этими ссылками, чтобы узнать о службах и технологиях, упоминание в этой статье.

Microsoft Sentinel:

Управление Microsoft Sentinel:

Рабочие области Log Analytics:

Рабочие области Microsoft Sentinel и Azure Lighthouse: