Hantera Microsoft Sentinel-arbetsytor i stor skala

Med Azure Lighthouse kan tjänstleverantörer utföra åtgärder i stor skala i flera Microsoft Entra-klienter samtidigt, vilket gör hanteringsuppgifterna mer effektiva.

Microsoft Sentinel levererar säkerhetsanalys och hotinformation, vilket ger en enda lösning för aviseringsidentifiering, hotsynlighet, proaktiv jakt och hotsvar. Med Azure Lighthouse kan du hantera flera Microsoft Sentinel-arbetsytor mellan klienter i stor skala. Detta möjliggör scenarier som att köra frågor över flera arbetsytor eller skapa arbetsböcker för att visualisera och övervaka data från dina anslutna datakällor för att få insikter. IP-adresser som frågor och spelböcker finns kvar i din hanteringsklient, men kan användas för att utföra säkerhetshantering i kundklientorganisationer.

Det här avsnittet innehåller en översikt över hur Du med Azure Lighthouse kan använda Microsoft Sentinel på ett skalbart sätt för synlighet mellan klientorganisationer och hanterade säkerhetstjänster.

Dricks

Även om vi refererar till tjänsteleverantörer och kunder i det här avsnittet gäller den här vägledningen även för företag som använder Azure Lighthouse för att hantera flera klienter.

Kommentar

Du kan hantera delegerade resurser som finns i olika regioner. Du kan dock inte delegera resurser i ett nationellt moln och det offentliga Azure-molnet, eller över två separata nationella moln.

Arkitekturöverväganden

För en hanterad säkerhetstjänstleverantör (MSSP) som vill skapa ett security-as-a-service-erbjudande med hjälp av Microsoft Sentinel, kan ett enda säkerhetsåtgärdscenter (SOC) behövas för att centralt övervaka, hantera och konfigurera flera Microsoft Sentinel-arbetsytor som distribuerats i enskilda kundklientorganisationer. På samma sätt kan företag med flera Microsoft Entra-klienter vilja hantera flera Microsoft Sentinel-arbetsytor som distribuerats centralt i sina klienter.

Den här modellen för centraliserad hantering har följande fördelar:

• Ägarskapet för data förblir hos varje hanterad klientorganisation.
• Stöder krav för att lagra data inom geografiska gränser.
• Säkerställer dataisolering eftersom data för flera kunder inte lagras på samma arbetsyta.
• Förhindrar dataexfiltrering från de hanterade klienterna, vilket hjälper till att säkerställa dataefterlevnad.
• Relaterade kostnader debiteras för varje hanterad klientorganisation i stället för till den hanterande klientorganisationen.
• Data från alla datakällor och dataanslutningsprogram som är integrerade med Microsoft Sentinel (till exempel Microsoft Entra-aktivitetsloggar, Office 365-loggar eller Microsoft Threat Protection-aviseringar) finns kvar i varje kundklientorganisation.
• Minskar nätverksfördröjningen.
• Enkelt att lägga till eller ta bort nya dotterbolag eller kunder.
• Det går att använda en vy med flera arbetsytor när du arbetar via Azure Lighthouse.
• För att skydda din immateriella egendom kan du använda spelböcker och arbetsböcker för att arbeta mellan klienter utan att dela kod direkt med kunder. Endast analys- och jaktregler behöver sparas direkt i varje kunds klientorganisation.

Viktigt!

Om arbetsytor bara skapas i kundklientorganisationer måste resursprovidrar för Microsoft.SecurityInsights och Microsoft.OperationalInsights också vara registrerade i en prenumeration i den hanterande klientorganisationen.

En alternativ distributionsmodell är att skapa en Microsoft Sentinel-arbetsyta i den hanterande klientorganisationen. I den här modellen aktiverar Azure Lighthouse logginsamling från datakällor mellan hanterade klienter. Det finns dock vissa datakällor som inte kan anslutas mellan klienter, till exempel Microsoft Defender XDR. På grund av den här begränsningen är den här modellen inte lämplig för många scenarier för tjänsteleverantörer.

Detaljerad rollbaserad åtkomstkontroll i Azure (Azure RBAC)

Varje kundprenumeration som en MSSP hanterar måste registreras i Azure Lighthouse. På så sätt kan utsedda användare i den hanterande klientorganisationen komma åt och utföra hanteringsåtgärder på Microsoft Sentinel-arbetsytor som distribueras i kundklientorganisationer.

När du skapar dina auktoriseringar kan du tilldela inbyggda Microsoft Sentinel-roller till användare, grupper eller tjänstens huvudnamn i din hanteringsklientorganisation. Vanliga roller är:

• Microsoft Sentinel-läsare
• Microsoft Sentinel-svarare
• Microsoft Sentinel-deltagare

Du kanske också vill tilldela andra inbyggda roller för att utföra ytterligare funktioner. Information om specifika roller som kan användas med Microsoft Sentinel finns i Roller och behörigheter i Microsoft Sentinel.

När du har registrerat dina kunder kan utsedda användare logga in på din hanteringsklientorganisation och få direkt åtkomst till kundens Microsoft Sentinel-arbetsyta med de roller som har tilldelats.

Visa och hantera incidenter mellan arbetsytor

Om du arbetar med Microsoft Sentinel-resurser för flera kunder kan du visa och hantera incidenter på flera arbetsytor i olika klientorganisationer samtidigt. Mer information finns i Arbeta med incidenter på många arbetsytor samtidigt och Utöka Microsoft Sentinel mellan arbetsytor och klientorganisationer.

Kommentar

Se till att användarna i din hanteringsklient har tilldelats både läs- och skrivbehörighet på alla hanterade arbetsytor. Om en användare bara har läsbehörighet på vissa arbetsytor kan varningsmeddelanden visas när de väljer incidenter på dessa arbetsytor och användaren kan inte ändra dessa incidenter eller andra som valts tillsammans med dem (även om användaren har skrivbehörighet för de andra).

Konfigurera spelböcker för lindring

Spelböcker kan användas för automatisk åtgärd när en avisering utlöses. Dessa spelböcker kan köras manuellt, eller så kan de köras automatiskt när specifika aviseringar utlöses. Spelböckerna kan distribueras antingen i den hanterande klientorganisationen eller kundklientorganisationen, med svarsprocedurerna konfigurerade baserat på vilken klientorganisations användare som ska vidta åtgärder som svar på ett säkerhetshot.

Skapa arbetsböcker mellan klientorganisationer

Azure Monitor-arbetsböcker i Microsoft Sentinel hjälper dig att visualisera och övervaka data från dina anslutna datakällor för att få insikter. Du kan använda de inbyggda arbetsboksmallarna i Microsoft Sentinel eller skapa anpassade arbetsböcker för dina scenarier.

Du kan distribuera arbetsböcker i din hanteringsklientorganisation och skapa instrumentpaneler i stor skala för att övervaka och fråga efter data mellan kundklientorganisationer. Mer information finns i Arbetsböcker mellan arbetsytor.

Du kan också distribuera arbetsböcker direkt i en enskild hanterad klient för scenarier som är specifika för kunden.

Köra Log Analytics- och jaktfrågor på Microsoft Sentinel-arbetsytor

Skapa och spara Log Analytics-frågor för hotidentifiering centralt i den hanterande klientorganisationen, inklusive jaktfrågor. Dessa frågor kan köras på alla dina kunders Microsoft Sentinel-arbetsytor med hjälp av unionsoperatorn och uttrycket workspace().

Mer information finns i Fråga flera arbetsytor.

Använda automatisering för hantering av arbetsytor mellan arbetsytor

Du kan använda automatisering för att hantera flera Microsoft Sentinel-arbetsytor och konfigurera jaktfrågor, spelböcker och arbetsböcker. Mer information finns i Hantera flera arbetsytor med automatisering.

Övervaka säkerheten i Office 365-miljöer

Använd Azure Lighthouse med Microsoft Sentinel för att övervaka säkerheten i Office 365-miljöer mellan klienter. Aktivera först färdiga Office 365-dataanslutningar i den hanterade klientorganisationen. Information om användar- och administratörsaktiviteter i Exchange och SharePoint (inklusive OneDrive) kan sedan matas in på en Microsoft Sentinel-arbetsyta i den hanterade klientorganisationen. Den här informationen innehåller information om åtgärder som filnedladdningar, skickade åtkomstbegäranden, ändringar i grupphändelser och postlådeåtgärder, tillsammans med information om de användare som utförde dessa åtgärder. Office 365 DLP-aviseringar stöds också som en del av den inbyggda Office 365-anslutningsappen.

Med anslutningsappen Microsoft Defender för molnet Apps kan du strömma aviseringar och Cloud Discovery-loggar till Microsoft Sentinel. Den här anslutningsappen ger insyn i molnappar, tillhandahåller avancerade analyser för att identifiera och bekämpa cyberhot och hjälper dig att kontrollera hur data färdas. Aktivitetsloggar för Defender för molnet-appar kan användas med hjälp av Common Event Format (CEF).

När du har konfigurerat Office 365-dataanslutningsprogram kan du använda Microsoft Sentinel-funktioner för flera klientorganisationer, till exempel att visa och analysera data i arbetsböcker, använda frågor för att skapa anpassade aviseringar och konfigurera spelböcker för att svara på hot.

Skydda immateriella rättigheter

När du arbetar med kunder kanske du vill skydda immateriella rättigheter som utvecklats i Microsoft Sentinel, till exempel Microsoft Sentinel-analysregler, jaktfrågor, spelböcker och arbetsböcker. Det finns olika metoder som du kan använda för att säkerställa att kunderna inte har fullständig åtkomst till koden som används i dessa resurser.

Mer information finns i Skydda MSSP-immateriella rättigheter i Microsoft Sentinel.

Nästa steg

• Läs mer om Microsoft Sentinel.
• Gå igenom prissättningssidan för Microsoft Sentinel.
• Utforska MicrosoftSentinel Allt-i-ett, ett projekt för att påskynda distributionen och de inledande konfigurationsuppgifterna för en Microsoft Sentinel-miljö.
• Lär dig mer om hanteringsupplevelser mellan klientorganisationer.