Steg 2. Skapa din Microsoft Sentinel-arbetsyta
När du distribuerar Microsoft Sentinel-miljön måste du utforma en arbetsytekonfiguration för att uppfylla dina säkerhets- och efterlevnadskrav. Etableringsprocessen omfattar att skapa Log Analytics-arbetsytor och konfigurera lämpliga Microsoft Sentinel-alternativ.
Den här artikeln innehåller rekommendationer om hur du utformar och implementerar Microsoft Sentinel-arbetsytor för principerna för Nolltillit.
Kommentar
Om du inte har använt Microsoft Sentinel-arbetsytor tidigare kan du läsa designstrategier och kriterier i Designa en Log Analytics-arbetsytearkitektur.
Steg 1: Utforma en styrningsstrategi
Om din organisation har många Azure-prenumerationer kan du behöva ett sätt att effektivt hantera åtkomst, principer och efterlevnad för dessa prenumerationer. Hanteringsgrupper tillhandahåller ett styrningsomfång för prenumerationer. När du organiserar dina prenumerationer i hanteringsgrupper gäller de styrningsvillkor som du konfigurerar för en hanteringsgrupp för de prenumerationer som den innehåller. Mer information finns i Organisera dina resurser med hanteringsgrupper.
Till exempel finns Microsoft Sentinel-arbetsytan i följande diagram i säkerhetsprenumerationenunder gruppen Plattformshantering , som är en del av Microsoft Entra-klientorganisationen.
Security Azure-prenumerationen och Microsoft Sentinel-arbetsytan ärver rollbaserad åtkomstkontroll (RBAC) och Azure-principer som tillämpas på plattformshanteringsgruppen.
Steg 2: Skapa Log Analytics-arbetsytor
Om du vill använda Microsoft Sentinel är det första steget att skapa dina Log Analytics-arbetsytor. En enda Log Analytics-arbetsyta kan vara tillräcklig för många miljöer, men många organisationer skapar flera arbetsytor för att optimera kostnaderna och bättre uppfylla olika affärskrav.
Det är bästa praxis att skapa separata arbetsytor för drift- och säkerhetsdata för dataägarskap och kostnadshantering för Microsoft Sentinel. Om det till exempel finns fler än en person som administrerar drift- och säkerhetsroller är ditt första beslut för Nolltillit om du vill skapa separata arbetsytor för dessa roller.
Mer information finns i Designvillkor för Log Analytics-arbetsytor.
Ett exempel på separata arbetsytor för drifts- och säkerhetsroller finns i Contosos lösning.
Designöverväganden för Log Analytics-arbetsytor
För en enda klientorganisation finns det två sätt att konfigurera Microsoft Sentinel-arbetsytor:
Enskild klientorganisation med en enda Log Analytics-arbetsyta. I det här fallet blir arbetsytan den centrala lagringsplatsen för loggar över alla resurser i klientorganisationen.
Fördelar:
- Central konsolidering av loggar.
- Enklare att fråga efter information.
- Log Analytics RBAC för att styra åtkomsten. Mer information finns i Hantera åtkomst till Log Analytics-arbetsytor – Azure Monitor.
- Microsoft Sentinel RBAC för tjänsten RBAC. Mer information finns i Roller och behörigheter i Microsoft Sentinel.
Nackdelar:
- Kanske inte uppfyller styrningskraven.
- Det finns en bandbreddskostnad mellan regioner.
Enskild klientorganisation med regionala Log Analytics-arbetsytor.
Fördelar:
- Inga bandbreddskostnader mellan regioner.
- Kan krävas för att uppfylla styrningen.
- Detaljerad dataåtkomstkontroll.
- Detaljerade kvarhållningsinställningar.
- Delad fakturering.
Nackdelar:
- Ingen central fönsterruta.
- Analys, arbetsböcker och andra konfigurationer måste distribueras flera gånger.
Information om hur du skapar dina Log Analytics-arbetsytor finns i Skapa Log Analytics-arbetsytor.
Steg 3: Skapa Sentinel-arbetsytan
Registrering av Microsoft Sentinel kräver att du väljer en Log Analytics-arbetsyta. Följande är saker att tänka på när du konfigurerar Log Analytics för Microsoft Sentinel:
- Skapa en resursgrupp för säkerhet i styrningssyfte, vilket möjliggör isolering av Microsoft Sentinel-resurser och rollbaserad åtkomst till samlingen. Mer information finns i Designa en Log Analytics-arbetsytearkitektur.
- Skapa en Log Analytics-arbetsyta i resursgruppen "Säkerhet" och registrera Microsoft Sentinel i den. Detta ger dig automatiskt 31 dagars datainmatning upp till 10 Gb per dag kostnadsfritt som en del av en kostnadsfri utvärderingsversion.
- Ange din Log Analytics-arbetsyta med stöd för Microsoft Sentinel till minst 90 dagars kvarhållning .
När du har registrerat Microsoft Sentinel på en Log Analytics-arbetsyta får du 90 dagars datakvarhållning utan extra kostnad. Du kommer att debiteras kostnader för den totala mängden data på arbetsytan efter 90 dagar. Om du anger den till 90 dagar säkerställs en 90-dagars återställning av loggdata. Du kan överväga att behålla loggdata längre baserat på statliga krav. Mer information finns i Snabbstart: Publicera i Microsoft Sentinel .
Nolltillit med Microsoft Sentinel
Om du vill implementera arkitektur med noll förtroende kan du överväga att utöka arbetsytan så att den frågar efter och analyserar dina data mellan arbetsytor och klientorganisationer. Använd Microsoft Sentinel-exempeldesign för arbetsytor och Utöka Microsoft Sentinel mellan arbetsytor och klientorganisationer för att fastställa den bästa arbetsytedesignen för din organisation.
Dessutom använder du den normativa vägledningen för Molnroller och Operations Management och dess Excel-kalkylblad (ladda ned). I den här guiden är Nolltillit uppgifter att tänka på för Microsoft Sentinel:
- Definiera RBAC-roller för Microsoft Sentinel med associerade Microsoft Entra-grupper.
- Verifiera att implementerade åtkomstmetoder till Microsoft Sentinel fortfarande uppfyller organisationens krav.
- Överväg att använda kundhanterade nycklar.
Nolltillit med RBAC
För att följa Nolltillit rekommenderar vi att du konfigurerar RBAC baserat på de resurser som tillåts för dina användare i stället för att ge dem åtkomst till hela Microsoft Sentinel-miljön. I följande tabell visas några av de Microsoft Sentinel-specifika rollerna.
| Rollnamn | beskrivning |
|---|---|
| Microsoft Sentinel-läsare | Visa data, incidenter, arbetsböcker och andra Microsoft Sentinel-resurser. |
| Microsoft Sentinel-svarare | Utöver funktionerna i Rollen Microsoft Sentinel-läsare hanterar du incidenter (tilldela, avvisa osv.). Den här rollen gäller för användartyper av säkerhetsanalytiker. |
| Microsoft Sentinel-spelboksoperator | Visa, visa och kör spelböcker manuellt. Den här rollen gäller även för användartyper av säkerhetsanalytiker. Den här rollen är till för att ge en Microsoft Sentinel-svarare möjlighet att köra Microsoft Sentinel-spelböcker med minsta möjliga behörighet. |
| Microsoft Sentinel-deltagare | Förutom funktionerna i microsoft sentinel-spelboksoperatörsrollen skapar och redigerar du arbetsböcker, analysregler och andra Microsoft Sentinel-resurser. Den här rollen gäller för användartyper av säkerhetstekniker. |
| Microsoft Sentinel Automation-deltagare | Gör att Microsoft Sentinel kan lägga till spelböcker i automatiseringsregler. Det är inte avsett för användarkonton. |
När du tilldelar Microsoft Sentinel-specifika Azure-roller kan du stöta på andra Azure- och Log Analytics-roller som kan ha tilldelats till användare i andra syften. Rollerna Log Analytics-deltagare och Log Analytics-läsare ger till exempel åtkomst till en Log Analytics-arbetsyta. Information om hur du implementerar RBAC för en Microsoft Sentinel-arbetsyta finns i Roller och behörigheter i Microsoft Sentinel och Hantera åtkomst till Microsoft Sentinel-data efter resurs.
Nolltillit i arkitektur för flera innehavare med Azure Lighthouse
Azure Lighthouse möjliggör hantering av flera klientorganisationer med skalbarhet, högre automatisering och förbättrad styrning mellan resurser. Med Azure Lighthouse kan du hantera flera Microsoft Sentinel-instanser över Microsoft Entra-klienter i stor skala. Här är ett exempel.
Med Azure Lighthouse kan du köra frågor på flera arbetsytor eller skapa arbetsböcker för att visualisera och övervaka data från dina anslutna datakällor och få ytterligare insikter. Det är viktigt att tänka på Nolltillit principer. Se Rekommenderade säkerhetsmetoder för att implementera åtkomstkontroller med minsta möjliga behörighet för Azure Lighthouse.
Tänk på följande frågor när du implementerar metodtips för säkerhet för Azure Lighthouse:
- Vem ansvarar för dataägarskapet?
- Vilka är kraven på dataisolering och efterlevnad?
- Så här implementerar du lägsta behörigheter mellan klienter.
- Hur kommer flera dataanslutningar i flera Microsoft Sentinel-arbetsytor att hanteras?
- Hur övervakar jag Office 365-miljöer?
- Hur skyddar du intellektuella egenskaper– till exempel spelböcker, notebook-filer, analysregler – mellan klienter?
Se Hantera Microsoft Sentinel-arbetsytor i stor skala: Detaljerad Azure RBAC för bästa praxis för säkerhet i Microsoft Sentinel och Azure Lighthouse.
Rekommenderad träning
Följande är de rekommenderade träningsmodulerna för det här steget.
Introduktion till Microsoft Sentinel
| Utbildning | Introduktion till Microsoft Sentinel |
|---|---|
|
Lär dig hur Microsoft Sentinel gör att du snabbt kan börja få värdefulla säkerhetsinsikter från molnet och lokala data. |
Konfigurera din Microsoft Sentinel-miljö
| Utbildning | Konfigurera din Microsoft Sentinel-miljö |
|---|---|
|
Kom igång med Microsoft Sentinel genom att konfigurera Microsoft Sentinel-arbetsytan korrekt. |
Skapa och hantera Microsoft Sentinel-arbetsytor
| Utbildning | Skapa och hantera Microsoft Sentinel-arbetsytor |
|---|---|
|
Lär dig mer om arkitekturen för Microsoft Sentinel-arbetsytor för att se till att du konfigurerar systemet så att det uppfyller organisationens säkerhetskrav. |
Gå vidare
Fortsätt med steg 3 för att konfigurera Microsoft Sentinel för att mata in datakällor och konfigurera incidentidentifiering.
Referenser
Se de här länkarna om du vill veta mer om de tjänster och tekniker som nämns i den här artikeln.
Microsoft Sentinel:
- Snabbstart: Publicera i Microsoft Sentinel
- Hantera åtkomst till Microsoft Sentinel-data efter resurs
Microsoft Sentinel-styrning:
Log Analytics-arbetsytor:
- Utforma en Log Analytics-arbetsytearkitektur
- Designvillkor för Log Analytics-arbetsytor
- Contosos lösning
- Hantera åtkomst till Log Analytics-arbetsytor – Azure Monitor
- Utforma en Log Analytics-arbetsytearkitektur
- Skapa Log Analytics-arbetsytor
Microsoft Sentinel-arbetsytor och Azure Lighthouse:
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för