Microsoft Sentinel çalışma alanlarını uygun ölçekte yönetme

Azure Lighthouse , hizmet sağlayıcılarının çeşitli Microsoft Entra kiracılarında aynı anda büyük ölçekte işlemler gerçekleştirmesine olanak sağlayarak yönetim görevlerini daha verimli hale getirir.

Microsoft Sentinel , güvenlik analizi ve tehdit bilgileri sunarak uyarı algılama, tehdit görünürlüğü, proaktif tehdit avcılığı ve tehdit yanıtı için tek bir çözüm sağlar. Azure Lighthouse ile kiracılar arasında büyük ölçekte birden çok Microsoft Sentinel çalışma alanını yönetebilirsiniz. Bu, birden çok çalışma alanında sorgu çalıştırma veya içgörü elde etmek için bağlı veri kaynaklarınızdaki verileri görselleştirmek ve izlemek için çalışma kitapları oluşturma gibi senaryolara olanak tanır. Sorgular ve playbook'lar gibi IP, yönetim kiracınızda kalır, ancak müşteri kiracılarında güvenlik yönetimi gerçekleştirmek için kullanılabilir.

Bu konu başlığı altında, Azure Lighthouse'un Microsoft Sentinel'i kiracılar arası görünürlük ve yönetilen güvenlik hizmetleri için ölçeklenebilir bir şekilde kullanmanıza nasıl olanak sağladığına ilişkin bir genel bakış sağlanır.

Bahşiş

Bu konuda hizmet sağlayıcılarına ve müşterilere başvursak da, bu kılavuz birden çok kiracıyı yönetmek için Azure Lighthouse kullanan kuruluşlar için de geçerlidir.

Dekont

Farklı bölgelerde bulunan temsilcili kaynakları yönetebilirsiniz. Ancak, ulusal bulut ve Azure genel bulutu veya iki ayrı ulusal bulut genelinde kaynak temsilcisi seçemezsiniz.

Mimariyle ilgili dikkat edilmesi gerekenler

Microsoft Sentinel kullanarak Bir Hizmet Olarak Güvenlik teklifi oluşturmak isteyen bir yönetilen güvenlik hizmeti sağlayıcısı (MSSP) için, tek bir müşteri kiracısı içinde dağıtılan birden çok Microsoft Sentinel çalışma alanını merkezi olarak izlemek, yönetmek ve yapılandırmak için tek bir güvenlik operasyonları merkezi (SOC) gerekebilir. Benzer şekilde, birden çok Microsoft Entra kiracısına sahip kuruluşlar, kiracılarına dağıtılan birden çok Microsoft Sentinel çalışma alanını merkezi olarak yönetmek isteyebilir.

Bu merkezi yönetim modelinin aşağıdaki avantajları vardır:

• Verilerin sahipliği yönetilen her kiracıda kalır.
• Verileri coğrafi sınırlar içinde depolama gereksinimlerini destekler.
• Birden çok müşteriye yönelik veriler aynı çalışma alanında depolanmadığından veri yalıtımını sağlar.
• Yönetilen kiracılardan veri sızdırmayı önleyerek veri uyumluluğunun sağlanmasına yardımcı olur.
• İlgili maliyetler, yönetilen kiracı yerine yönetilen her kiracı için ücretlendirilir.
• Microsoft Sentinel ile tümleştirilmiş tüm veri kaynaklarından ve veri bağlayıcılarından (Microsoft Entra Etkinlik Günlükleri, Office 365 günlükleri veya Microsoft Threat Protection uyarıları gibi) veriler her müşteri kiracısı içinde kalır.
• Ağ gecikme süresini azaltır.
• Yeni yan kuruluşlar veya müşteriler eklemek veya kaldırmak kolaydır.
• Azure Lighthouse'da çalışırken çok çalışma alanılı bir görünüm kullanabilirsiniz.
• Fikri mülkiyetinizi korumak için, doğrudan müşterilerle kod paylaşmadan kiracılar arasında çalışmak için playbook'ları ve çalışma kitaplarını kullanabilirsiniz. Yalnızca analiz ve tehdit avcılığı kurallarının doğrudan her müşterinin kiracısına kaydedilmesi gerekir.

Önemli

Çalışma alanları yalnızca müşteri kiracılarında oluşturulduysa, Microsoft.Security Analizler & Microsoft.Operational Analizler kaynak sağlayıcılarının da yönetim kiracısında bir aboneliğe kaydedilmesi gerekir.

Alternatif dağıtım modeli, yönetim kiracısında bir Microsoft Sentinel çalışma alanı oluşturmaktır. Bu modelde Azure Lighthouse, yönetilen kiracılar genelindeki veri kaynaklarından günlük toplamayı etkinleştirir. Ancak, Microsoft Defender XDR gibi kiracılar arasında bağlanılabilen bazı veri kaynakları vardır. Bu sınırlama nedeniyle bu model birçok hizmet sağlayıcısı senaryosu için uygun değildir.

Ayrıntılı Azure rol tabanlı erişim denetimi (Azure RBAC)

MSSP'nin yöneteceği her müşteri aboneliği Azure Lighthouse'a eklenmelidir. Bu, yönetim kiracısında atanan kullanıcıların müşteri kiracılarında dağıtılan Microsoft Sentinel çalışma alanlarına erişmesine ve bu çalışma alanlarında yönetim işlemleri gerçekleştirmesine olanak tanır.

Yetkilendirmelerinizi oluştururken, Microsoft Sentinel yerleşik rollerini yönetici kiracınızdaki kullanıcılara, gruplara veya hizmet sorumlularına atayabilirsiniz:

• Microsoft Sentinel Okuyucusu
• Microsoft Sentinel Yanıtlayıcısı
• Microsoft Sentinel Katkıda Bulunanı

Ek işlevler gerçekleştirmek için ek yerleşik roller de atamak isteyebilirsiniz. Microsoft Sentinel ile kullanılabilecek belirli roller hakkında bilgi için bkz . Microsoft Sentinel'de roller ve izinler.

Müşterilerinizi ekledikten sonra, belirlenen kullanıcılar yönetici kiracınızda oturum açabilir ve atanan rollerle doğrudan müşterinin Microsoft Sentinel çalışma alanına erişebilir.

Çalışma alanları genelinde olayları görüntüleme ve yönetme

Birden çok müşteri için Microsoft Sentinel kaynaklarıyla çalışıyorsanız, aynı anda farklı kiracılardaki birden çok çalışma alanında olayları görüntüleyebilir ve yönetebilirsiniz. Daha fazla bilgi için bkz . Aynı anda birçok çalışma alanında olaylarla çalışma ve Microsoft Sentinel'i çalışma alanları ve kiracılar arasında genişletme.

Dekont

Yönetim kiracınızdaki kullanıcılara, tüm yönetim çalışma alanlarında hem okuma hem de yazma izinlerinin atandığından emin olun. Bir kullanıcının yalnızca bazı çalışma alanlarında okuma izinleri varsa, bu çalışma alanlarındaki olayları seçerken uyarı iletileri görünebilir ve kullanıcı bu olayları veya bunlarla birlikte seçilen diğer olayları değiştiremez (kullanıcının diğerleri için yazma izinleri olsa bile).

Playbook'ları risk azaltma için yapılandırma

Playbook'lar bir uyarı tetiklendiğinde otomatik azaltma için kullanılabilir. Bu playbook'lar el ile çalıştırılabilir veya belirli uyarılar tetiklendiğinde otomatik olarak çalıştırılabilir. Playbook'lar, bir güvenlik tehdidine yanıt olarak hangi kiracı kullanıcılarının eylemde bulunacağı temelinde yapılandırılan yanıt yordamları ile yönetim kiracısında veya müşteri kiracısında dağıtılabilir.

Kiracılar arası çalışma kitapları oluşturma

Microsoft Sentinel'deki Azure İzleyici çalışma kitapları, içgörü elde etmek için bağlı veri kaynaklarınızdaki verileri görselleştirmenize ve izlemenize yardımcı olur. Microsoft Sentinel'de yerleşik çalışma kitabı şablonlarını kullanabilir veya senaryolarınız için özel çalışma kitapları oluşturabilirsiniz.

Çalışma kitaplarını yönetim kiracınızda dağıtabilir ve müşteri kiracıları genelinde verileri izlemek ve sorgulamak için ölçekli panolar oluşturabilirsiniz. Daha fazla bilgi için bkz . Çalışma alanları arası çalışma kitapları.

Ayrıca, çalışma kitaplarını ilgili müşteriye özgü senaryolar için doğrudan tek bir yönetilen kiracıda dağıtabilirsiniz.

Microsoft Sentinel çalışma alanlarında Log Analytics ve tehdit avcılığı sorguları çalıştırma

Tehdit algılama için Log Analytics sorgularını tehdit avcılığı sorguları da dahil olmak üzere yönetim kiracısında merkezi olarak oluşturun ve kaydedin. Bu sorgular Union işleci ve workspace() ifadesi kullanılarak müşterilerinizin tüm Microsoft Sentinel çalışma alanlarında çalıştırılabilir.

Daha fazla bilgi için bkz . Çalışma alanları arası sorgulama.

Çalışma alanları arası yönetim için otomasyonu kullanma

Birden çok Microsoft Sentinel çalışma alanını yönetmek ve tehdit avcılığı sorguları, playbook'lar ve çalışma kitapları yapılandırmak için otomasyonu kullanabilirsiniz. Daha fazla bilgi için bkz . Otomasyon kullanarak çalışma alanları arası yönetim.

Office 365 ortamlarının güvenliğini izleme

Kiracılar arasında Office 365 ortamlarının güvenliğini izlemek için Azure Lighthouse'u Microsoft Sentinel ile birlikte kullanın. İlk olarak, yönetilen kiracıda kullanıma alınmış Office 365 veri bağlayıcılarını etkinleştirin. Daha sonra Exchange ve SharePoint'teki (OneDrive dahil) kullanıcı ve yönetici etkinlikleri hakkındaki bilgiler yönetilen kiracı içindeki bir Microsoft Sentinel çalışma alanına alınabilir. Bu bilgiler dosya indirmeleri, gönderilen erişim istekleri, grup olaylarında yapılan değişiklikler ve posta kutusu işlemleri gibi eylemlerin ayrıntılarını ve bu eylemleri gerçekleştiren kullanıcılar hakkındaki ayrıntıları içerir. Office 365 DLP uyarıları , yerleşik Office 365 bağlayıcısının bir parçası olarak da desteklenir.

Uyarıları ve Cloud Discovery günlüklerini Microsoft Sentinel'de akışla aktarmak için Bulut için Microsoft Defender Apps bağlayıcısını kullanabilirsiniz. Bu bağlayıcı bulut uygulamalarına görünürlük sağlar, siber tehditleri tanımlamak ve bunlarla mücadele etmek için gelişmiş analizler sağlar ve verilerin nasıl hareket ettiğinizi denetlemenize yardımcı olur. Bulut için Defender Uygulamaları için etkinlik günlükleri Ortak Olay Biçimi (CEF) kullanılarak kullanılabilir.

Office 365 veri bağlayıcılarını ayarladıktan sonra çalışma kitaplarındaki verileri görüntüleme ve çözümleme, özel uyarılar oluşturmak için sorgular kullanma ve playbook'ları tehditlere yanıt verecek şekilde yapılandırma gibi kiracılar arası Microsoft Sentinel özelliklerini kullanabilirsiniz.

Fikri mülkiyeti koruma

Müşterilerle çalışırken Microsoft Sentinel analiz kuralları, avlanma sorguları, playbook'lar ve çalışma kitapları gibi Microsoft Sentinel'de geliştirdiğiniz fikri mülkiyeti korumak isteyebilirsiniz. Müşterilerin bu kaynaklarda kullanılan koda tam erişimi olmadığından emin olmak için kullanabileceğiniz farklı yöntemler vardır.

Daha fazla bilgi için bkz . Microsoft Sentinel'de MSSP fikri mülkiyetini koruma.

Sonraki adımlar

• Microsoft Sentinel hakkında bilgi edinin.
• Microsoft Sentinel fiyatlandırma sayfasını gözden geçirin.
• Microsoft Sentinel ortamının dağıtımını ve ilk yapılandırma görevlerini hızlandırmak için bir proje olan MicrosoftSentinel All-in-One'ı keşfedin.
• Kiracılar arası yönetim deneyimleri hakkında bilgi edinin.