Microsoft Sentinel'i çalışma alanları ve kiracılar arasında genişletme
Microsoft Sentinel'i eklediğinizde ilk adımınız Log Analytics çalışma alanınızı seçmektir. Tek bir çalışma alanıyla Microsoft Sentinel deneyiminin tüm avantajlarından yararlanabilirsiniz ancak bazı durumlarda çalışma alanınızı genişleterek çalışma alanları ve kiracılar arasında verilerinizi sorgulamak ve analiz etmek isteyebilirsiniz. Microsoft Sentinel'in birden çok çalışma alanını nasıl genişletebileceği hakkında daha fazla bilgi edinin.
Birden çok çalışma alanında olayları yönetme
Microsoft Sentinel, birden çok çalışma alanında olayları merkezi olarak yönetebileceğiniz ve izleyebileceğiniz birden çok çalışma alanı olay görünümünü destekler. Merkezi olay görünümü, olayları doğrudan yönetmenize veya kaynak çalışma alanı bağlamında olay ayrıntılarında saydam bir şekilde detaya gitmenize olanak tanır.
Birden çok çalışma alanını sorgulama
Birden çok çalışma alanını sorgulayarak tek bir sorguda birden çok çalışma alanından veri aramanızı ve ilişkilendirmenizi sağlayabilirsiniz.
Farklı bir çalışma alanında
workspace( )bulunan bir tabloya başvurmak için bağımsız değişken olarak çalışma alanı tanımlayıcısıyla ifadeyi kullanın.- Düzgün performans sağlamak için tanımlayıcı biçimlerinin kullanımı hakkında önemli bilgilere bakın.
Birden çok çalışma alanında tablolara sorgu uygulamak için ifadenin
workspace( )yanı sıra birleşim işlecini kullanın.Çalışma alanları arası sorguları basitleştirmek için kaydedilmiş işlevleri kullanabilirsiniz. Örneğin, ifadeyi kaydederek A Müşterisinin çalışma alanında SecurityEvent tablosuna uzun başvuruyu kısaltabilirsiniz
workspace("/subscriptions/<customerA_subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName>").SecurityEventadlı bir işlev olarak.
SecurityEventCustomerAArdından Şu işlevle A Müşterisi'nin SecurityEvent tablosunu sorgulayabilirsiniz:SecurityEventCustomerA | where ....İşlev, yaygın olarak kullanılan bir birleşimi de basitleştirebilir. Örneğin, aşağıdaki ifadeyi adlı
unionSecurityEventbir işlev olarak kaydedebilirsiniz:union workspace("/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName1>").SecurityEvent, workspace("/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName2>").SecurityEventArdından ile
unionSecurityEvent | where ...başlayarak her iki çalışma alanında da bir sorgu yazabilirsiniz.
Zamanlanmış analiz kurallarına çalışma alanları arası sorgular ekleme
Zamanlanmış analiz kurallarına çalışma alanları arası sorgular ekleyebilirsiniz. Merkezi bir SOC'de ve kiracılar arasında (Azure Lighthouse kullanarak) MSSP'ler için uygun çalışma alanları arası analiz kurallarını kullanabilirsiniz. Bu kullanım aşağıdaki sınırlamalara tabidir:
- Tek bir sorguya en fazla 20 çalışma alanı ekleyebilirsiniz. Ancak, iyi performans için en fazla 5'i dahil öneririz.
- Microsoft Sentinel'i sorguda başvuruda bulunan her çalışma alanına dağıtmanız gerekir.
- Çalışma alanları arası analiz kuralı tarafından oluşturulan uyarılar ve bunlardan oluşturulan olaylar yalnızca kuralın tanımlandığı çalışma alanında bulunur. Uyarılar sorguda başvuruldu diğer çalışma alanlarında görüntülenmez.
- Herhangi bir analiz kuralı gibi çalışma alanları arası analiz kuralı, kuralı oluşturan kullanıcı kuralın sorgusunda başvuruda bulunan çalışma alanlarına erişimi kaybetse bile çalışmaya devam eder. Bunun tek istisnası, analiz kuralından farklı aboneliklerdeki ve/veya kiracılardaki çalışma alanlarıdır .
Çalışma alanları arası analiz kuralları tarafından oluşturulan uyarılar ve olaylar, başvuruda bulunılan tüm çalışma alanlarındakiler ve "giriş" çalışma alanı (kuralın tanımlandığı yer) dahil olmak üzere tüm ilgili varlıkları içerir. Bu şekilde analistler uyarıların ve olayların tam resmini alır.
Dekont
Aynı sorguda birden çok çalışma alanının sorgulanması performansı etkileyebilir ve bu nedenle yalnızca mantık bu işlevselliği gerektirdiğinde önerilir.
Çalışma alanları arası çalışma kitaplarını kullanma
Çalışma kitapları Microsoft Sentinel'e panolar ve uygulamalar sağlar. Birden çok çalışma alanıyla çalışırken, çalışma kitapları çalışma alanları genelinde izleme ve eylemler sağlar.
Çalışma kitapları, farklı son kullanıcı uzmanlığı düzeyleri için uygun olan üç yöntemden birinde çalışma alanları arası sorgular sağlayabilir:
| Yöntem | Açıklama | Ne zaman kullanmalıyım? |
|---|---|---|
| Çalışma alanları arası sorgu yazma | Çalışma kitabı oluşturucusu çalışma kitabına çalışma kitabına çalışma alanları arası sorgular (yukarıda açıklanmıştır) yazabilir. | Çalışma kitabı oluşturucusunun kullanıcıya saydam bir çalışma alanı yapısı oluşturmasını istiyorum. |
| Çalışma kitabına çalışma alanı seçici ekleme | Çalışma kitabı oluşturucusu, çalışma kitabının bir parçası olarak bir çalışma alanı seçicisi uygulayabilir. | Kullanıcının, kullanımı kolay bir açılan kutuyla çalışma kitabı tarafından gösterilen çalışma alanlarını denetlemesine izin vermek istiyorum. |
| Çalışma kitabını etkileşimli olarak düzenleme | Var olan bir çalışma kitabını değiştiren ileri düzey bir kullanıcı, düzenleyicideki çalışma alanı seçicisini kullanarak hedef çalışma alanlarını seçerek içindeki sorguları düzenleyebilir. | Güçlü bir kullanıcının var olan çalışma kitaplarını birden çok çalışma alanıyla çalışacak şekilde kolayca değiştirmesine izin vermek istiyorum. |
Birden çok çalışma alanında avlanma
Microsoft Sentinel, başlamanıza ve tabloları ve sorgu dilini tanımanıza olanak tanımak için tasarlanmış önceden yüklenmiş sorgu örnekleri sağlar. Microsoft güvenlik araştırmacıları sürekli olarak yeni yerleşik sorgular ekler ve var olan sorguları ince ayarlar. Bu sorguları kullanarak yeni algılamalar arayabilir ve güvenlik araçlarınızın kaçırdığı yetkisiz erişim işaretlerini belirleyebilirsiniz.
Çalışma alanları arası avcılık özellikleri, yukarıda gösterildiği gibi union işlecini ve workspace() ifadesini kullanarak tehdit avcılarınızın yeni avlanma sorguları oluşturmasına veya var olanları uyarlamasına olanak tanır.
Otomasyon kullanarak birden çok çalışma alanını yönetme
Birden çok Microsoft Sentinel çalışma alanını yapılandırmak ve yönetmek için Microsoft Sentinel yönetim API'sinin kullanımını otomatikleştirmeniz gerekir.
- Uyarı kuralları, tehdit avcılığı sorguları, çalışma kitapları ve playbook'lar dahil olmak üzere Microsoft Sentinel kaynaklarının dağıtımını otomatikleştirmeyi öğrenin.
- Deponuzdan özel içerik dağıtmayı öğrenin. Bu kaynak, Microsoft Sentinel'i kod olarak yönetmek ve kaynakları özel bir Azure DevOps veya GitHub deposundan dağıtmak ve yapılandırmak için birleştirilmiş bir metodoloji sağlar.
Azure Lighthouse kullanarak kiracılar arasında çalışma alanlarını yönetme
Yukarıda belirtildiği gibi, birçok senaryoda farklı Microsoft Sentinel çalışma alanları farklı Microsoft Entra kiracılarında bulunabilir. Azure Lighthouse'u kullanarak tüm çalışma alanları arası etkinlikleri kiracı sınırları boyunca genişletebilir ve kiracıyı yöneten kiracınızdaki kullanıcıların tüm kiracılardaki Microsoft Sentinel çalışma alanlarında çalışmalarına olanak sağlayabilirsiniz.
Azure Lighthouse eklendikten sonra, tümünün portaldaki farklı çalışma alanı seçicilerinde kullanılabilir olmasını sağlamak amacıyla, yönetmek istediğiniz çalışma alanlarını içeren tüm abonelikleri seçmek için Azure portalındaki dizin + abonelik seçicisini kullanın.
Azure Lighthouse kullanırken, her Microsoft Sentinel rolü için bir grup oluşturmanız ve her kiracıdan bu gruplara izinler devretmeniz önerilir.
Sonraki adımlar
Bu makalede, Microsoft Sentinel'in özelliklerinin birden çok çalışma alanı ve kiracı arasında nasıl genişletilebileceğini öğrendiniz. Microsoft Sentinel'in çalışma alanları arası mimarisini uygulama konusunda pratik rehberlik için aşağıdaki makalelere bakın:
- Azure Lighthouse kullanarak Microsoft Sentinel'de birden çok kiracıyla çalışmayı öğrenin.
- Birden çok çalışma alanında olayları sorunsuz bir şekilde görüntülemeyi ve yönetmeyi öğrenin.