Aracılığıyla paylaş


Microsoft Sentinel'i çalışma alanları ve kiracılar arasında genişletme

Microsoft Sentinel'i eklediğinizde ilk adımınız Log Analytics çalışma alanınızı seçmektir. Tek bir çalışma alanıyla Microsoft Sentinel deneyiminin tüm avantajlarından yararlanabilirsiniz ancak bazı durumlarda çalışma alanınızı genişleterek çalışma alanları ve kiracılar arasında verilerinizi sorgulamak ve analiz etmek isteyebilirsiniz. Daha fazla bilgi için bkz . Log Analytics çalışma alanı mimarisi tasarlama ve Microsoft Sentinel'de birden çok çalışma alanı ve kiracı için hazırlanma.

Microsoft Sentinel'i Microsoft Defender portalına eklerseniz bkz . Microsoft Defender çok kiracılı yönetimi.

Birden çok çalışma alanında olayları yönetme

Microsoft Sentinel, birden çok çalışma alanında olayları merkezi olarak yönetebileceğiniz ve izleyebileceğiniz birden çok çalışma alanı olay görünümünü destekler. Merkezi olay görünümü, olayları doğrudan yönetmenize veya kaynak çalışma alanı bağlamında olay ayrıntılarında saydam bir şekilde detaya gitmenize olanak tanır.

Birden çok çalışma alanını sorgulama

Birden çok çalışma alanını sorgulayarak tek bir sorguda birden çok çalışma alanından veri aramanızı ve ilişkilendirmenizi sağlayabilirsiniz.

  • Farklı bir çalışma alanında workspace( ) bulunan bir tabloya başvurmak için bağımsız değişken olarak çalışma alanı tanımlayıcısıyla ifadeyi kullanın.

    • Düzgün performans sağlamak için tanımlayıcı biçimlerinin kullanımı hakkında önemli bilgilere bakın.
  • Birden çok çalışma alanında tablolara sorgu uygulamak için ifadenin workspace( ) yanı sıra birleşim işlecini kullanın.

  • Çalışma alanları arası sorguları basitleştirmek için kaydedilmiş işlevleri kullanabilirsiniz. Örneğin, ifadeyi kaydederek A Müşterisinin çalışma alanında SecurityEvent tablosuna uzun başvuruyu kısaltabilirsiniz

    workspace("/subscriptions/<customerA_subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName>").SecurityEvent
    

    adlı bir işlev olarak.SecurityEventCustomerA Ardından Şu işlevle A Müşterisi'nin SecurityEvent tablosunu sorgulayabilirsiniz: SecurityEventCustomerA | where ... .

  • İşlev, yaygın olarak kullanılan bir birleşimi de basitleştirebilir. Örneğin, aşağıdaki ifadeyi adlı unionSecurityEventbir işlev olarak kaydedebilirsiniz:

    union 
    workspace("/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName1>").SecurityEvent, 
    workspace("/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName2>").SecurityEvent
    

    Ardından ile unionSecurityEvent | where ... başlayarak her iki çalışma alanında da bir sorgu yazabilirsiniz.

Zamanlanmış analiz kurallarına çalışma alanları arası sorgular ekleme

Zamanlanmış analiz kurallarına çalışma alanları arası sorgular ekleyebilirsiniz. Merkezi bir SOC'de ve kiracılar arasında (Azure Lighthouse kullanarak) MSSP'ler için uygun çalışma alanları arası analiz kurallarını kullanabilirsiniz. Bu kullanım aşağıdaki sınırlamalara tabidir:

  • Tek bir sorguya en fazla 20 çalışma alanı ekleyebilirsiniz. Ancak, iyi performans için en fazla 5'i dahil öneririz.
  • Microsoft Sentinel'i sorguda başvuruda bulunan her çalışma alanına dağıtmanız gerekir.
  • Çalışma alanları arası analiz kuralı tarafından oluşturulan uyarılar ve bunlardan oluşturulan olaylar yalnızca kuralın tanımlandığı çalışma alanında bulunur. Uyarılar sorguda başvuruldu diğer çalışma alanlarında görüntülenmez.
  • Herhangi bir analiz kuralı gibi çalışma alanları arası analiz kuralı, kuralı oluşturan kullanıcı kuralın sorgusunda başvuruda bulunan çalışma alanlarına erişimi kaybetse bile çalışmaya devam eder. Bunun tek istisnası, analiz kuralından farklı aboneliklerdeki ve/veya kiracılardaki çalışma alanlarıdır .

Çalışma alanları arası analiz kuralları tarafından oluşturulan uyarılar ve olaylar, başvuruda bulunılan tüm çalışma alanlarındakiler ve "giriş" çalışma alanı (kuralın tanımlandığı yer) dahil olmak üzere tüm ilgili varlıkları içerir. Bu şekilde analistler uyarıların ve olayların tam resmini alır.

Not

Aynı sorguda birden çok çalışma alanının sorgulanması performansı etkileyebilir ve bu nedenle yalnızca mantık bu işlevselliği gerektirdiğinde önerilir.

Çalışma alanları arası çalışma kitaplarını kullanma

Çalışma kitapları Microsoft Sentinel'e panolar ve uygulamalar sağlar. Birden çok çalışma alanıyla çalışırken, çalışma kitapları çalışma alanları genelinde izleme ve eylemler sağlar.

Çalışma kitapları, farklı son kullanıcı uzmanlığı düzeyleri için uygun olan üç yöntemden birinde çalışma alanları arası sorgular sağlayabilir:

Metot Açıklama Ne zaman kullanmalıyım?
Çalışma alanları arası sorgu yazma Çalışma kitabı oluşturucusu çalışma kitabına çalışma kitabına çalışma alanları arası sorgular (yukarıda açıklanmıştır) yazabilir. Çalışma kitabı oluşturucusunun kullanıcıya saydam bir çalışma alanı yapısı oluşturmasını istiyorum.
Çalışma kitabına çalışma alanı seçici ekleme Çalışma kitabı oluşturucusu, çalışma kitabının bir parçası olarak bir çalışma alanı seçicisi uygulayabilir. Kullanıcının, kullanımı kolay bir açılan kutuyla çalışma kitabı tarafından gösterilen çalışma alanlarını denetlemesine izin vermek istiyorum.
Çalışma kitabını etkileşimli olarak düzenleme Var olan bir çalışma kitabını değiştiren ileri düzey bir kullanıcı, düzenleyicideki çalışma alanı seçicisini kullanarak hedef çalışma alanlarını seçerek içindeki sorguları düzenleyebilir. Güçlü bir kullanıcının var olan çalışma kitaplarını birden çok çalışma alanıyla çalışacak şekilde kolayca değiştirmesine izin vermek istiyorum.

Birden çok çalışma alanında avlanma

Microsoft Sentinel, başlamanıza ve tabloları ve sorgu dilini tanımanıza olanak tanımak için tasarlanmış önceden yüklenmiş sorgu örnekleri sağlar. Microsoft güvenlik araştırmacıları sürekli olarak yeni yerleşik sorgular ekler ve var olan sorguları ince ayarlar. Bu sorguları kullanarak yeni algılamalar arayabilir ve güvenlik araçlarınızın kaçırdığı yetkisiz erişim işaretlerini belirleyebilirsiniz.

Çalışma alanları arası avcılık özellikleri, yukarıda gösterildiği gibi union işlecini ve workspace() ifadesini kullanarak tehdit avcılarınızın yeni avlanma sorguları oluşturmasına veya var olanları uyarlamasına olanak tanır.

Otomasyon kullanarak birden çok çalışma alanını yönetme

Microsoft Sentinel için etkinleştirilen birden çok Log Analytics çalışma alanını yapılandırmak ve yönetmek için Microsoft Sentinel yönetim API'sinin kullanımını otomatikleştirmeniz gerekir.

Azure Lighthouse kullanarak kiracılar arasında çalışma alanlarını yönetme

Yukarıda belirtildiği gibi, birçok senaryoda, Microsoft Sentinels için etkinleştirilen farklı Log Analytics çalışma alanları farklı Microsoft Entra kiracılarında bulunabilir. Azure Lighthouse'ı kullanarak tüm çalışma alanları arası etkinlikleri kiracı sınırları boyunca genişletebilir ve kiracıyı yöneten kiracınızdaki kullanıcıların tüm kiracılardaki çalışma alanları üzerinde çalışmalarına olanak sağlayabilirsiniz.

Azure Lighthouse eklendikten sonra, tümünün portaldaki farklı çalışma alanı seçicilerinde kullanılabilir olmasını sağlamak amacıyla, yönetmek istediğiniz çalışma alanlarını içeren tüm abonelikleri seçmek için Azure portalındaki dizin + abonelik seçicisini kullanın.

Azure Lighthouse kullanırken, her Microsoft Sentinel rolü için bir grup oluşturmanız ve her kiracıdan bu gruplara izinler devretmeniz önerilir.

Sonraki adımlar

Bu makalede, Microsoft Sentinel'in özelliklerinin birden çok çalışma alanı ve kiracı arasında nasıl genişletilebileceğini öğrendiniz. Microsoft Sentinel'in çalışma alanları arası mimarisini uygulama konusunda pratik rehberlik için aşağıdaki makalelere bakın: