你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
跨工作区和租户扩展 Microsoft Sentinel
当你加入 Microsoft Sentinel 时,第一步是选择 Log Analytics 工作区。 虽然可以在单个工作区中获得 Microsoft Sentinel 体验的全部优势,但在某些情况下,你可能希望扩展工作区以跨工作区和租户查询和分析数据。 有关详细信息,请参阅设计 Log Analytics 工作区体系结构和为 Microsoft Sentinel 中的多个工作区和租户进行准备。
管理多个工作区中的事件
Microsoft Sentinel 支持多工作区事件视图,你可以在其中跨多个工作区集中管理和监视事件。 在集中式事件视图中,可以直接管理事件,或者以透明方式向下钻取到来源工作区上下文中的事件详细信息。
查询多个工作区
可以查询多个工作区,这样就可以通过单个查询搜索和关联多个工作区中的数据。
使用
workspace( )
表达式,将工作区标识符作为参数,以引用另一工作区中的表。- 请参阅有关使用标识符格式的重要信息,以确保获得适当的性能。
将并集运算符与
workspace( )
表达式结合使用,以跨多个工作区中的表应用查询。可以使用保存的函数来简化跨工作区查询。 例如,可以通过保存表达式来缩短对客户 A 工作区中 SecurityEvent 表的长引用
workspace("/subscriptions/<customerA_subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName>").SecurityEvent
作为一个名为
SecurityEventCustomerA
的函数。 然后,可以使用以下函数查询客户 A 的 SecurityEvent 表:SecurityEventCustomerA | where ...
。函数还可以简化常用的联合。 例如,可将以下表达式另存为名为
unionSecurityEvent
的函数:union workspace("/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName1>").SecurityEvent, workspace("/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName2>").SecurityEvent
然后,可以从
unionSecurityEvent | where ...
开始,编写跨这两个工作区的查询。
将跨工作区查询包含在计划的分析规则中
你可以将跨工作区查询包含在计划的分析规则中。 可以在中央 SOC 中跨租户使用适用于 MSSP 的跨工作区分析规则(使用 Azure Lighthouse)。 使用存在以下限制:
- 一个查询中最多可以包含 20 个工作区。 但是,为了获得良好的性能,我们建议包含不超过 5 个。
- 必须在查询所引用的每个工作区中部署 Microsoft Sentinel。
- 跨工作区分析规则生成的警报,以及从其创建的事件只存在于定义了该规则的工作区中。 这些警报不会显示在查询所引用的任何其他工作区中。
- 与任何分析规则一样,跨工作区分析规则将继续运行,即使创建规则的用户失去了对规则查询中引用的工作区的访问权限。 唯一的例外是工作区与分析规则位于不同的订阅和/或租户中时。
跨工作区分析规则创建的警报和事件包含所有相关实体,其中包括所有引用的工作区和“主”工作区(在其中定义规则)中的相关实体。 这样,分析师就能够全面了解警报和事件。
注意
在同一查询中查询多个工作区可能影响性能,因此仅当逻辑需要此功能时,才建议这样做。
使用跨工作区的工作簿
工作簿为 Microsoft Sentinel 提供仪表板和应用。 使用多个工作区时,工作簿将跨工作区提供监视和操作。
工作簿可通过以下三种方法之一(分别适合不同的最终用户专业水平)提供跨工作区查询:
方法 | 说明 | 何时使用? |
---|---|---|
编写跨工作区查询 | 工作簿创建者可以在工作簿中编写跨工作区查询(前面已介绍)。 | 我希望工作簿创建者创建一个对用户透明的工作区结构。 |
将工作区选择器添加到工作簿 | 工作簿创建者可以实现一个工作区选择器作为工作簿的一部分。 | 我想允许用户使用易用的下拉框来控制工作簿显示的工作区。 |
以交互方式编辑工作簿 | 修改现有工作簿的高级用户可在其中编辑查询(使用编辑器中的工作区选择器选择目标工作区)。 | 我想允许 Power User 轻松地将现有工作簿修改为使用多个工作区。 |
跨多个工作区搜寻
Microsoft Sentinel 提供预加载的查询示例,旨在帮助你入门并熟悉表和查询语言。 Microsoft 安全研究人员不断添加新的内置查询并微调现有查询。 可以使用这些查询查找新的检测,并识别安全工具可能已错过的入侵迹象。
借助跨工作区搜寻功能,威胁搜寻者可以使用前面所示的 union 运算符和 workspace() 表达式创建新的搜寻查询或改编现有查询,以涵盖多个工作区。
使用自动化来管理多个工作区
若要配置和管理多个为 Microsoft Sentinel 启用的 Log Analytics 工作区,需要自动化 Microsoft Sentinel 管理 API 的使用。
- 了解如何自动化 Microsoft Sentinel 资源的部署,包括预警规则、搜寻查询、工作簿和 playbook。
- 了解如何从存储库部署自定义内容。 此资源提供了将 Microsoft Sentinel 作为代码进行管理的综合方法,以及从专用 Azure DevOps 或 GitHub 存储库部署和配置资源的综合方法。
使用 Azure Lighthouse 跨租户管理工作区
如上所述,在许多情况下,为 Microsoft Sentinels 启用的不同 Log Analytics 工作区可以位于不同的 Microsoft Entra 租户中。 可以使用 Azure Lighthouse 跨租户边界扩展所有跨工作区活动,使管理租户中的用户能够跨所有租户使用工作区。
加入 Azure Lighthouse 后,使用 Azure 门户上的目录 + 订阅选择器选择包含你要管理的工作区的所有订阅,以确保在门户上的不同工作区选择器中提供所有这些订阅。
使用 Azure Lighthouse 时,建议为每个 Microsoft Sentinel 角色创建一个组,并将每个租户中的权限委托给这些组。
后续步骤
在本文中,你已了解如何跨多个工作区和租户扩展 Microsoft Sentinel 的功能。 有关实施 Microsoft Sentinel 跨工作区体系结构的实用指导,请参阅以下文章:
- 了解如何通过 Azure Lighthouse 在 Microsoft Sentinel 中使用多个租户。
- 了解如何无缝查看和管理多个工作区中的事件。