大規模管理 Microsoft Sentinel 工作區

  • 發行項

Azure Lighthouse 可讓服務提供者一次跨數個 Microsoft Entra 租使用者大規模執行作業,讓管理工作更有效率。

Microsoft Sentinel 提供安全性分析和威脅情報,提供警示偵測、威脅可見度、主動式搜捕和威脅回應的單一解決方案。 透過 Azure Lighthouse,您可以大規模管理多個租使用者的 Microsoft Sentinel 工作區。 這可啟用在多個工作區上執行查詢,或建立活頁簿以可視化方式檢視和監視連線數據源的數據,以取得見解的案例。 查詢和劇本等IP會保留在您的管理租使用者中,但可用來在客戶租用戶中執行安全性管理。

本主題提供 Azure Lighthouse 如何讓您以可調整的方式使用 Microsoft Sentinel,以跨租用戶可見度與受控安全性服務的方式使用。

提示

雖然我們參考本主題中的服務提供者和客戶,但本指南也適用於 使用 Azure Lighthouse 來管理多個租用戶的企業。

注意

您可以管理位於不同 區域的委派資源。 不過,您無法跨國家雲端和 Azure 公用雲端或兩個不同的 國家雲端委派資源。

架構考慮

對於想要使用 Microsoft Sentinel 建置安全性即服務供應專案的受控安全性服務提供者 (MSSP),可能需要單一安全性作業中心 (SOC) 集中監視、管理及設定部署在個別客戶租使用者內的多個 Microsoft Sentinel 工作區。 同樣地,擁有多個 Microsoft Entra 租用戶的企業可能想要集中管理跨其租使用者部署的多個 Microsoft Sentinel 工作區。

此集中式管理模型具有下列優點:

  • 數據的擁有權會與每個受控租使用者一起保留。
  • 支援在地理界限內儲存數據的需求。
  • 確保數據隔離,因為多個客戶的數據不會儲存在相同的工作區中。
  • 防止來自受控租用戶的數據外泄,協助確保數據合規性。
  • 相關成本會向每個受控租用戶收費,而不是向管理租用戶收費。
  • 與 Microsoft Sentinel 整合的所有數據源和數據連接器的數據(例如 Microsoft Entra 活動記錄、Office 365 記錄或 Microsoft 威脅防護警示)都會保留在每個客戶租使用者中。
  • 減少網路等待時間。
  • 輕鬆新增或移除新的子公司或客戶。
  • 能夠在使用 Azure Lighthouse 時使用多工作區檢視。
  • 若要保護您的智慧財產權,您可以使用劇本和活頁簿跨租使用者工作,而不需直接與客戶共享程序代碼。 只有分析和搜捕規則必須直接儲存在每個客戶的租使用者中。

重要

如果工作區只在客戶租使用者中建立,則必須 在管理租用戶的訂用帳戶上註冊 Microsoft.SecurityInsights 和 Microsoft.OperationalInsights 資源提供者。

替代部署模型是在管理租使用者中建立一個 Microsoft Sentinel 工作區。 在此模型中,Azure Lighthouse 會從受控租使用者之間的數據源啟用記錄收集。 不過,有些數據源無法跨租用戶連線,例如 Microsoft Defender 全面偵測回應。 由於這項限制,此模型不適用於許多服務提供者案例。

細微的 Azure 角色型存取控制 (Azure RBAC)

MSSP 將管理的每個客戶訂用帳戶都必須 上線至 Azure Lighthouse。 這可讓管理租使用者中的指定使用者存取及執行客戶租使用者中所部署 Microsoft Sentinel 工作區的管理作業。

建立授權時,您可以將 Microsoft Sentinel 內建角色指派給管理租使用者中的使用者、群組或服務主體:

您也可以指派其他內建角色來執行其他功能。 如需可與 Microsoft Sentinel 搭配使用的特定角色相關信息,請參閱 Microsoft Sentinel 中的角色和許可權。

將客戶上線之後,指定的使用者可以登入您的管理租使用者,並使用 指派的角色直接存取客戶的 Microsoft Sentinel 工作區

檢視和管理跨工作區的事件

如果您針對多個客戶使用 Microsoft Sentinel 資源,您可以一次檢視和管理不同租使用者之多個工作區中的事件。 如需詳細資訊,請參閱 一次 處理許多工作區中的事件,以及 跨工作區和租用戶擴充 Microsoft Sentinel。

注意

請確定管理租使用者中的使用者已獲指派所有管理工作區的讀取和寫入許可權。 如果使用者只擁有某些工作區的讀取許可權,在選取這些工作區中的事件時,可能會顯示警告訊息,而且使用者將無法修改這些事件或任何其他與他們一起選取的事件(即使使用者具有其他人的寫入許可權)。

設定風險降低的劇本

觸發警示時,劇本 可用於自動緩和措施。 這些劇本可以手動執行,也可以在觸發特定警示時自動執行。 劇本可以在管理租用戶或客戶租使用者中部署,並根據租用戶的使用者應採取動作來設定回應程式,以回應安全性威脅。

建立跨租用戶活頁簿

Microsoft Sentinel 中的 Azure 監視器活頁簿可協助您可視化及監視連線數據源中的數據,以取得深入解析。 您可以使用 Microsoft Sentinel 中的內建活頁簿範本,或為您的案例建立自定義活頁簿。

您可以在管理租使用者中部署活頁簿,並建立大規模的儀錶板,以監視和查詢客戶租用戶的數據。 如需詳細資訊,請參閱 跨工作區活頁簿

您也可以直接在個別受控租使用者中部署活頁簿,以取得該客戶特定的案例。

跨 Microsoft Sentinel 工作區執行 Log Analytics 和搜捕查詢

在管理租使用者中集中建立及儲存Log Analytics查詢以進行威脅偵測,包括 搜捕查詢。 這些查詢可以使用 Union 運算子和 workspace() 表示式,在所有客戶的 Microsoft Sentinel 工作區中執行。

如需詳細資訊,請參閱 跨工作區查詢

使用自動化進行跨工作區管理

您可以使用自動化來管理多個 Microsoft Sentinel 工作區,以及設定 搜捕查詢、劇本和活頁簿。 如需詳細資訊,請參閱 使用自動化的跨工作區管理。

監視 Office 365 環境的安全性

使用 Azure Lighthouse 搭配 Microsoft Sentinel 來監視租用戶之間 Office 365 環境的安全性。 首先,在受控租用戶中啟用現 用 Office 365 數據連接器 。 然後,Exchange 和 SharePoint 中使用者和系統管理員活動的相關信息(包括 OneDrive)可以擷取至受控租使用者內的 Microsoft Sentinel 工作區。 此資訊包括動作的詳細數據,例如檔案下載、傳送的存取要求、群組事件的變更,以及信箱作業的詳細數據,以及執行這些動作的使用者詳細數據。 Office 365 DLP 警示 也支持作為內建 Office 365 連接器的一部分。

您可以使用 適用於雲端的 Microsoft Defender Apps 連接器,將警示和 Cloud Discovery 記錄串流至 Microsoft Sentinel。 此連接器提供雲端應用程式的可見度、提供複雜的分析來識別和對抗網路威脅,並協助您控制數據移動的方式。 您可以使用一般事件格式 (CEF) 來取用 適用於雲端的 Defender 應用程式的活動記錄。

設定 Office 365 數據連接器之後,您可以使用跨租使用者 Microsoft Sentinel 功能,例如檢視和分析活頁簿中的數據、使用查詢來建立自定義警示,以及設定劇本以響應威脅。

保護智慧財產權

與客戶合作時,您可能想要保護您在 Microsoft Sentinel 中開發的智慧財產權,例如 Microsoft Sentinel 分析規則、搜捕查詢、劇本和活頁簿。 您可以使用不同的方法來確保客戶無法完整存取這些資源中使用的程式代碼。

如需詳細資訊,請參閱 在 Microsoft Sentinel 中保護 MSSP 智慧財產權。

下一步