跨工作區和租用戶擴充 Microsoft Sentinel
當您將 Microsoft Sentinel 上線時,第一個步驟是選取 Log Analytics 工作區。 雖然您可以使用單一工作區取得 Microsoft Sentinel 體驗的完整優點,但在某些情況下,您可能想要擴充工作區來查詢和分析工作區和租使用者的資料。 深入瞭解 Microsoft Sentinel 如何跨多個工作區 擴充。
管理多個工作區上的事件
Microsoft Sentinel 支援 多個工作區事件檢視 ,您可以在其中集中管理及監視多個工作區的事件。 集中式事件檢視可讓您直接管理事件,或以透明方式向下切入原始工作區內容中的事件詳細資料。
查詢多個工作區
您可以查詢 多個工作區 ,讓您在單一查詢中搜尋多個工作區的資料並相互關聯。
workspace( )使用運算式 搭配工作區識別碼做為引數,以參考不同工作區中的資料表。- 請參閱 有關使用識別碼格式的重要資訊 ,以確保適當的效能。
搭配 運算式使用
workspace( )等位運算子 ,在多個工作區中的資料表之間套用查詢。您可以使用已儲存 的函式 來簡化跨工作區查詢。 例如,您可以藉由儲存運算式來縮短客戶 A 工作區中 SecurityEvent 資料表的長參考
workspace("/subscriptions/<customerA_subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName>").SecurityEvent做為稱為
SecurityEventCustomerA的函式。 然後,您可以使用此函式查詢客戶 A 的 SecurityEvent 資料表:SecurityEventCustomerA | where ...。函式也可以簡化常用的聯集。 例如,您可以將下列運算式儲存為稱為
unionSecurityEvent的函式:union workspace("/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName1>").SecurityEvent, workspace("/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName2>").SecurityEvent然後,您可以從 開始
unionSecurityEvent | where ...,跨這兩個工作區撰寫查詢。
在排程的分析規則中包含跨工作區查詢
您可以在排程的分析規則中包含跨工作區查詢。 您可以在中央 SOC 中使用跨工作區分析規則,以及跨租使用者 (使用 Azure Lighthouse),適用于 MSSP。 這項使用受限於下列限制:
- 您可以在單一查詢中包含最多 20 個工作區 。 不過,為了達到良好的效能,我們建議包含不超過 5。
- 您必須在查詢中所參考的每個工作區 上部署 Microsoft Sentinel 。
- 跨工作區分析規則所產生的警示,以及從中建立的事件,只存在於 定義 規則的工作區中。 警示不會顯示在查詢中參考的任何其他工作區中。
- 跨工作區分析規則,就像任何分析規則一樣,即使建立規則的使用者無法存取規則查詢中參考的工作區,仍會繼續執行。 唯一的例外狀況是 不同訂用帳戶和/或租 使用者中的工作區,而不是分析規則。
跨工作區分析規則所建立的警示和事件包含所有相關實體,包括來自所有參考工作區和「首頁」工作區的警示和事件(其中已定義規則)。 如此一來,分析師就能全面瞭解警示和事件。
注意
在相同查詢中查詢多個工作區可能會影響效能,因此只有在邏輯需要這項功能時,才建議使用。
使用跨工作區活頁簿
活頁簿提供儀表板和應用程式給 Microsoft Sentinel。 使用多個工作區時,活頁簿會跨工作區提供監視和動作。
活頁簿可以在三種方法之一中提供跨工作區查詢,適用于不同層級的使用者專業知識:
| 方法 | 描述 | 我何時應該使用? |
|---|---|---|
| 撰寫跨工作區查詢 | 活頁簿建立者可以在活頁簿中撰寫跨工作區查詢(如上所述)。 | 我希望活頁簿建立者建立使用者透明的工作區結構。 |
| 將工作區選取器新增至活頁簿 | 活頁簿建立者可以在 活頁簿 中實作工作區選取器。 | 我想要允許使用者使用便於使用的下拉式方塊來控制活頁簿所顯示的工作區。 |
| 以互動方式編輯活頁簿 | 修改現有活頁簿的進階使用者可以編輯其中查詢,並使用編輯器中的工作區選取器來選取目標工作區。 | 我想要允許使用者輕鬆地修改現有的活頁簿,以使用多個工作區。 |
跨多個工作區搜捕
Microsoft Sentinel 提供預先載入的查詢範例,其設計目的是讓您開始熟悉資料表和查詢語言。 Microsoft 安全性研究人員會不斷新增新的內建查詢,並微調現有的查詢。 您可以使用這些查詢來尋找新的偵測,並識別安全性工具可能遺漏的入侵跡象。
跨工作區搜捕功能可讓您的威脅搜捕人員使用等位運算子和 workspace() 運算式,建立新的搜捕查詢,或調整現有的查詢,以涵蓋多個工作區,如上 所示 。
使用自動化管理多個工作區
若要設定和管理多個 Microsoft Sentinel 工作區,您必須自動使用 Microsoft Sentinel 管理 API。
- 瞭解如何 自動化 Microsoft Sentinel 資源的 部署,包括警示規則、搜捕查詢、活頁簿和劇本。
- 瞭解如何 從存放庫 部署自訂內容。 此資源提供合併的方法,可用來管理 Microsoft Sentinel 作為程式碼,以及從私人 Azure DevOps 或 GitHub 存放庫部署和設定資源。
使用 Azure Lighthouse 跨租用戶管理工作區
如上所述,在許多情況下,不同的 Microsoft Sentinel 工作區可以位於不同的 Microsoft Entra 租使用者中。 您可以使用 Azure Lighthouse 跨租使用者界限擴充所有跨工作區活動,讓管理租使用者中的使用者能夠跨所有租使用者在 Microsoft Sentinel 工作區上工作。
Azure Lighthouse 上 線後,請使用 Azure 入口網站上的目錄 + 訂用帳戶選取器 ,以選取您要管理之工作區的所有訂用帳戶,以確保這些訂用帳戶全都可以在入口網站中的不同工作區選取器中使用。
使用 Azure Lighthouse 時,建議為每個 Microsoft Sentinel 角色建立群組,並將每個租使用者的許可權委派給這些群組。
下一步
在本文中,您已瞭解如何跨多個工作區和租使用者延伸 Microsoft Sentinel 的功能。 如需實作 Microsoft Sentinel 跨工作區架構的實際指引,請參閱下列文章:
- 瞭解如何 使用 Azure Lighthouse 在 Microsoft Sentinel 中使用多個租使用者 。
- 瞭解如何 順暢地檢視和管理多個工作區 中的事件。