保護 Microsoft Sentinel 中的 MSSP 智慧財產權

  • 發行項

本文說明管理安全性服務提供者 (MSSP) 可用來保護他們在 Microsoft Sentinel 中開發的智慧財產權的方法,例如 Microsoft Sentinel 分析規則、搜捕查詢、劇本和活頁簿。

您選擇的方法取決於您每個客戶購買 Azure 的方式;不論您是雲端 解決方案提供者(CSP) ,還是客戶都有 Enterprise 合約(EA)/隨用隨付(PAYG) 帳戶。 下列各節分別描述這些方法。

雲端解決方案提供者 (CSP)

如果您要將 Azure 轉售為雲端解決方案提供者 (CSP),您正在管理客戶的 Azure 訂用帳戶。 由於 管理員代理者 (AOBO) ,MSSP 租使用者管理員 Agents 群組中的使用者會獲得客戶的 Azure 訂用帳戶擁有者存取權,且客戶預設沒有存取權。

如果來自 MSSP 租使用者的其他使用者,在 管理員 Agents 群組之外,需要存取客戶環境,建議您使用 Azure Lighthouse 。 Azure Lighthouse 可讓您使用其中一個內建角色,授與具有特定範圍存取權的使用者或群組,例如資源群組或訂用帳戶。

如果您需要為客戶使用者提供 Azure 環境的存取權,建議您授與他們資源群組 層級的存取權 ,而不是整個訂用帳戶,以便視需要顯示/隱藏環境的部分。

例如:

  • 您可以授與客戶對其應用程式所在位置的數個資源群組的存取權,但仍將 Microsoft Sentinel 工作區保留在客戶沒有存取權的個別資源群組中。

  • 使用此方法可讓客戶檢視選取的活頁簿和劇本,這些活頁簿是可以位於其本身資源群組中的個別資源。

即使授與資源群組層級的存取權,客戶也可以存取其可存取的資源記錄資料,例如來自 VM 的記錄,即使無法存取 Microsoft Sentinel 也一樣。 如需詳細資訊,請參閱 依資源 管理 Microsoft Sentinel 資料的存取權。

提示

如果您需要為客戶提供整個訂用帳戶的存取權,您可能會想要在 Enterprise 合約 /隨用隨付 (PAYG) 中看到指引

範例 Microsoft Sentinel CSP 架構

下圖說明在提供 CSP 客戶存取權時,上一節 中所述 的許可權如何運作:

Protect your Microsoft Sentinel intellectual property with CSP customers.

在此影像中:

  • 授與 CSP 訂用帳戶擁有者存取權 的使用者是 MSSP Microsoft Entra 租使用者中管理員 Agents 群組中的使用者。

  • MSSP 中的其他群組可透過 Azure Lighthouse 存取客戶環境。

  • 客戶對 Azure 資源的存取權是由 Azure RBAC 在資源群組層級管理。

    這可讓 MSSP 視需要隱藏 Microsoft Sentinel 元件,例如分析規則和搜捕查詢。

如需詳細資訊,另請參閱 Azure Lighthouse 檔

Enterprise 合約 (EA) / 隨用隨付 (PAYG)

如果您的客戶直接從 Microsoft 購買,則客戶已擁有 Azure 環境的完整存取權,而且您無法隱藏客戶 Azure 訂用帳戶中的任何專案。

相反地,根據您需要保護的資源類型,保護您在 Microsoft Sentinel 中開發的智慧財產權,如下所示:

分析規則和搜捕查詢

分析規則和搜捕查詢都包含在 Microsoft Sentinel 中,因此無法與 Microsoft Sentinel 工作區分開。

即使使用者只有 Microsoft Sentinel 讀者許可權,他們也可以檢視查詢。 在此情況下,建議您在自己的 MSSP 租使用者中裝載分析規則和搜捕查詢,而不是客戶租使用者。

若要這樣做,您需要在自己的租使用者中啟用 Microsoft Sentinel 的工作區,而且您也需要透過 Azure Lighthouse 查看客戶工作區。

若要在參考客戶租使用者中資料的 MSSP 租使用者中建立分析規則或搜捕查詢,您必須使用 workspace 語句,如下所示:

workspace('<customer-workspace>').SecurityEvent
| where EventID == ‘4625’

將 語句新增 workspace 至分析規則時,請考慮下列事項:

  • 客戶工作區 中沒有警示。 以這種方式建立的規則,請勿在客戶工作區中建立警示或事件。 警示和事件都只存在於 MSSP 工作區中。

  • 為每個客戶 建立個別的警示。 當您使用此方法時,我們也建議您針對每個客戶和偵測使用不同的警示規則,因為工作區語句在每個案例中都不同。

    您可以將客戶名稱新增至警示規則名稱,以輕鬆識別觸發警示的客戶。 個別的警示可能會導致大量的規則,您可能想要使用腳本管理,或 Microsoft Sentinel 即程式碼

    例如:

    Create separate rules in your MSSP workspace for each customer.

  • 為每個客戶 建立個別的 MSSP 工作區。 為每個客戶建立個別的規則和偵測可能會導致您達到工作區分析規則數目上限 (512)。 如果您有許多客戶且預期達到此限制,您可能想要為每個客戶建立個別的 MSSP 工作區。

    例如:

    Create a workspace and rules in your MSSP tenant for each customer.

重要

成功使用此方法的關鍵是使用自動化來管理工作區中的一組大型規則。

如需詳細資訊,請參閱 跨工作區分析規則

活頁簿

如果您已開發不想讓客戶複製的 Microsoft Sentinel 活頁簿,請在 MSSP 租使用者中裝載活頁簿。 請確定您可以透過 Azure Lighthouse 存取客戶工作區,然後請務必修改活頁簿以使用這些客戶工作區。

例如:

Cross-workspace workbooks

如需詳細資訊,請參閱 跨工作區活頁簿

如果您希望客戶能夠檢視活頁簿視覺效果,同時仍保留程式碼秘密,建議您將活頁簿匯出至 Power BI。

將活頁簿匯出至 Power BI:

  • 讓活頁簿視覺效果更容易共用 。 您可以將連結傳送給客戶至 Power BI 儀表板,讓他們可以檢視報告的資料,而不需要 Azure 存取權限。
  • 啟用排程 。 設定 Power BI 定期傳送包含該時間儀表板快照集的電子郵件。

如需詳細資訊,請參閱 將 Azure 監視器記錄資料匯入 Power BI

劇本

您可以依照下列方式保護劇本,視觸發劇本的分析規則建立位置而定:

  • 在 MSSP 工作區 中建立的分析規則。 請務必在 MSSP 租使用者中建立劇本,並從 MSSP 工作區取得所有事件和警示資料。 每當您在工作區中建立新規則時,都可以附加劇本。

    例如:

    Rules created in the MSSP workspace.

  • 在客戶工作區 中建立的分析規則。 使用 Azure Lighthouse 將客戶工作區的分析規則附加至 MSSP 工作區中裝載的劇本。 在此情況下,劇本會從客戶工作區取得警示和事件資料,以及任何其他客戶資訊。

    例如:

    Rules created in the customer workspace.

在這兩種情況下,如果劇本需要存取客戶的 Azure 環境,請使用可透過 Lighthouse 存取的使用者或服務主體。

不過,如果劇本需要存取客戶租使用者中的非 Azure 資源,例如 Microsoft Entra ID、Office 365 或Microsoft Defender 全面偵測回應,請在客戶租使用者中建立具有適當許可權的服務主體,然後在劇本中新增該身分識別。

注意

如果您使用自動化規則與劇本,則必須在劇本所在的資源群組上設定自動化規則許可權。 如需詳細資訊,請參閱 執行劇本 之自動化規則的許可權。

下一步

如需詳細資訊,請參閱