إدارة مساحات عمل Microsoft Azure Sentinel التي تغير الحجم

يسمح Azure Lighthouse لموفري الخدمات بإجراء عمليات على نطاق واسع عبر العديد من مستأجري Microsoft Entra في وقت واحد، ما يجعل مهام الإدارة أكثر كفاءة.

يقدم Microsoft Sentinel تحليلات الأمان والتحليل الذكي للمخاطر، ما يوفر حلا واحدا للكشف عن التنبيهات، ورؤية التهديدات، والتتبع الاستباقي، والاستجابة للتهديدات. باستخدام Azure Lighthouse، يمكنك إدارة مساحات عمل Microsoft Sentinel متعددة عبر المستأجرين الذين يغيرون الحجم. ما يمكن سيناريوهات مثل تشغيل الاستعلامات عبر مساحات عمل متعددة، أو إنشاء مصنفات لعرض البيانات بيانياً ومراقبتها من مصادر بياناتك المتصلة للحصول على نتيجة التحليلات. يظل بروتوكول الإنترنت IP مثل الاستعلامات ودلائل المبادئ في مستأجرك الإداري، ولكن يمكن استخدامه لأداء إدارة الأمان في مستأجري العملاء.

يوفر هذا الموضوع نظرة عامة حول كيفية السماح لك Azure Lighthouse باستخدام Microsoft Sentinel بطريقة قابلة للتطوير للرؤية عبر المستأجرين وخدمات الأمان المدارة.

تلميح

بالرغم من أننا نشير إلى موفري الخدمات والعملاء في هذا الموضوع، فإن هذا الإرشاد ينطبق أيضاً على المؤسسات التي تستخدم Azure Lighthouse لإدارة عدة مستأجرين.

إشعار

يمكنك إدارة الموارد المفوضة الموجودة في مناطق مختلفة. ومع ذلك، لا يمكنك تفويض الموارد عبر سحابة وطنية وسحابة Azure العامة، أو عبر سحابتين وطنيتين منفصلتين.

الاعتبارات المعمارية

بالنسبة لموفر خدمة الأمان المدار (MSSP) الذي يريد إنشاء عرض أمان كخدمة باستخدام Microsoft Sentinel، قد تكون هناك حاجة إلى مركز عمليات أمان واحد (SOC) لمراقبة وإدارة وتكوين مساحات عمل متعددة من Microsoft Sentinel المنتشرة داخل مستأجري العملاء الفرديين. وبالمثل، قد ترغب المؤسسات التي لديها العديد من مستأجري Microsoft Entra في إدارة مساحات عمل Microsoft Sentinel متعددة موزعة عبر المستأجرين بشكل مركزي.

هذا النموذج من الإدارة المركزية له المزايا التالية:

• بقاء ملكية البيانات مع كل مستأجر مدار على حدة.
• دعم متطلبات تخزين البيانات داخل الحدود الجغرافية.
• التأكد من عزل البيانات، نظراً إلى عدم تخزين البيانات لعدة عملاء في نفس مساحة العمل.
• منع النقل غير مصرّح للبيانات من المستأجرين المدارين، ما يساعد على التأكد من توافق البيانات.
• فرض التكاليف ذات الصلة على كل مستأجر مدار، بدلاً من المستأجر الإداري.
• ستظل البيانات من جميع مصادر البيانات وموصلات البيانات المدمجة مع Microsoft Sentinel (مثل سجلات نشاط Microsoft Entra أو سجلات Office 365 أو تنبيهات الحماية من المخاطر من Microsoft) داخل كل مستأجر عميل.
• تقليل زمن انتقال الشبكة.
• سهولة إضافة شركات فرعية أو عملاء جدد أو إزالتهم.
• القدرة على استخدام عرض مساحات العمل متعددة عند العمل من خلال Azure Lighthouse.
• لحماية ملكيتك الفكرية يمكنك استخدام أدلة المبادئ والمصنفات للعمل عبر المستأجرين دون مشاركة التعليمات البرمجية مباشرة مع العملاء. يجب حفظ قواعد التحليل والتتبع فقط مباشرة في مستأجر كل عميل على حدة.

هام

إذا تم إنشاء مساحات العمل فقط في مستأجري العملاء، يجب أيضا تسجيل موفري موارد Microsoft.SecurityInsights وMicrosoft.OperationalInsights في اشتراك في المستأجر الإداري.

نموذج توزيع بديل لإنشاء مساحة عمل Microsoft Azure Sentinel واحدة في المستأجر الإداري. في هذا النموذج، يتيح Azure Lighthouse جمع السجل من مصادر البيانات عبر المستأجرين المدارين. ومع ذلك، هناك بعض مصادر البيانات التي لا يمكن توصيلها عبر المستأجرين، مثل Microsoft Defender XDR. وبسبب هذا القيد، هذا النموذج غير مناسب للعديد من سيناريوهات موفر الخدمة.

التحكم في الوصول استناداً إلى دور Granular Azure (Azure RBAC)

يجب إلحاق كل اشتراك عميل سيديره MSSP بـAzure Lighthouse. يسمح هذا للمستخدمين المعينين في المستأجر الإداري بالوصول إلى عمليات الإدارة وتنفيذها على مساحات عمل Microsoft Azure Sentinel الموزعة في مستأجري العملاء.

عند إنشاء تخويلاتك، يمكنك تعيين الأدوار المضمنة فيMicrosoft Azure Sentinel للمستخدمين أو المجموعات أو كيان الخدمة في المستأجر الإداري:

• Microsoft Sentinel Reader
• مستجيب Microsoft Sentinel
• مساهم Microsoft Sentinel

قد تحتاج أيضاً إلى تعيين أدوار إضافية مضمنة لأداء وظائف إضافية. للحصول على معلومات حول أدوار معينة يمكن استخدامها مع Microsoft Sentinel، راجع الأدوار والأذونات في Microsoft Sentinel.

بمجرد إلحاق عملائك، يمكن للمستخدمين المعينين تسجيل الدخول إلى المستأجر الإداري والوصول مباشرة إلى مساحة عملMicrosoft Azure Sentinel للعميل بالأدوار المعينة.

عرض الأحداث وإدارتها عبر مساحات العمل

إذا كنت تعمل مع موارد Microsoft Sentinel لعدة عملاء، يمكنك عرض الأحداث وإدارتها في مساحات عمل متعددة عبر مستأجرين مختلفين في وقت واحد. للاطلاع على المزيد من المعلومات، راجع العمل بالحوادث في عدة مساحات عمل في وقت واحد وتوسيع Microsoft Azure Sentinel عبر مساحات العمل والمستأجرين.

إشعار

تأكد من تعيين أذونات القراءة والكتابة للمستخدمين في المستأجر الإداري على جميع مساحات العمل المدارة. إذا كان لدى المستخدم أذونات قراءة فقط في بعض مساحات العمل، فقد تظهر رسائل تحذير عند تحديد الحوادث في مساحات العمل هذه، ولن يتمكن المستخدم من تعديل تلك الحوادث أو أي أحداث أخرى محددة معها (حتى إذا كان لدى المستخدم أذونات الكتابة للآخرين).

تكوين أدلة المبادئ للتخفيف من المخاطر

يمكن استخدام أدلة المبادئ للتخفيف التلقائي عند تشغيل تنبيه. يمكن تشغيل أدلة المبادئ المُشار إليها يدوياً أو تلقائياً عند تشغيل تنبيهات معينة. يمكن نشر أدلة المبادئ إما في المستأجر الإداري أو مستأجر العميل، مع تكوين إجراءات الاستجابة استنادا إلى مستخدمي المستأجر الذي يجب أن يتخذوا إجراء استجابة لتهديد الأمان.

إنشاء مصنفات عبر المستأجرين

تساعدك مصنفات جهاز عرض Azure فيMicrosoft Azure Sentinel على عرض البيانات بيانياً ومراقبتها من مصادر البيانات المتصلة للحصول على تحليلات النتائج. يمكنك استخدام قوالب المصنفات المضمنة فيMicrosoft Azure Sentinel، أو إنشاء مصنفات مخصصة لسيناريوهاتك.

يمكنك توزيع المصنفات في المستأجر الإداري وإنشاء لوحات معلومات تغير الحجم لمراقبة البيانات والاستعلام عنها عبر مستأجري العملاء. لمزيد من المعلومات، راجع المصنفات عبر مساحات العمل.

يمكنك أيضا نشر المصنفات مباشرة في مستأجر مدار فردي لسيناريوهات خاصة بهذا العميل.

شغل Log Analytics واستعلامات التتبع عبر مساحات عملMicrosoft Azure Sentinel

قم بإنشاء استعلامات Log Analytics وحفظها للكشف عن التهديدات مركزياً في المستأجر الإداري، بما في ذلك استعلامات التتبع. يمكن تشغيل هذه الاستعلامات عبر جميع مساحات عمل Microsoft Sentinel الخاصة بعملائك باستخدام عامل التشغيل Union وتعبير workspace().

للاطلاع على المزيد من المعلومات، راجع الاستعلام عبر مساحة العمل.

استخدام التشغيل التلقائي للإدارة عبر مساحات العمل

يمكنك استخدام التشغيل التلقائي لإدارة مساحات عملMicrosoft Azure Sentinel المتعددة وتكوين استعلامات التتبع ودلائل المبادئ والمصنفات. للاطلاع على المزيد من المعلومات، راجع الإدارة عبر مساحات العمل باستخدام التشغيل التلقائي.

مراقبة أمان بيئات Office 365

استخدم Azure Lighthouse بالاقتران معMicrosoft Azure Sentinel لمراقبة أمان بيئات Office 365 عبر المستأجرين. أولا، قم بتمكين موصلات بيانات Office 365 الجاهزة في المستأجر المدار. يمكن بعد ذلك استيعاب معلومات حول أنشطة المستخدم والمسؤول في Exchange وSharePoint (بما في ذلك OneDrive) إلى مساحة عمل Microsoft Sentinel داخل المستأجر المدار. تتضمن هذه المعلومات تفاصيل حول إجراءات مثل تنزيلات الملفات وطلبات الوصول المرسلة والتغييرات في أحداث المجموعة وعمليات علبة البريد، بالإضافة إلى تفاصيل حول المستخدمين الذين قاموا بتنفيذ هذه الإجراءات. كما يدعم تنبيهات DLP Office 365 كجزء من موصل Office 365 المضمن.

يمكنك استخدام موصل Microsoft Defender for Cloud Apps لدفق التنبيهات وسجلات اكتشاف السحابة إلىMicrosoft Azure Sentinel. يوفر هذا الموصل رؤية للتطبيقات السحابية، ويوفر تحليلات متطورة لتحديد التهديدات الإلكترونية ومكافحتها، ويساعدك على التحكم في كيفية انتقال البيانات. يمكن استهلاك سجلات النشاط لـ Defender for Cloud Apps باستخدام Common Event Format (CEF).

بعد إعداد موصلات بيانات Office 365، يمكنك استخدام قدرات Microsoft Azure Sentinel عبر المستأجرين مثل عرض البيانات وتحليلها في المصنفات، واستخدام الاستعلامات لإنشاء تنبيهات مخصصة، وتكوين أدلة المبادئ للاستجابة للتهديدات.

حماية الملكية الفكرية

عند العمل مع العملاء، قد ترغب في حماية الملكية الفكرية التي طورتها في Microsoft Azure Sentinel، مثل قواعد تحليلات Microsoft Azure Sentinel واستعلامات التتبع ودلائل المبادئ والمصنفات. تتوفر طرق مختلفة يمكنك استخدامها للتأكد من عدم امتلاك العملاء حق الوصول الكامل إلى التعليمات البرمجية المستخدمة في هذه الموارد.

للاطلاع على المزيد من المعلومات، راجع حماية الملكية الفكرية MSSP في Microsoft Azure Sentinel.

الخطوات التالية

• تعرف على Microsoft Azure Sentinel.
• راجع صفحة أسعار Microsoft Azure Sentinel.
• استكشف MicrosoftSentinel All-in-One، وهو مشروع لتسريع النشر ومهام التكوين الأولية لبيئة Microsoft Sentinel.
• تعرف على التجارب الخاصة بالإدارة عبر المستأجرين.