توسيع Microsoft Sentinel لتشمل مساحات العمل والمستأجرين
ملاحظة
يسمى Azure Sentinel الآن Microsoft Sentinel، وسنقوم بتحديث هذه الصفحات في الأسابيع القادمة. تعرف على المزيد حول التحسينات الأمنية الأخيرة لـ Microsoft.
الحاجة إلى استخدام مساحات عمل Microsoft Sentinel متعددة
تم إنشاء Microsoft Sentinel فوق مساحة عمل Log Analytics. ستلاحظ أن الخطوة الأولى في إعداد Microsoft Sentinel هي تحديد مساحة عمل Log Analytics التي ترغب في استخدامها لهذا الغرض.
يمكنك الاستفادة من تجربة Microsoft Sentinel بالكامل عند استخدام مساحة عمل واحدة. ومع ذلك ، هناك بعض الظروف التي قد تتطلب منك الحصول على مساحات عمل متعددة. يسرد الجدول التالي بعض هذه الحالات، ويقترح، عند الإمكان، كيفية تلبية المتطلبات من خلال مساحة عمل واحدة:
| المتطلبات | الوصف | طرق تقليل عدد مساحات العمل |
|---|---|---|
| السيادة والامتثال التنظيمي | ترتبط مساحة العمل بمنطقة معينة. إذا كانت هناك حاجة إلى الاحتفاظ بالبيانات في مناطق جغرافية مختلفة في Azure لتلبية المتطلبات التنظيمية، فيجب تقسيمها إلى مساحات عمل منفصلة. | |
| ملكية البيانات | يتم تحديد حدود ملكية البيانات ، على سبيل المثال من قبل الشركات التابعة أو الشركات التابعة ، بشكل أفضل باستخدام مساحات عمل منفصلة. | |
| مستأجرو Azure متعددون | يدعم Microsoft Sentinel جمع البيانات من موارد Microsoft وAzure SaaS فقط داخل حدود مستأجر Azure Active Directory (Azure AD) الخاصة به. لذلك يتطلب كل مستأجر Azure AD مساحة عمل منفصلة. | |
| التحكم في الوصول إلى البيانات بصورة دقيقة | قد تحتاج المؤسسة إلى السماح لمجموعات مختلفة، داخل المؤسسة أو خارجها، بالوصول إلى بعض البيانات التي تم تجميعها بواسطة Microsoft Sentinel. على سبيل المثال:
|
Use resource Azure RBAC or table level Azure RBAC |
| إعدادات الاستبقاء متعدد المستويات | تاريخيا، كانت مساحات العمل المتعددة هي الطريقة الوحيدة لتعيين فترات احتفاظ مختلفة لأنواع البيانات المختلفة. لم تعد هناك حاجة إلى ذلك في كثير من الحالات، وذلك بفضل إدخال إعدادات الاحتفاظ بمستوى الجدول. | استخدام إعدادات الاحتفاظ بمستوى الجدول أو الحذف التلقائي للبيانات |
| تقسيم الفواتير | من خلال وضع مساحات العمل في اشتراكات منفصلة ، يمكن فوترتها إلى أطراف مختلفة. | تقارير الاستخدام والتكلفة المشتركة |
| التصميم القديم | قد ينبع استخدام مساحات عمل متعددة من تصميم تاريخي يأخذ في الاعتبار القيود أو أفضل الممارسات التي لم تعد صحيحة. قد يقع الاختيار أيضًا على تصميم عشوائي يمكن تعديله ليتناسب مع Microsoft Sentinel بصورة أفضل. وتشمل الأمثلة على ذلك ما يلي:
|
إعادة تصميم مساحات العمل |
موفر خدمة الأمان المدارة (MSSP)
حالة استخدام معينة تفرض مساحات عمل متعددة هي خدمة MSSP Microsoft Sentinel. في هذه الحالة ، تنطبق العديد من المتطلبات المذكورة أعلاه ، إن لم يكن جميعها ، مما يجعل مساحات العمل المتعددة ، عبر المستأجرين ، أفضل الممارسات. يمكن ل MSSP استخدام Azure Lighthouse لتوسيع إمكانات Microsoft Sentinel عبر مساحة العمل عبر المستأجرين.
تصميم مساحات العمل المتعددة في Microsoft Sentinel
كما هو موضح في المتطلبات أعلاه، هناك حالات تحتاج فيها مساحات عمل Microsoft Sentinel متعددة، يحتمل أن تكون عبر مستأجري Azure Active Directory (Azure AD)، إلى المراقبة المركزية وإدارتها بواسطة SOC واحد.
خدمة MSSP Microsoft Sentinel.
شركة نفط الجنوب العالمية التي تخدم العديد من الشركات التابعة، ولكل منها شركة نفط الجنوب المحلية الخاصة بها.
SOC يراقب العديد من مستأجري Azure AD داخل المؤسسة.
لتلبية هذا المطلب، يوفر Microsoft Sentinel إمكانات مساحة عمل متعددة تمكن المراقبة المركزية والتكوين والإدارة، مما يوفر جزءا واحدا من الزجاج عبر كل ما تغطيه SOC، كما هو موضح في الرسم التخطيطي أدناه.
يوفر هذا النموذج مزايا كبيرة مقارنة بنموذج مركزي بالكامل يتم فيه نسخ جميع البيانات إلى مساحة عمل واحدة:
تعيين دور مرن إلى SOCs العالمية والمحلية ، أو إلى MSSP عملائها.
تحديات أقل فيما يتعلق بملكية البيانات وخصوصية البيانات والامتثال التنظيمي.
الحد الأدنى من زمن انتقال الشبكة والرسوم.
سهولة تأهيل وإخراج الشركات التابعة أو العملاء الجدد.
في الأقسام التالية ، سنشرح كيفية تشغيل هذا النموذج ، وخاصة كيفية القيام بذلك:
راقب مساحات العمل المتعددة مركزيا، وربما عبر المستأجرين، مما يوفر ل SOC جزءا واحدا من الزجاج.
قم بتكوين مساحات عمل متعددة وإدارتها مركزيا، ربما عبر المستأجرين، باستخدام التشغيل التلقائي.
المراقبة عبر مساحة العمل
إدارة الحوادث على مساحات عمل متعددة
يدعم Microsoft Sentinel طريقة عرض متعددة لحوادث مساحة العمل لتسهيل مراقبة الحوادث المركزية وإدارتها عبر مساحات عمل متعددة. تتيح لك طريقة عرض الحوادث المركزية إدارة الحوادث مباشرة أو الانتقال بشفافية إلى تفاصيل الحادث في سياق مساحة العمل الأصلية.
الاستعلام عبر مساحة العمل
يدعم Microsoft Sentinel الاستعلام عن مساحات عمل متعددة في استعلام واحد، مما يسمح لك بالبحث عن البيانات وربطها من مساحات عمل متعددة في استعلام واحد.
استخدم تعبير مساحة العمل() للإشارة إلى جدول في مساحة عمل مختلفة.
استخدم عامل تشغيل الاتحاد إلى جانب تعبير مساحة العمل() لتطبيق استعلام عبر الجداول في مساحات عمل متعددة.
يمكنك استخدام الوظائف المحفوظة لتبسيط الاستعلامات عبر مساحة العمل. على سبيل المثال، إذا كان المرجع إلى مساحة عمل طويلا، فقد تحتاج إلى حفظ التعبير workspace("customer-A's-hard-to-remember-workspace-name").SecurityEvent كدالة تسمى SecurityEventCustomerA. يمكنك بعد ذلك كتابة الاستعلامات ك SecurityEventCustomerA | where ... .
يمكن للدالة أيضا تبسيط اتحاد شائع الاستخدام. على سبيل المثال، يمكنك حفظ التعبير التالي كدالة تسمى unionSecurityEvent:
union workspace(“hard-to-remember-workspace-name-1”).SecurityEvent, workspace(“hard-to-remember-workspace-name-2”).SecurityEvent
يمكنك بعد ذلك كتابة استعلام عبر كل من مساحات العمل عن طريق البدء ب unionSecurityEvent | where ... .
قواعد التحليلات عبر مساحة العمل
يمكن الآن تضمين طلبات البحث عبر مساحة العمل في قواعد التحليلات المجدولة. يمكنك استخدام قواعد التحليلات عبر مساحة العمل في SOC مركزي، وعبر المستأجرين (باستخدام Azure Lighthouse) كما في حالة MSSP، مع مراعاة القيود التالية:
- يمكن تضمين ما يصل إلى 20 مساحة عمل في استعلام واحد.
- يجب نشر Microsoft Sentinel على كل مساحة عمل مشار إليها في الاستعلام.
- لا توجد التنبيهات التي تم إنشاؤها بواسطة قاعدة تحليلات عبر مساحة العمل، والحوادث التي تم إنشاؤها منها، إلا في مساحة العمل التي تم تعريف القاعدة فيها. لن يتم عرضها في أي من مساحات العمل الأخرى المشار إليها في الاستعلام.
ستحتوي التنبيهات والحوادث التي تم إنشاؤها بواسطة قواعد التحليلات عبر مساحة العمل على جميع الكيانات ذات الصلة، بما في ذلك الكيانات من جميع مساحات العمل المشار إليها بالإضافة إلى مساحة العمل "المنزلية" (حيث تم تعريف القاعدة). سيسمح ذلك للمحللين بالحصول على صورة كاملة عن التنبيهات والحوادث.
ملاحظة
قد يؤثر الاستعلام عن مساحات عمل متعددة في نفس الاستعلام على الأداء، وبالتالي يوصى به فقط عندما يتطلب المنطق هذه الوظيفة.
مصنفات عبر مساحة العمل
توفر المصنفات لوحات معلومات وتطبيقات ل Microsoft Sentinel. عند العمل مع مساحات عمل متعددة، فإنها توفر المراقبة والإجراءات عبر مساحات العمل.
يمكن أن توفر المصنفات استعلامات عبر مساحة العمل بإحدى الطرق الثلاث، تلبي كل منها مستويات مختلفة من خبرة المستخدم النهائي:
| الأسلوب | الوصف | متى يجب علي الاستخدام؟ |
|---|---|---|
| كتابة استعلامات عبر مساحة العمل | يمكن لمنشئ المصنف كتابة استعلامات عبر مساحة العمل (الموضحة أعلاه) في المصنف. | يمكن هذا الخيار منشئي المصنفات من حماية المستخدم بالكامل من بنية مساحة العمل. |
| إضافة محدد مساحة عمل إلى المصنف | يمكن لمنشئ المصنف تنفيذ محدد مساحة عمل كجزء من المصنف، كما هو موضح هنا. | يوفر هذا الخيار للمستخدم إمكانية التحكم في مساحات العمل التي يعرضها المصنف، من خلال مربع منسدلة سهل الاستخدام. |
| تحرير المصنف بشكل تفاعلي | يمكن للمستخدم المتقدم الذي يقوم بتعديل مصنف موجود تحرير الاستعلامات الموجودة فيه، وتحديد مساحات العمل المستهدفة باستخدام محدد مساحة العمل في المحرر. | يمكن هذا الخيار المستخدم القوي من تعديل المصنفات الموجودة بسهولة للعمل مع مساحات عمل متعددة. |
الصيد عبر مساحة العمل
يوفر Microsoft Sentinel نماذج استعلام محملة مسبقا مصممة للبدء والتعرف على الجداول ولغة الاستعلام. يتم تطوير استعلامات البحث المضمنة هذه من قبل باحثي أمان Microsoft على أساس مستمر، مع إضافة استعلامات جديدة وضبط الاستعلامات الموجودة، لتزويدك بنقطة دخول للبحث عن اكتشافات جديدة وتحديد علامات التسلل التي ربما لم يتم اكتشافها بواسطة أدوات الأمان الخاصة بك.
تمكن إمكانات البحث عبر مساحة العمل صيادي التهديدات من إنشاء استعلامات صيد جديدة، أو تكييف الاستعلامات الموجودة، لتغطية مساحات عمل متعددة، باستخدام عامل تشغيل النقابة وتعبير مساحة العمل () كما هو موضح أعلاه.
الإدارة عبر مساحات العمل باستخدام التشغيل الآلي
لتكوين مساحات عمل Microsoft Sentinel متعددة وإدارتها، ستحتاج إلى أتمتة استخدام واجهة برمجة تطبيقات إدارة Microsoft Sentinel. لمزيد من المعلومات حول كيفية أتمتة نشر موارد Microsoft Sentinel، بما في ذلك قواعد التنبيه واستعلامات البحث والمصنفات وكتب اللعب، راجع توسيع Microsoft Sentinel: واجهات برمجة التطبيقات والتكامل وأتمتة الإدارة.
راجع أيضا نشر المحتوى المخصص من المستودع الخاص بك للحصول على منهجية موحدة لإدارة Microsoft Sentinel كتعليمات برمجية ولنشر الموارد وتكوينها من Azure DevOps خاص أو مستودع GitHub.
إدارة مساحات العمل عبر المستأجرين باستخدام Azure Lighthouse
كما ذكر أعلاه، في العديد من السيناريوهات، يمكن وضع مساحات عمل Microsoft Sentinel المختلفة في مستأجرين مختلفين في Azure AD. يمكنك استخدام Azure Lighthouse لتوسيع جميع الأنشطة عبر مساحة العمل عبر حدود المستأجرين، مما يسمح للمستخدمين في المستأجر الإداري بالعمل على مساحات عمل Microsoft Sentinel عبر جميع المستأجرين. بمجرد إعداد Azure Lighthouse، استخدم الدليل + محدد الاشتراك على مدخل Azure لتحديد جميع الاشتراكات التي تحتوي على مساحات عمل تريد إدارتها، وذلك لضمان توفرها جميعا في محددات مساحة العمل المختلفة في البوابة الإلكترونية.
عند استخدام Azure Lighthouse، يوصى بإنشاء مجموعة لكل دور Microsoft Sentinel وتفويض الأذونات من كل مستأجر إلى تلك المجموعات.
الخطوات التالية
في هذا المستند، تعرفت على كيفية توسيع إمكانات Microsoft Sentinel عبر مساحات عمل ومستأجرين متعددين. للحصول على إرشادات عملية حول تنفيذ بنية Microsoft Sentinel عبر مساحة العمل، راجع المقالات التالية:
- تعرف على كيفية العمل مع مستأجرين متعددين في Microsoft Sentinel، باستخدام Azure Lighthouse.
- تعرف على كيفية عرض الحوادث وإدارتها في مساحات عمل متعددة بسلاسة.