Centralizované operace zabezpečení s externími identitami pro organizace obrany
Tento článek je určený pro víceklientských organizací obrany s centralizovaným provozním týmem zabezpečení. Vysvětluje, jak můžete spravovat více tenantů a splňovat požadavky na nulovou důvěryhodnost pomocí jediné identity a zařízení s privilegovaným přístupem. Díky této konfiguraci nepotřebují operátoři zabezpečení k zabezpečení vašeho prostředí více uživatelských účtů, přihlašovacích údajů a pracovních stanic. Nastavení podporuje možnosti nulové důvěryhodnosti v sekundárních tenantech.
Principy komponent konfigurace
Tento scénář kombinuje Azure Lighthouse, Externí ID Entra, Entra Privileged Identity Management a správu s více tenanty v XDR v programu Microsoft Defender.
Azure Lighthouse slouží ke správě Služby Microsoft Sentinel v sekundárních tenantech. Ke správě pracovních prostorů Služby Microsoft Sentinel v předplatných připojených k sekundárním tenantům musíte použít Azure Lighthouse . Azure Lighthouse umožňuje víceklientní správu s využitím škálovatelnosti, vyšší automatizace a rozšířeného řízení napříč prostředky.
Azure Lighthouse umožňuje objekt zabezpečení (uživatel, skupina nebo instanční objekt) v jednom tenantovi mít roli Azure ke správě prostředků v jiném tenantovi. Díky tomuto nastavení můžou operátoři zabezpečení v primárním tenantovi bezproblémově spravovat Službu Sentinel i Defender pro cloud napříč tenanty.
Poznámka:
Oprávnění pro pracovní prostory Služby Microsoft Sentinel připojené k sekundárním tenantům je možné přiřadit uživatelům místnímu sekundárnímu tenantovi, uživatelům typu host B2B z primárního tenanta nebo přímo primárním uživatelům tenanta pomocí Služby Azure Lighthouse. Azure Lighthouse je doporučená možnost pro Sentinel, protože umožňuje rozšířit aktivity napříč pracovními prostory napříč hranicemi tenantů.
Pomocí externího ID Entra můžete spravovat Microsoft Defender for Endpoint v sekundárních tenantech. Azure Lighthouse nemůžete použít ke sdílení Microsoft Defenderu for Endpoint (MDE) mezi tenanty, takže potřebujete použít externí identity (hosty B2B). Externí identity umožňují operátorům zabezpečení v primárním tenantovi spravovat MDE v sekundárním tenantovi bez přihlášení pomocí jiného účtu nebo přihlašovacích údajů. Operátor zabezpečení musí zadat tenanta, který používá. Aby bylo možné určit tenanta, měli by do adresy URL portálu Microsoft Defenderu zahrnout ID tenanta. Vaši operátoři by měli přidat záložku portálů Microsoft Defenderu pro každého tenanta, který potřebují spravovat. K dokončení nastavení je potřeba nakonfigurovat nastavení přístupu mezi tenanty v sekundárním tenantovi. Nastavte příchozí vztah důvěryhodnosti tak, aby důvěřoval vícefaktorovým ověřováním (MFA) a dodržování předpisů zařízením z primárního tenanta. Tato konfigurace umožňuje uživatelům typu host spravovat MDE bez vytváření výjimek pro stávající zásady podmíněného přístupu pro sekundární tenanty.
Když povolíte Defender for Server v předplatném propojeném s sekundárním tenantem, rozšíření MDE se automaticky nasadí a začne poskytovat signály zabezpečení pro službu MDE. Používá stejného sekundárního tenanta. Oprávnění MDE nemůžou používat Azure Lighthouse. Musíte je přiřadit uživatelům nebo skupinám v místním (sekundárním) ID Microsoft Entra. Operátory zabezpečení musíte připojit jako externí identity (hosty B2B) v sekundárním tenantovi. Pak můžete přidat hosta do role MDE pomocí skupiny zabezpečení Microsoft Entra. V této konfiguraci může primární operátor zabezpečení tenanta provádět akce reakce na servery chráněné mdE v sekundárním tenantovi.
Použijte Privileged Identity Management.Microsoft Entra Privileged Identity Management (PIM) umožňuje zvýšení oprávnění role za běhu pro role Azure a Microsoft Entra. PIM pro skupiny rozšiřuje tuto funkci na členství ve skupinách Pro skupiny Microsoftu 365 a skupiny zabezpečení Microsoft Entra. Po nastavení PIM pro skupiny je potřeba zkontrolovat aktivní a oprávněné členství v privilegované skupině vytvořením kontroly přístupu PIM pro skupiny.
Důležité
Existují dva způsoby použití služby Entra Privileged Identity Management se službou Azure Lighthouse. PIM můžete použít pro skupiny ke zvýšení členství na skupinu zabezpečení Entra s trvalou autorizací nakonfigurovanou v Azure Lighthouse, jak je popsáno v předchozí části. Další možností je nakonfigurovat Azure Lighthouse s oprávněnými autorizací. Další informace najdete v tématu připojení zákazníka ke službě Azure Lighthouse.
Konfigurace centralizovaných operací zabezpečení
Pokud chcete nastavit centralizované operace zabezpečení pro víceklientských prostředí, musíte nakonfigurovat Azure Lighthouse, Entra External ID a Entra Privileged Identity Management. Operátor zabezpečení v primárním tenantovi může používat jednu identitu zabezpečenou více tenantů. Přihlásí se jednou, zvýší přístup pomocí PIM, monitoruje prostředky napříč tenanty a službami a reaguje na hrozby napříč tenanty (viz obrázek 1).
Obrázek 1 Jak nastavit operace zabezpečení ve víceklientských organizacích ochrany
1. Nasaďte Sentinel a povolte Defender for Cloud. Vytvořte pracovní prostor Microsoft Sentinelu v předplatných přidružených ke každému tenantovi. Nakonfigurujte relevantní datové konektory a povolte analytická pravidla. Povolte Ochranu úloh s rozšířeným zabezpečením Defenderu pro cloud pro hostované úlohy, včetně Defenderu for Server, ve všech prostředích Azure a připojte Defender for Cloud ke službě Microsoft Sentinel.
2. Nakonfigurujte PIM pro operace zabezpečení Azure. Vytvořte skupinu s možností přiřazení role (Azure SecOps na obrázku 1) a trvale přiřaďte skupinu rolím Azure, které potřebují operátoři zabezpečení. V tomto příkladu se používá Přispěvatel Microsoft Sentinelu a Čtenář zabezpečení, ale můžete také zvážit Přispěvatel aplikací logiky a další role , které potřebují. Nakonfigurujte PIM pro skupiny tak, aby přiřadily operátory zabezpečení jako způsobilé pro skupinu Azure SecOps. Tento přístup umožňuje operátorovi zabezpečení zvýšit přístup pro všechny role, které potřebují v jednom požadavku PIM. V případě potřeby nakonfigurujte trvalá přiřazení rolí pro přístup pro čtení.
3. Nakonfigurujte PIM pro operace zabezpečení XDR v programu Microsoft Defender. Vytvoření skupiny s možností přiřazení role (skupina rolí Microsoftu 365 na obrázku 1) pro přiřazení oprávnění XDR v programu Microsoft Defender Dále vytvořte roli PIM pro skupinu rolí Microsoftu 365 a přiřaďte oprávnění pro operátora zabezpečení. Pokud nechcete spravovat více rolí, můžete použít stejnou skupinu (Azure SecOps), kterou jste nakonfigurovali v kroku 1, a přiřadit tak oprávnění XDR v programu Microsoft Defender a role Azure.
4. Nakonfigurujte Azure Lighthouse. Azure Lighthouse slouží k přiřazení rolí Azure pro předplatná prostředků Azure sekundárního tenanta. Použijte ID objektu skupiny Azure SecOps a ID tenanta primárního tenanta. Příklad na obrázku 1 používá role respondéru Microsoft Sentinelu a čtenáře zabezpečení. Nakonfigurujte trvalá přiřazení rolí pomocí Služby Azure Lighthouse, abyste v případě potřeby zajistili trvalý přístup ke čtení.
5. Nakonfigurujte přístup externího uživatele v sekundárním tenantovi. Pomocí správy nároků můžete nakonfigurovat scénář iniciovaný koncovým uživatelem nebo použít pozvánku hosta k přenesení primárních operátorů zabezpečení tenanta jako externí identity v sekundárním tenantovi. Konfigurace nastavení přístupu mezi tenanty v sekundárním tenantovi jsou nakonfigurovaná tak, aby důvěřovala vícefaktorovému ověřování a deklaracím dodržování předpisů zařízením z primárního tenanta. Vytvořte skupinu s možností přiřazení role (skupina rolí Microsoft 365 na obrázku 1), přiřaďte oprávnění Microsoft Defenderu pro koncový bod a nakonfigurujte roli PIM podle stejného procesu jako krok 2.
Správa centralizovaných operací zabezpečení
Operátoři zabezpečení potřebují účty a oprávněný přístup k zabezpečení prostředí a reagují na hrozby. Operátoři zabezpečení by měli vědět, pro které role mají nárok a jak zvýšit svá oprávnění pomocí nástroje Microsoft Entra PIM. V případě Microsoft Defenderu for Endpoint (MDE) musí vědět, jak mezi tenanty přepínat, aby mohli vyhledávat hrozby a reagovat na ně pomocí MDE.
Operátory zabezpečení používají nastavení víceklientských operací zabezpečení (viz obrázek 1) k zabezpečení více tenantů. Můžou monitorovat, zkoumat a reagovat na hrozby v Rámci Microsoftu 365 a Azure napříč tenanty Microsoft Entra (viz obrázek 2).
Obrázek 2 Jak používat nastavení víceklientských operací zabezpečení
1. Požádejte o přístup ke cloudu Sentinel a Defender. Operátor zabezpečení se musí přihlásit k webu Azure Portal, aby si vyžádal a aktivoval roli Azure SecOps pomocí PIM. Jakmile je jejich role aktivní, budou mít přístup k Microsoft Sentinelu a Defenderu pro cloud.
2. Používejte Sentinel napříč pracovními prostory a tenanty. Když je jejich role Azure SecOps aktivní, může operátor zabezpečení přejít na Microsoft Sentinel a provádět operace napříč tenanty. Nakonfigurujete XDR a Defender pro cloudové datové konektory v programu Microsoft Defender pro instance Služby Sentinel v primárním a sekundárním tenantovi. Když nakonfigurujete Azure Lighthouse pro roli Azure SecOps, může operátor zabezpečení zobrazit všechna upozornění služby Sentinel, dotazovat se napříč pracovními prostory a spravovat incidenty a vyšetřování napříč všemi tenanty.
3. Pomocí portálu Microsoft Defender v primárním tenantovi můžete reagovat na hrozby pracovních stanic. Když operátor zabezpečení potřebuje přístup k XDR v programu Microsoft Defender, použije Microsoft Entra PIM k aktivaci své role Microsoft 365. Toto členství ve skupině přiřazuje oprávnění potřebná k reakci na bezpečnostní hrozby na zařízeních pracovních stanic spravovaných službou Intune a připojování k MDE v primárním tenantovi. Operátor zabezpečení používá portál Microsoft Defenderu k provedení akce odpovědi a izolaci pracovní stanice.
4. Pomocí portálu Microsoft Defender v sekundárním tenantovi můžete reagovat na hrozby serveru. Když operátoři zabezpečení potřebují reagovat na hrozby zjištěné službou MDE pro servery v sekundárních předplatných tenantů, musí pro sekundárního tenanta používat Microsoft Defender. Víceklientová správa v XDR v programu Microsoft Defender tento proces zjednodušuje a může prezentovat kombinované zobrazení XDR v programu Microsoft Defender ve všech tenantech. Operátor musí zvýšit úroveň přístupu MDE v sekundárním tenantovi, aby mohl zahájit akci odpovědi. Operátor zabezpečení se musí přihlásit k portálům Azure nebo Entra a přepnout do adresáře sekundárního tenanta. Dále musí operátor zabezpečení použít PIM k aktivaci skupiny rolí Microsoftu 365. Jakmile je role aktivní, může operátor přejít na portál Microsoft Defenderu. Odsud může operátor zabezpečení zahájit živou odpověď , která bude shromažďovat protokoly ze serveru nebo provádět jiné akce odezvy MDE.
5. Ke správě Defenderu pro cloud napříč tenanty použijte Lighthouse. Operátor zabezpečení by měl zkontrolovat doporučení defenderu pro cloud. Operátor musí k přepnutí adresářů zpět do primárního tenanta použít Azure Portal. Azure Lighthouse umožňuje operátorovi zabezpečení najít sekundární prostředky Azure tenanta z primárního tenanta. Defender for Cloud může zobrazit několik doporučení. Tato doporučení můžou umožňovat přístup k virtuálním počítačům za běhu a porty pro správu přístupné přes internet. V tomto scénáři operátor zabezpečení nemá roli Azure k implementaci doporučení Defenderu pro cloud. Operátor zabezpečení musí kontaktovat sekundární tým pro správu infrastruktury tenanta, aby opravil ohrožení zabezpečení. Operátor zabezpečení musí také přiřadit Azure Policy, aby se zabránilo nasazení virtuálních počítačů s vystavenými porty pro správu.
Další vzory operací zabezpečení
Model správy uvedený v tomto článku je jedním z mnoha možných vzorů pomocí kombinace externích identit a Azure Lighthouse. Vaše organizace se může rozhodnout implementovat jiný vzor, který lépe vyhovuje potřebám vašich operátorů zabezpečení.