Správa pracovních prostorů Microsoft Sentinel ve velkém měřítku
Jako poskytovatel služeb můžete mít k Azure Lighthousek dispozici několik klientů pro zákazníky. Azure Lighthouse umožňuje poskytovatelům služeb provádět operace ve velkém měřítku napříč několika klienty Azure Active Directory (Azure AD) najednou a díky tomu se úlohy správy zefektivňují efektivněji.
Microsoft Sentinel zajišťuje analýzy zabezpečení a analýzu hrozeb a poskytuje jedno řešení pro detekci výstrah, viditelnost hrozeb, proaktivní lov a reakci na hrozby. Pomocí Azure Lighthouse můžete spravovat víc pracovních prostorů Sentinel Microsoft napříč klienty ve velkém měřítku. To umožňuje scénářům, jako je spouštění dotazů napříč několika pracovními prostory, nebo vytváření sešitů pro vizualizaci a monitorování dat z připojených zdrojů dat, abyste získali přehledy. IP adresy, jako jsou dotazy a playbooky, zůstanou ve vašem spravovaném tenantovi, ale dají se použít k provádění správy zabezpečení v klientech zákazníka.
Toto téma poskytuje přehled o tom, jak používat Microsoft Sentinel ve škálovatelném způsobu pro viditelnost mezi klienty a spravované služby zabezpečení.
Tip
I když v tomto tématu odkazujeme na poskytovatele služeb a zákazníky, tyto doprovodné materiály se vztahují také na podniky, které používají Azure Lighthouse ke správě více tenantů.
Poznámka
Můžete spravovat delegované prostředky, které se nacházejí v různých oblastech. Nicméně delegování předplatných v rámci národního cloudu a veřejného cloudu Azure nebo ve dvou různých národních cloudech se nepodporuje.
Pokyny pro architekturu
Pro spravovaného poskytovatele služby zabezpečení (MSSP), který chce vytvořit nabídku zabezpečení jako služby pomocí nástroje Microsoft Sentinel, může být potřeba jediné Centrum zabezpečení (SOC), které se bude potřebovat k centrálnímu monitorování, správě a konfiguraci několika pracovních prostorů Microsoft Sentinel nasazených v rámci jednotlivých zákaznických klientů. Podobně podniky s více klienty Azure AD můžou chtít centrálně spravovat víc pracovních prostorů Sentinel Microsoft nasazených ve svých klientech.
Tento model nasazení má následující výhody:
- Vlastnictví dat zůstává u každého spravovaného tenanta.
- Podporuje požadavky na ukládání dat v rámci geografických hranic.
- Zajišťuje izolaci dat, protože data pro více zákazníků nejsou uložená ve stejném pracovním prostoru.
- Zabraňuje tomu, aby se data exfiltrace ze spravovaných tenantů, což pomáhá zajistit dodržování dat.
- Související náklady se účtují na každého spravovaného tenanta, nikoli na řízení tenanta.
- data ze všech zdrojů dat a datových konektorů, které jsou integrovány s protokolem microsoft Sentinel (například protokoly aktivit Azure AD, protokoly Office 365 nebo výstrahy ochrany před hrozbami microsoftu), zůstanou v rámci každého tenanta zákazníka.
- Snižuje latenci sítě.
- Snadné přidání nebo odebrání nových poboček nebo zákazníků
- Umožňuje použití zobrazení s více pracovními prostory při práci prostřednictvím Azure Lighthouse.
- K ochraně duševního vlastnictví můžete použít playbooky a sešity pro práci napříč klienty bez přímého sdílení kódu se zákazníky. Pouze pravidla pro analýzu a lov budou muset být uložena přímo v tenantovi každého zákazníka.
Důležité
Pokud jsou všechny pracovní prostory vytvořené v klientech zákazníků, musí být Microsoft. SecurityInsights & poskytovatelé prostředků Microsoft. OperationalInsights taky zaregistrované v předplatném spravovaném tenantovi.
Alternativním modelem nasazení je vytvořit jeden pracovní prostor Microsoft Sentinel v tenantovi pro správu. V tomto modelu Azure Lighthouse umožňuje shromažďování protokolů ze zdrojů dat ve spravovaných klientech. Existují však některé zdroje dat, které nelze připojit mezi klienty, jako je například Microsoft Defender pro Cloud. Z důvodu tohoto omezení není tento model vhodný pro mnoho scénářů poskytovatele služeb.
Podrobné řízení přístupu na základě role v Azure (Azure RBAC)
Každé předplatné zákazníka, které bude spravovat MSSP, musí být připojené do Azure Lighthouse. To umožňuje určeným uživatelům v tenantovi spravovat přístup a provádět operace správy v pracovních prostorech Microsoft Sentinel nasazených v klientech zákazníků.
Při vytváření autorizací můžete přiřadit předdefinované role Microsoft Sentinel uživatelům, skupinám nebo instančním objektům ve vašem tenantovi pro správu:
K provádění dalších funkcí můžete také přiřadit další předdefinované role. Informace o konkrétních rolích, které se dají použít s nástrojem Microsoft Sentinel, najdete v tématu oprávnění v Microsoft Sentinel.
Po připojení svých zákazníků se určení uživatelé můžou přihlásit do svého správce a získat přímý přístup k pracovnímu prostoru Microsoft Sentinel zákazníka s přiřazenými rolemi.
Zobrazení a Správa incidentů napříč pracovními prostory
Pokud spravujete prostředky Microsoft Sentinel pro různé zákazníky, můžete zobrazit a spravovat incidenty ve více pracovních prostorech v rámci několika tenantů najednou. Další informace najdete v tématu práce s incidenty v mnoha pracovních prostorech najednou a rozšiřování ověřovacích informací společnosti Microsoft napříč pracovními prostory a klienty.
Poznámka
Ujistěte se, že uživatelé ve vašem tenantovi pro správu mají přiřazená oprávnění ke čtení a zápisu ve všech pracovních prostorech, které jsou spravované. Pokud má uživatel oprávnění ke čtení v některých pracovních prostorech, mohou se zprávy s upozorněním zobrazit při výběru incidentů v těchto pracovních prostorech a uživatel nebude moci upravovat tyto incidenty ani jiné uživatele, které jste vybrali, a to ani v případě, že máte oprávnění pro ostatní.
Konfigurace playbooky pro zmírnění rizik
Playbooky se dá použít k automatickému zmírnění rizik při aktivaci výstrahy. Tyto playbooky se dají spouštět ručně, nebo se můžou spouštět automaticky, když se aktivují konkrétní výstrahy. Playbooky se dá nasadit buď v tenantovi pro správu, nebo v tenantovi zákazníka s nakonfigurovanými postupy odpovědí na základě toho, kteří uživatelé tenanta budou muset v reakci na bezpečnostní hrozbu provést akci.
Vytváření sešitů mezi klienty
Azure monitor sešity v rámci Microsoft Sentinel vám pomůžou vizualizovat a monitorovat data z připojených zdrojů dat, abyste získali přehledy. Můžete použít předdefinované šablony sešitu v rámci Microsoft Sentinel nebo vytvářet vlastní sešity pro vaše scénáře.
Můžete nasazovat sešity ve vašem tenantovi pro správu a vytvářet na úrovni řídicích panelů pro monitorování a dotazování dat napříč klienty zákazníka. Další informace najdete v tématu monitorování mezi pracovními prostory.
Sešity můžete nasadit také přímo do samostatného tenanta, který spravujete pro scénáře specifické pro daného zákazníka.
Spouštění Log Analytics a loveckých dotazů napříč pracovními prostory Microsoft Sentinel
Vytvářejte a neukládejte Log Analytics dotazy pro detekci hrozeb centrálně ve správě tenanta, včetně loveckých dotazů. Tyto dotazy se pak dají spouštět napříč všemi vašimi pracovními prostory služby Microsoft Sentinel vaší zákazníky pomocí operátoru Union a výrazu pracovního prostoru (). Další informace najdete v tématu dotazování mezi jednotlivými pracovními prostory.
Použití automatizace pro správu mezi jednotlivými pracovními prostory
Automatizaci můžete použít ke správě více pracovních prostorů Sentinel společnosti Microsoft a ke konfiguraci loveckých dotazů, playbooky a sešitů. Další informace najdete v tématu Správa mezi jednotlivými pracovními prostory pomocí automatizace.
monitorování zabezpečení Office 365ch prostředí
pomocí služby Azure Lighthouse ve spojení s nástrojem Microsoft Sentinel můžete monitorovat zabezpečení Office 365ch prostředí napříč klienty. nejdřív je nutné, aby byla ve spravovaném tenantovi povolená Office 365 datových konektorů , takže informace o aktivitách uživatelů a správců v Exchange a SharePoint (včetně OneDrive) se dají ingestovat do pracovního prostoru Microsoft Sentinel v rámci spravovaného tenanta. Zahrnuje to i podrobnosti o akcích, jako jsou soubory ke stažení, odeslané požadavky na přístup, změny v událostech skupiny a operace poštovních schránek, a informace o uživatelích, kteří akce provedli. výstrahy ochrany před únikem informací Office 365 jsou také podporovány v rámci integrovaného konektoru Office 365.
Microsoft Defender pro cloudové aplikace Connector , který umožňuje streamovat výstrahy a Cloud Discovery protokoly do Microsoft Sentinel. Díky tomu budete mít přehled o cloudových aplikacích, které vám umožní identifikovat a bojovat proti týká kybernetických hrozeb a pořizovat si kontrolu nad tím, jak se data cestují. Protokoly aktivit pro Defender pro cloudové aplikace je možné využívat pomocí formátu CEF (Common Event Format).
po nastavení Office 365 datových konektorů můžete použít možnosti víceklientské architektury pro více tenantů, jako je zobrazení a analýza dat v sešitech, používání dotazů k vytváření vlastních výstrah a konfigurace playbooky pro reakci na hrozby.
Ochrana duševního vlastnictví
Při práci se zákazníky možná budete chtít chránit duševní vlastnictví, které jste vyvinuli v rámci Microsoft Sentinel, jako jsou pravidla Microsoft Sentinel Analytics, lovecké dotazy, playbooky a sešity. Existují různé metody, které můžete použít k zajištění, aby zákazníci nemuseli mít úplný přístup k kódu použitému v těchto prostředcích.
Další informace najdete v tématu ochrana duševního vlastnictví mssp v Microsoft Sentinel.
Další kroky
- Seznamte se s Microsoft Sentinel.
- Podívejte se na stránku s cenami Microsoft Sentinel.
- Prozkoumejte
Sentinel All-in-Oneprojekt, který urychluje úlohy nasazení a počáteční konfigurace prostředí Sentinel společnosti Microsoft. - Přečtěte si o prostředích pro správu mezi klienty.