Rozšíření služby Microsoft Sentinel mezi pracovní prostory a tenanty

  • Článek

Při onboardingu služby Microsoft Sentinel je vaším prvním krokem výběr pracovního prostoru služby Log Analytics. I když můžete získat plnou výhodu prostředí Microsoft Sentinelu s jedním pracovním prostorem, v některých případech můžete chtít rozšířit pracovní prostor tak, aby se dotazovat a analyzovat data napříč pracovními prostory a tenanty. Přečtěte si další informace o tom, jak může Microsoft Sentinel rozšířit více pracovních prostorů.

Správa incidentů v několika pracovních prostorech

Microsoft Sentinel podporuje více zobrazení incidentů pracovního prostoru, ve kterém můžete centrálně spravovat a monitorovat incidenty napříč několika pracovními prostory. Centralizované zobrazení incidentů umožňuje spravovat incidenty přímo nebo transparentně procházet podrobnosti incidentu v kontextu původního pracovního prostoru.

Dotazování na více pracovních prostorů

V jednom dotazu můžete dotazovat více pracovních prostorů, které umožňují prohledávat a korelovat data z více pracovních prostorů.

  • Pomocí výrazu workspace( )s identifikátorem pracovního prostoru jako argumentem můžete odkazovat na tabulku v jiném pracovním prostoru.

  • Pomocí sjednocovacího operátoru workspace( ) spolu s výrazem použijte dotaz napříč tabulkami ve více pracovních prostorech.

  • Uložené funkce můžete použít ke zjednodušení dotazů mezi pracovními prostory. Můžete například zkrátit dlouhý odkaz na tabulku SecurityEvent v pracovním prostoru Zákazníka A uložením výrazu.

    workspace("/subscriptions/<customerA_subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName>").SecurityEvent

    jako funkce s názvem SecurityEventCustomerA. Potom můžete dotazovat tabulku SecurityEvent zákazníka A pomocí této funkce: SecurityEventCustomerA | where ... .

  • Funkce může také zjednodušit běžně používané sjednocení. Můžete například uložit následující výraz jako funkci s názvem unionSecurityEvent:

    union 
workspace("/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName1>").SecurityEvent, 
workspace("/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName2>").SecurityEvent

    Potom můžete napsat dotaz mezi oběma pracovními prostory tím, že začnete unionSecurityEvent | where ... .

Zahrnutí dotazů mezi pracovními prostory do pravidel naplánované analýzy

Dotazy mezi pracovními prostory můžete zahrnout do pravidel naplánované analýzy. Analytická pravidla mezi pracovními prostory můžete použít v centrálním SOC a napříč tenanty (pomocí Azure Lighthouse), která jsou vhodná pro MSSP. Toto použití podléhá následujícím omezením:

  • Do jednoho dotazu můžete zahrnout až 20 pracovních prostorů . Pro dobrý výkon však doporučujeme přidat maximálně 5.
  • Microsoft Sentinel musíte nasadit do každého pracovního prostoru , na který odkazuje dotaz.
  • Výstrahy vygenerované pravidlem analýzy mezi pracovními prostory a incidenty vytvořené z nich existují pouze v pracovním prostoru, ve kterém bylo pravidlo definováno. Upozornění se nezobrazí v žádném z dalších pracovních prostorů odkazovaných v dotazu.
  • Pravidlo analýzy mezi pracovními prostory, podobně jako jakékoli analytické pravidlo, bude dál spuštěno i v případě, že uživatel, který pravidlo vytvořil, ztratí přístup k pracovním prostorům, na které odkazuje dotaz pravidla. Jedinou výjimkou je v případě pracovních prostorů v různých předplatných a/nebo tenantech , než je analytické pravidlo.

Výstrahy a incidenty vytvořené pravidly analýzy mezi pracovními prostory obsahují všechny související entity, včetně těch ze všech odkazovaných pracovních prostorů a pracovního prostoru "home" (kde bylo pravidlo definováno). Díky tomu analytici získají úplný přehled výstrah a incidentů.

Poznámka:

Dotazování na více pracovních prostorů ve stejném dotazu může mít vliv na výkon, a proto se doporučuje pouze v případě, že logika tuto funkci vyžaduje.

Použití sešitů mezi pracovními prostory

Sešity poskytují řídicí panely a aplikace pro Microsoft Sentinel. Při práci s více pracovními prostory poskytují sešity monitorování a akce napříč pracovními prostory.

Sešity můžou poskytovat dotazy mezi pracovními prostory v jedné ze tří metod, které jsou vhodné pro různé úrovně odborných znalostí koncových uživatelů:

Metoda Popis Kdy mám použít?
Psaní dotazů mezi pracovními prostory Tvůrce sešitu může v sešitu psát dotazy mezi pracovními prostory (popsané výše). Chci, aby tvůrce sešitu vytvořil strukturu pracovního prostoru, která je pro uživatele transparentní.
Přidání selektoru pracovního prostoru do sešitu Tvůrce sešitu může jako součást sešitu implementovat selektor pracovního prostoru. Chci uživateli povolit řízení pracovních prostorů zobrazených sešitem pomocí snadno použitelného rozevíracího seznamu.
Interaktivní úprava sešitu Pokročilý uživatel, který upravuje existující sešit, může upravit dotazy v něm a vybrat cílové pracovní prostory pomocí selektoru pracovního prostoru v editoru. Chci povolit poweru uživateli, aby snadno upravil existující sešity tak, aby fungovaly s více pracovními prostory.

Proaktivní vyhledávání napříč několika pracovními prostory

Microsoft Sentinel poskytuje předem načtené ukázky dotazů navržené tak, abyste se seznámili s tabulkami a dotazovacím jazykem. Pracovníci microsoftu pro zabezpečení neustále přidávají nové integrované dotazy a dolaďují stávající dotazy. Tyto dotazy můžete použít k vyhledání nových detekcí a identifikaci známek neoprávněných vniknutí, které by mohly zmeškat vaše bezpečnostní nástroje.

Funkce proaktivního vyhledávání mezi pracovními prostory umožňují lovcům hrozeb vytvářet nové dotazy proaktivního vyhledávání nebo přizpůsobovat stávající, aby pokrývala více pracovních prostorů pomocí operátoru sjednocení a výrazu workspace(), jak je znázorněno výše.

Správa více pracovních prostorů pomocí automatizace

Pokud chcete nakonfigurovat a spravovat více pracovních prostorů Microsoft Sentinelu, musíte automatizovat použití rozhraní API pro správu Služby Microsoft Sentinel.

  • Zjistěte, jak automatizovat nasazení prostředků Microsoft Sentinelu, včetně pravidel upozornění, dotazů proaktivního vyhledávání, sešitů a playbooků.
  • Zjistěte, jak nasadit vlastní obsah z úložiště. Tento prostředek poskytuje konsolidovanou metodologii pro správu Microsoft Sentinelu jako kódu a pro nasazení a konfiguraci prostředků z privátního úložiště Azure DevOps nebo GitHubu.

Správa pracovních prostorů napříč tenanty pomocí Služby Azure Lighthouse

Jak je uvedeno výše, v mnoha scénářích se různé pracovní prostory Microsoft Sentinelu dají nacházet v různých tenantech Microsoft Entra. Azure Lighthouse můžete použít k rozšíření všech aktivit mezi pracovními prostory napříč hranicemi tenanta, což uživatelům ve správě tenanta umožňuje pracovat na pracovních prostorech Služby Microsoft Sentinel napříč všemi tenanty.

Jakmile je Služba Azure Lighthouse nasazená, pomocí selektoru adresáře a předplatného na webu Azure Portal vyberte všechna předplatná obsahující pracovní prostory, které chcete spravovat, a ujistěte se, že budou všechny dostupné v různých selektorech pracovních prostorů na portálu.

Při použití služby Azure Lighthouse se doporučuje vytvořit skupinu pro každou roli Microsoft Sentinelu a delegovat oprávnění z každého tenanta do těchto skupin.

Další kroky

V tomto článku jste se dozvěděli, jak je možné rozšířit možnosti Microsoft Sentinelu napříč několika pracovními prostory a tenanty. Praktické pokyny k implementaci architektury microsoft Sentinelu pro různé pracovní prostory najdete v následujících článcích: