Rozšíření služby Microsoft Sentinel mezi pracovní prostory a tenanty

Poznámka

Azure Sentinel se teď nazývá Microsoft Sentinel a v nadcházejících týdnech budeme tyto stránky aktualizovat. Přečtěte si další informace o nedávných vylepšeních zabezpečení Microsoftu.

Potřeba používat více pracovních prostorů Microsoft Sentinelu

Při onboardingu služby Microsoft Sentinel je vaším prvním krokem výběr pracovního prostoru služby Log Analytics. I když můžete získat plnou výhodu prostředí Microsoft Sentinelu s jedním pracovním prostorem, v některých případech můžete chtít rozšířit pracovní prostor tak, aby dotazovat a analyzovat data napříč pracovními prostory a tenanty.

Tato tabulka uvádí některé z těchto scénářů a pokud je to možné, navrhuje, jak pro tento scénář použít jeden pracovní prostor.

Požadavek Popis Způsoby snížení počtu pracovních prostorů
Suverenita a dodržování právních předpisů Pracovní prostor je vázaný na konkrétní oblast. Pokud chcete data uchovávat v různých geografických oblastech Azure tak, aby vyhovovala zákonným požadavkům, rozdělte je do samostatných pracovních prostorů.
Vlastnictví dat Hranice vlastnictví dat, například pobočkami nebo přidruženými společnostmi, jsou lépe vymezeny pomocí samostatných pracovních prostorů.
Více tenantů Azure Microsoft Sentinel podporuje shromažďování dat z prostředků Microsoft a Azure SaaS pouze v rámci vlastní hranice tenanta Azure Active Directory (Azure AD). Každý tenant služby Azure AD proto vyžaduje samostatný pracovní prostor.
Odstupňované řízení přístupu k datům Organizace může potřebovat povolit různým skupinám v rámci organizace nebo mimo ni přístup k některým datům shromážděným službou Microsoft Sentinel. Příklad:
  • Přístup vlastníků prostředků k datům souvisejícím s jejich prostředky
  • Přístup regionálních nebo dceřiných soc k datům relevantním pro jejich části organizace
Použití Azure RBAC na úrovni prostředku nebo Azure RBAC na úrovni tabulky
Podrobné nastavení uchovávání informací V minulosti bylo více pracovních prostorů jediným způsobem, jak nastavit různá období uchovávání pro různé datové typy. V mnoha případech už to není potřeba, a to díky zavedení nastavení uchovávání na úrovni tabulky. Použití nastavení uchovávání informací na úrovni tabulky nebo automatizace [odstranění dat](Správa osobních údajů v Log Analytics a Application Insights
Rozdělená fakturace Když umístíte pracovní prostory do samostatných předplatných, můžou se účtovat různým stranám. Použijte vykazování a přeúčtování.
Zastaralá architektura Použití více pracovních prostorů může vycházet z historického návrhu, který zvažoval omezení nebo osvědčené postupy, které už nejsou pravdivé. Může se jednat také o libovolnou volbu návrhu, kterou je možné upravit tak, aby lépe vyhovovala službě Microsoft Sentinel.

Příklady:
  • Použití výchozího pracovního prostoru pro jednotlivá předplatná při nasazování Microsoft Defenderu pro cloud
  • Potřeba podrobného řízení přístupu nebo nastavení uchovávání informací, řešení, pro která jsou relativně nová
Změňte architekturu pracovních prostorů.

Poskytovatel spravované služby zabezpečení (MSSP)

V případě mssp platí pro mnoho z výše uvedených požadavků, což je osvědčeným postupem pro více pracovních prostorů napříč tenanty. MsSP může použít Azure Lighthouse k rozšíření funkcí Microsoft Sentinelu napříč pracovními prostory napříč tenanty.

Architektura více pracovních prostorů Microsoft Sentinelu

Jak vyplývá z výše uvedených požadavků, existují případy, kdy jeden SOC musí centrálně spravovat a monitorovat více pracovních prostorů Microsoft Sentinelu, potenciálně napříč tenanty Azure Active Directory (Azure AD).

  • Služba MSSP Microsoft Sentinel.

  • Globální SOC obsluhující více poboček, z nichž každý má vlastní místní SOC.

  • SoC monitoruje více Azure AD tenantů v organizaci.

K řešení těchto případů nabízí Microsoft Sentinel více možností pracovních prostorů, které umožňují centrální monitorování, konfiguraci a správu a poskytují jediné podokno skla ve všech oblastech, na které se vztahuje SOC. Tento diagram znázorňuje ukázkovou architekturu pro takové případy použití.

Diagram znázorňující rozšíření pracovního prostoru mezi více tenanty: architektura

Tento model nabízí významné výhody oproti plně centralizovaného modelu, ve kterém se všechna data kopírují do jednoho pracovního prostoru:

  • Flexibilní přiřazení role k globálnímu a místnímu soC nebo k mssp, které má zákazníky.

  • Méně problémů týkajících se vlastnictví dat, ochrany osobních údajů a dodržování právních předpisů

  • Minimální latence sítě a poplatky

  • Snadné onboarding a odpojování nových poboček nebo zákazníků.

V následujících částech vysvětlíme, jak tento model provozovat, a zejména jak:

  • Centrálně monitorujte více pracovních prostorů, potenciálně napříč tenanty a poskytuje SOC jediné podokno skla.

  • Centrálně nakonfigurujte a spravujte více pracovních prostorů, potenciálně napříč tenanty pomocí automatizace.

Monitorování napříč pracovními prostory

Správa incidentů v několika pracovních prostorech

Microsoft Sentinel podporuje zobrazení incidentů s více pracovními prostory , kde můžete centrálně spravovat a monitorovat incidenty napříč několika pracovními prostory. Centralizované zobrazení incidentů umožňuje spravovat incidenty přímo nebo transparentně procházet podrobnosti incidentu v kontextu původního pracovního prostoru.

Dotazování mezi pracovními prostory

Můžete dotazovat více pracovních prostorů, což umožňuje vyhledávat a korelovat data z více pracovních prostorů v jednom dotazu.

Uložené funkce můžete použít ke zjednodušení dotazů napříč pracovními prostory. Pokud je například odkaz na pracovní prostor dlouhý, můžete výraz uložit workspace("customer-A's-hard-to-remember-workspace-name").SecurityEvent jako funkci s názvem SecurityEventCustomerA. Pak můžete psát dotazy jako SecurityEventCustomerA | where ... .

Funkce může také zjednodušit běžně používané sjednocení. Můžete například uložit následující výraz jako funkci s názvem unionSecurityEvent:

union workspace(“hard-to-remember-workspace-name-1”).SecurityEvent, workspace(“hard-to-remember-workspace-name-2”).SecurityEvent

Potom můžete napsat dotaz mezi oběma pracovními prostory tak, že začnete unionSecurityEvent | where ... .

Pravidla analýzy napříč pracovními prostory

Dotazy mezi pracovními prostory teď můžete zahrnout do plánovaných analytických pravidel. Analytická pravidla mezi pracovními prostory můžete použít v centrálním SOC a napříč tenanty (pomocí Azure Lighthouse), která jsou vhodná pro MSSPs. Všimněte si těchto omezení:

  • Do jednoho dotazu můžete zahrnout až 20 pracovních prostorů .
  • Microsoft Sentinel musíte nasadit do každého pracovního prostoru , na který odkazuje dotaz.
  • Výstrahy vygenerované pravidlem analýzy napříč pracovními prostory a incidenty vytvořené z nich existují pouze v pracovním prostoru, ve kterém bylo pravidlo definováno. Upozornění se nezobrazí v žádném z dalších pracovních prostorů odkazovaných v dotazu.

Výstrahy a incidenty vytvořené pravidly analýzy napříč pracovními prostory obsahují všechny související entity, včetně těch z všech odkazovaných pracovních prostorů a pracovního prostoru "domů" (kde bylo pravidlo definováno). Analytici tak získají úplný přehled výstrah a incidentů.

Poznámka

Dotazování na více pracovních prostorů ve stejném dotazu může mít vliv na výkon, a proto se doporučuje pouze v případě, že logika tuto funkci vyžaduje.

Sešity napříč pracovními prostory

Sešity poskytují řídicí panely a aplikace pro Microsoft Sentinel. Při práci s více pracovními prostory sešity poskytují monitorování a akce napříč pracovními prostory.

Sešity můžou poskytovat dotazy napříč pracovními prostory v jedné ze tří metod, které jsou vhodné pro různé úrovně odborných znalostí koncových uživatelů:

Metoda Popis Kdy mám použít?
Psaní dotazů mezi pracovními prostory Tvůrce sešitu může v sešitu psát dotazy mezi pracovními prostory (popsané výše). Chci, aby tvůrce sešitu vytvořil strukturu pracovního prostoru, která je pro uživatele transparentní.
Přidání selektoru pracovního prostoru do sešitu Tvůrce sešitu může implementovat selektor pracovního prostoru jako součást sešitu. Chci uživateli povolit řízení pracovních prostorů zobrazených sešitem s jednoduchým rozevíracím seznamem.
Interaktivní úprava sešitu Pokročilý uživatel, který upravuje existující sešit, může upravit dotazy v něm a vybrat cílové pracovní prostory pomocí selektoru pracovního prostoru v editoru. Chci povolit poweru uživateli snadno upravit stávající sešity tak, aby fungovaly s více pracovními prostory.

Proaktivní vyhledávání napříč pracovními prostory

Microsoft Sentinel poskytuje předem načtené ukázky dotazů navržené tak, abyste se seznámili s tabulkami a dotazovacím jazykem. Pracovníci v oblasti zabezpečení Microsoftu neustále přidávají nové integrované dotazy a dolaďují stávající dotazy. Tyto dotazy můžete použít k vyhledání nových detekcí a identifikaci známek vniknutí, které vaše nástroje zabezpečení mohly zmeškat.

Možnosti proaktivního vyhledávání napříč pracovními prostory umožňují lovcům hrozeb vytvářet nové dotazy proaktivního vyhledávání nebo přizpůsobovat stávající pracovní prostory tak, aby zahrnovaly více pracovních prostorů pomocí operátoru sjednocení a výrazu workspace(), jak je znázorněno výše.

Správa napříč pracovními prostory pomocí automatizace

Pokud chcete nakonfigurovat a spravovat více pracovních prostorů Služby Microsoft Sentinel, musíte automatizovat použití rozhraní API pro správu služby Microsoft Sentinel.

Správa pracovních prostorů napříč tenanty pomocí Azure Lighthouse

Jak je uvedeno výše, v mnoha scénářích se různé pracovní prostory Služby Microsoft Sentinel dají nacházet v různých Azure AD tenantech. Azure Lighthouse můžete použít k rozšíření všech aktivit napříč pracovními prostory napříč hranicemi tenanta, což uživatelům ve správě tenanta umožňuje pracovat na pracovních prostorech Služby Microsoft Sentinel napříč všemi tenanty.

Jakmile se Azure Lighthouse připojí, pomocí selektoru adresáře a předplatného na Azure Portal vyberte všechna předplatná obsahující pracovní prostory, které chcete spravovat, a ujistěte se, že budou všechny dostupné v různých selektorech pracovních prostorů na portálu.

Při používání Služby Azure Lighthouse se doporučuje vytvořit skupinu pro každou roli Microsoft Sentinel a delegovat oprávnění z každého tenanta do těchto skupin.

Další kroky

V tomto článku jste se dozvěděli, jak je možné možnosti služby Microsoft Sentinel rozšířit napříč několika pracovními prostory a tenanty. Praktické pokyny k implementaci architektury mezi pracovními prostory služby Microsoft Sentinel najdete v následujících článcích: