Schritt 2. Architektur Ihres Microsoft Sentinel-Arbeitsbereichs
Die Bereitstellung der Microsoft Sentinel-Umgebung umfasst das Entwerfen einer Arbeitsbereichskonfiguration, die Ihren Sicherheits- und Complianceanforderungen entspricht. Der Bereitstellungsprozess umfasst die Erstellung von Log Analytics-Arbeitsbereichen und die Konfiguration der entsprechenden Microsoft Sentinel-Optionen.
Dieser Artikel enthält Empfehlungen, wie Sie Microsoft Sentinel-Arbeitsbereiche nach den Prinzipien von Zero Trust gestalten und implementieren können.
Hinweis
Wenn Sie sich noch nicht mit Microsoft Sentinel-Arbeitsbereichen auskennen, lesen Sie die Designstrategien und -kriterien unter Entwerfen einer Log Analytics-Arbeitsbereichsarchitektur.
Schritt 1: Entwerfen Sie eine Governance-Strategie
Wenn Ihre Organisation über viele Azure-Abonnements verfügt, benötigen Sie möglicherweise eine Möglichkeit zur effizienten Verwaltung von Zugriff, Richtlinien und Konformität für diese Abonnements. Verwaltungsgruppen bieten einen Governance-Bereich für Abonnements. Wenn Sie Ihre Abonnements in Verwaltungsgruppen organisieren, gelten die Governance-Bedingungen, die Sie für eine Verwaltungsgruppe konfigurieren, auch für die darin enthaltenen Abonnements. Für weitere Informationen, siehe Organisation Ihrer Ressourcen mit Verwaltungsgruppen.
Der Microsoft Sentinel-Arbeitsbereich im folgenden Diagramm befindet sich beispielsweise im Abonnement Sicherheit unter der Verwaltungsgruppe Plattform, die Teil des Microsoft Entra-Tenants ist.
Das Security Azure-Abonnement und der Microsoft Sentinel-Arbeitsbereich erben die rollenbasierte Zugriffskontrolle (RBAC) und die Azure-Richtlinien, die auf die Plattformverwaltungsgruppe angewendet werden.
Schritt 2: Log Analytics Arbeitsbereiche erstellen
Um Microsoft Sentinel zu verwenden, müssen Sie zunächst Ihre Log Analytics-Arbeitsbereiche erstellen. Ein einziger Log Analytics-Arbeitsbereich mag für viele Umgebungen ausreichen, aber viele Unternehmen richten mehrere Arbeitsbereiche ein, um die Kosten zu optimieren und unterschiedliche Geschäftsanforderungen besser zu erfüllen.
Es empfiehlt sich, für Microsoft Sentinel getrennte Arbeitsbereiche für die Betriebs- und Sicherheitsdaten einzurichten, um das Dateneigentum und die Kosten zu verwalten. Wenn beispielsweise mehr als eine Person operative und sicherheitsrelevante Rollen verwaltet, ist Ihre erste Entscheidung für Zero Trust, ob Sie getrennte Arbeitsbereiche für diese Rollen erstellen.
Für weitere Informationen, siehe Gestaltungskriterien für Log Analytics Arbeitsbereiche.
Ein Beispiel für getrennte Arbeitsbereiche für Betriebs- und Sicherheitsrollen finden Sie unter Contosos Lösung.
Überlegungen zur Gestaltung des Log Analytics-Arbeitsbereichs
Für einen einzelnen Mandanten gibt es zwei Möglichkeiten, Microsoft Sentinel-Arbeitsbereiche zu konfigurieren:
Einzelner Tenant mit einem einzigen Log Analytics-Arbeitsbereich. In diesem Fall wird der Arbeitsbereich zum zentralen Aufbewahrungsort für Protokolle über alle Ressourcen innerhalb des Mandanten.
Vorteile:
- Zentrale Konsolidierung von Protokollen.
- Einfachere Abfrage von Informationen.
- Log Analytics RBAC zur Zugriffskontrolle. Für weitere Informationen, siehe Verwaltung des Zugriffs auf Log Analytics Arbeitsbereiche – Azure Monitor.
- Microsoft Sentinel RBAC für Dienst RBAC. Für weitere Informationen, siehe Rollen und Berechtigungen in Microsoft Sentinel.
Nachteile:
- Erfüllt möglicherweise nicht die Governance-Anforderungen.
- Es fallen Kosten für die Bandwidth zwischen den Regionen an.
Einzelner Tenant mit regionalen Log Analytics Arbeitsbereichen.
Vorteile:
- Keine regionsübergreifenden Bandwidth-Kosten.
- Kann erforderlich sein, um die Governance zu erfüllen.
- Granulare Datenzugriffskontrolle.
- Granulare Einstellungen für die Speicherung.
- Geteilte Rechnungsstellung.
Nachteile:
- Keine zentrale Oberfläche
- Analysen, Arbeitsmappen und andere Konfigurationen müssen mehrfach bereitgestellt werden.
Um Ihre Log Analytics Arbeitsbereiche zu erstellen, siehe Arbeitsbereiche für Log Analytics erstellen.
Schritt 3: Architektur des Sentinel-Arbeitsbereichs
Für das Onboarding von Microsoft Sentinel müssen Sie einen Log Analytics-Arbeitsbereich auswählen. Im Folgenden finden Sie Überlegungen zur Einrichtung von Log Analytics für Microsoft Sentinel:
- Erstellen Sie eine Ressourcengruppe „Sicherheit“ für Governance-Zwecke, die eine Isolierung der Microsoft Sentinel-Ressourcen und einen rollenbasierten Zugriff auf die Sammlung ermöglicht. Für weitere Informationen, siehe Entwerfen Sie eine Log Analytics Arbeitsbereich-Architektur.
- Erstellen Sie einen Log Analytics-Arbeitsbereich in der Ressourcengruppe „Sicherheit“ und binden Sie Microsoft Sentinel in diesen ein. Damit haben Sie automatisch 31 Tage lang die Möglichkeit, bis zu 10 GB pro Tag im Rahmen einer kostenlosen Testphase zu nutzen.
- Stellen Sie Ihren Log Analytics Workspace, der Microsoft Sentinel unterstützt, auf eine Aufbewahrungsfrist von mindestens 90 Tagen ein.
Sobald Sie Microsoft Sentinel in einen Log Analytics-Arbeitsbereich einbinden, erhalten Sie eine 90-tägige Datenspeicherung ohne zusätzliche Kosten. Nach 90 Tagen entstehen Ihnen Kosten für die Gesamtmenge der Daten im Arbeitsbereich. Wenn Sie den Wert auf 90 Tage setzen, werden die Protokolldaten für 90 Tage gespeichert. Sie können in Erwägung ziehen, die Protokolldaten aufgrund von behördlichen Auflagen länger aufzubewahren. Siehe Schnellstart: Onboard in Microsoft Sentinel für weitere Informationen.
Zero Trust mit Microsoft Sentinel
Um eine Zero-Trust-Architektur zu implementieren, sollten Sie den Arbeitsbereich erweitern, um Ihre Daten über Arbeitsbereiche und Mandanten hinweg abzufragen und zu analysieren. Verwenden Sie Muster für Microsoft Sentinel-Arbeitsplatzdesigns und Erweitern von Microsoft Sentinel über Arbeitsbereiche und Tenants hinweg, um das beste Arbeitsplatzdesign für Ihr Unternehmen zu ermitteln.
Verwenden Sie außerdem die Richtlinie für Cloud Roles and Operations Management und die dazugehörige Excel-Tabelle (Download). Nach diesem Leitfaden sind die Zero Trust-Aufgaben, die Sie für Microsoft Sentinel in Betracht ziehen sollten, folgende:
- Definition von Microsoft Sentinel RBAC-Rollen mit zugehörigen Microsoft Entra-Gruppen.
- Überprüfung, ob die implementierten Zugriffspraktiken auf Microsoft Sentinel noch den Anforderungen Ihres Unternehmens entsprechen.
- Erwägen Sie die Verwendung von kundenverwalteten Schlüsseln.
Zero Trust mit RBAC
Um Zero Trust einzuhalten, empfehlen wir Ihnen, RBAC auf der Grundlage der Ressourcen zu konfigurieren, die Ihren Benutzern erlaubt werden, anstatt ihnen den Zugriff auf die gesamte Microsoft Sentinel-Umgebung zu ermöglichen. In der folgenden Tabelle sind einige der Microsoft Sentinel-spezifischen Rollen aufgeführt.
| Rollenname | Beschreibung |
|---|---|
| Microsoft Sentinel Reader | Anzeigen von Daten, Incidents, Arbeitsmappen und anderen Microsoft Sentinel-Ressourcen |
| Microsoft Sentinel-Antwortberechtigter | Zusätzlich zu den Funktionen der Microsoft Sentinel Reader-Rolle können Sie Vorfälle verwalten (zuweisen, abweisen usw.). Diese Rolle ist auf Benutzer-Typen von Sicherheitsanalysten anwendbar. |
| Microsoft Sentinel-Playbookoperator | Playbooks auflisten, anzeigen und manuell ausführen. Diese Rolle ist auch auf Benutzer-Typen von Sicherheitsanalysten anwendbar. Mit dieser Rolle können Sie einem Microsoft Sentinel-Beantworter die Möglichkeit geben, Microsoft Sentinel Playbooks mit den geringsten Berechtigungen auszuführen. |
| Microsoft Sentinel-Mitwirkender | Zusätzlich zu den Funktionen der Rolle Microsoft Sentinel Playbook Operator können Sie Arbeitsmappen, Analyseregeln und andere Microsoft Sentinel-Ressourcen erstellen und bearbeiten. Diese Rolle ist auf Benutzer-Typen von Sicherheitsingenieuren anwendbar. |
| Microsoft Sentinel Automation-Mitarbeiter | Ermöglicht es Microsoft Sentinel, Playbooks zu Automatisierungsregeln hinzuzufügen. Es ist nicht für Benutzerkonten gedacht. |
Bei der Zuweisung von Microsoft Sentinel-spezifischen Azure-Rollen können Sie auf andere Azure- und Log Analytics-Rollen stoßen, die Benutzern für andere Zwecke zugewiesen worden sein können. Zum Beispiel gewähren die Rollen Log Analytics Contributor und Log Analytics Reader Zugriff auf einen Log Analytics-Arbeitsbereich. Um RBAC für einen Microsoft Sentinel-Arbeitsbereich zu implementieren, siehe Rollen und Berechtigungen in Microsoft Sentinel und Verwalten des Zugriffs auf Microsoft Sentinel-Daten nach Ressourcen.
Null Vertrauen in einer mandantenfähigen Architektur mit Azure Lighthouse
Azure Lighthouse ermöglicht die Verwaltung mehrerer Mandanten mit hoher Skalierbarkeit, stärkerer Automatisierung und verbesserter Governance für alle Ressourcen. Mit Azure Lighthouse können Sie mehrere Microsoft Sentinel-Instanzen über Microsoft Entra-Tenants hinweg in großem Umfang verwalten. Hier ist ein Beispiel.
Mit Azure Lighthouse können Sie Abfragen über mehrere Arbeitsbereiche hinweg ausführen oder Arbeitsmappen erstellen, um Daten aus Ihren verbundenen Datenquellen zu visualisieren und zu überwachen und zusätzliche Erkenntnisse zu gewinnen. Es ist wichtig, die Prinzipien von Zero Trust zu berücksichtigen. Siehe Empfohlene Sicherheitspraktiken zur Implementierung von Zugriffskontrollen mit geringsten Berechtigungen für Azure Lighthouse.
Beachten Sie die folgenden Fragen, wenn Sie bewährte Sicherheitsverfahren für Azure Lighthouse implementieren:
- Wer ist für den Besitz der Daten verantwortlich?
- Wie lauten die Anforderungen an die Datenisolierung und die Einhaltung von Vorschriften?
- Wie Sie die geringsten Berechtigungen für mehrere Mandanten einrichten.
- Wie werden mehrere Data Connectors in mehreren Microsoft Sentinel-Arbeitsbereichen verwaltet?
- Wie überwacht man Office 365-Umgebungen?
- Wie kann man geistiges Eigentum – zum Beispiel Playbooks, Notebooks, Analyseregeln – mieterübergreifend schützen?
Siehe Verwaltung von Microsoft Sentinel-Workspaces im großen Maßstab: Granulare Azure RBAC für die besten Sicherheitsverfahren von Microsoft Sentinel und Azure Lighthouse.
Empfohlene Schulung
Im Folgenden finden Sie die empfohlenen Schulungsmodule für diesen Schritt.
Einführung in Microsoft Sentinel
| Training | Einführung in Microsoft Sentinel |
|---|---|
|
Erfahren Sie, wie Sie mit Microsoft Sentinel in kürzester Zeit wertvolle Sicherheitsinformationen aus Ihren Cloud- und lokalen Daten gewinnen können. |
Konfigurieren Ihrer Microsoft Sentinel-Umgebung
| Training | Konfigurieren Ihrer Microsoft Sentinel-Umgebung |
|---|---|
|
Erste Schritte mit Microsoft Sentinel durch ordnungsgemäßes Konfigurieren des Microsoft Sentinel-Arbeitsbereichs. |
Erstellen und Verwalten von Microsoft Sentinel-Arbeitsbereichen
| Training | Erstellen und Verwalten von Microsoft Sentinel-Arbeitsbereichen |
|---|---|
|
Im Folgenden finden Sie Informationen darüber, wie Sie mit der Architektur von Microsoft Sentinel-Arbeitsbereichen Ihr System so konfigurieren, dass die Anforderungen an die Sicherheitsanforderungen Ihrer Organisation erfüllt werden. |
Nächster Schritt
Fahren Sie mit Schritt 3 fort, um Microsoft Sentinel für die Aufnahme von Datenquellen und die Erkennung von Vorfällen zu konfigurieren.
References
Unter diesen Links erfahren Sie mehr über die in diesem Artikel erwähnten Dienste und Technologien.
Microsoft Sentinel:
- Schnellstart: Durchführen des Onboardings in Microsoft Sentinel
- Verwalten des Zugriffs auf Microsoft Sentinel-Daten nach Ressource
Microsoft Sentinel Governance:
- Organisieren Sie Ihre Ressourcen mit Verwaltungsgruppen
- Rollen und Berechtigungen in Microsoft Sentinel
Log Analytics-Arbeitsbereiche:
- Entwerfen einer Log Analytics-Arbeitsbereichsarchitektur
- Gestaltungskriterien für Log Analytics Arbeitsbereiche
- Die Lösung von Contoso
- Verwaltung des Zugriffs auf Log Analytics Arbeitsbereiche – Azure Monitor
- Entwerfen einer Log Analytics-Arbeitsbereichsarchitektur
- Erstellen von Log Analytics-Arbeitsbereichen
Microsoft Sentinel Arbeitsbereiche und Azure Lighthouse:
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für