Gérer des espaces de travail Microsoft Azure Sentinel à grande échelle

Azure Lighthouse permet aux fournisseurs de services d’effectuer des opérations à grande échelle sur plusieurs locataires Microsoft Entra à la fois, améliorant ainsi l’efficacité des tâches de gestion.

Microsoft Azure Sentinel assure une analyse de sécurité intelligente et fournit des informations sur les menaces. Elle constitue une solution unique pour la détection des alertes, la visibilité des menaces, la chasse proactive et la réponse face aux menaces. Avec Azure Lighthouse, vous pouvez gérer plusieurs espaces de travail Microsoft Azure Sentinel entre les locataires à grande échelle. Cela permet des scénarios tels que l’exécution de requêtes sur plusieurs espaces de travail ou la création de classeurs pour visualiser et surveiller les données de vos sources de données connectées afin de mieux les exploiter. Les protocoles Internet tels que les requêtes et les guides opérationnels restent dans votre locataire de gestion, mais ils peuvent être utilisés pour effectuer la gestion de la sécurité dans les locataires clients.

Cette rubrique fournit une vue d’ensemble sur la façon dont Azure Lighthouse vous permet d’utiliser Microsoft Sentinel de manière évolutive pour la visibilité entre locataires et les services de sécurité gérés.

Conseil

Bien que nous faisons référence aux fournisseurs de services et aux clients dans cette rubrique, ces instructions s’appliquent également aux entreprises utilisant Azure Lighthouse pour gérer plusieurs locataires.

Notes

Vous pouvez gérer des ressources déléguées situées dans différentes régions. Vous pouvez toutefois déléguer des ressources sur un cloud national et le cloud public Azure, ou sur deux clouds nationaux distincts.

Considérations sur l’architecture

Pour un fournisseur MSSP (Managed Security Service Provider) souhaitant constituer une offre de sécurité en tant que service avec Microsoft Azure Sentinel, un centre d’opérations de sécurité (SOC) peut être nécessaire pour surveiller, gérer et configurer de manière centralisée plusieurs espaces de travail Microsoft Azure Sentinel déployés au sein de locataires clients individuels. De même, les entreprises avec plusieurs locataires Microsoft Entra peuvent gérer de manière centralisée plusieurs espaces de travail Microsoft Sentinel déployés dans leurs locataires.

Ce modèle de gestion centralisée présente les avantages suivants :

• La propriété des données est conservée par chaque locataire géré.
• Il prend en charge des exigences de stockage des données dans les limites géographiques.
• Il garantit l’isolation des données, car les données de plusieurs clients ne sont pas stockées dans le même espace de travail.
• Il empêche l’exfiltration des données des locataires managés, garantissant ainsi la conformité des données.
• Les coûts associés sont facturés à chaque locataire géré, plutôt qu’au locataire gérant.
• Les données de toutes les sources de données et de tous les connecteurs de données intégrés à Microsoft Sentinel (comme les journaux d’activité Microsoft Entra, les journaux Office 365 ou les alertes Microsoft de protection contre les menaces) sont conservées dans chaque locataire de client.
• Il réduit le temps de réponse du réseau.
• Il est facile d’ajouter ou de supprimer de nouvelles filiales ou clients.
• Possibilité d’utiliser un affichage de plusieurs espaces de travail lorsque vous travaillez via Azure Lighthouse.
• Pour protéger votre propriété intellectuelle, vous pouvez utiliser des playbooks et classeurs afin de travailler dans les locataires sans partager de code directement avec les clients. Seules les règles d’analyse et de chasse doivent être enregistrées directement dans le locataire de chaque client.

Important

Si des espaces de travail sont créés uniquement dans des locataires clients, les fournisseurs de ressources Microsoft.Security Recommandations &Microsoft.Operational Recommandations doivent également être inscrits sur un abonnement dans le locataire gérant.

Un autre modèle de déploiement consiste à créer un espace de travail Microsoft Azure Sentinel dans le locataire gestionnaire. Dans ce modèle, Abonné active la collecte de journaux à partir de sources de données dans les locataires gérés. Toutefois, il existe certaines sources de données qui ne peuvent pas être connectées entre les locataires, comme Microsoft Defender XDR. En raison de cette limitation, ce modèle n’est pas adapté à de nombreux scénarios de fournisseur de services.

Contrôle d’accès en fonction du rôle Azure (Azure RBAC) granulaire

Chaque abonnement client géré par un MSSP doit être intégré à Azure Lighthouse. Cela permet aux utilisateurs désignés du locataire gérant d’accéder aux opérations de gestion et de les effectuer sur des espaces de travail Microsoft Azure Sentinel déployés dans des locataires clients.

Lorsque vous créez vos autorisations, vous pouvez affecter les rôles intégrés Microsoft Azure Sentinel à des utilisateurs, groupes ou principaux du service dans votre locataire gérant :

• Lecteur Microsoft Azure Sentinel
• Répondeur Microsoft Azure Sentinel
• Contributeur Microsoft Azure Sentinel

Vous pouvez également affecter des rôles intégrés supplémentaires pour exécuter des fonctions additionnelles. Pour plus d’informations sur les rôles spécifiques qui peuvent être utilisés avec Microsoft Azure Sentinel, consultez les Rôles et autorisations dans Microsoft Azure Sentinel.

Une fois que vous avez intégré vos clients, les utilisateurs désignés peuvent se connecter à votre locataire gérant et accéder directement à l’espace de travail Microsoft Azure Sentinel du client avec les rôles qui ont été affectés.

Afficher et gérer les incidents des espaces de travail

Si vous travaillez avec des ressources Microsoft Azure Sentinel pour plusieurs clients, vous pouvez afficher et gérer les incidents dans plusieurs espaces de travail et différents locataires à la fois. Pour plus d’informations, consultez Travailler avec des incidents dans plusieurs espaces de travail à la fois et Étendre Microsoft Azure Sentinel sur les espaces de travail et les locataires.

Notes

Assurez-vous que les utilisateurs de votre locataire gérant disposent d’autorisations à la fois en lecture et en écriture sur tous les espaces de travail gérés. Si un utilisateur dispose uniquement d’autorisations de lecture sur certains espaces de travail, des messages d’avertissement peuvent apparaître lorsqu’il sélectionne des incidents dans ces espaces de travail et il ne peut pas modifier ces incidents, ni aucun autre sélectionné (même s’il dispose d’autorisations d’écriture pour les autres).

Configurer des playbooks d’atténuation

Les playbooks peuvent être utilisés pour atténuer automatiquement lorsqu’une alerte est déclenchée. Ces playbooks peuvent être exécutés manuellement ou s’exécuter automatiquement lorsque des alertes spécifiques sont déclenchées. Les playbooks peuvent être déployés dans le locataire gérant ou client, avec les procédures de réponse configurées en fonction des utilisateurs du locataire qui doivent agir pour répondre à une menace de sécurité.

Créer des classeurs inter-locataires

Les classeurs Azure Monitor de Microsoft Azure Sentinel vous aident à visualiser et à surveiller les données de vos sources de données connectées pour obtenir des insights. Vous pouvez utiliser les modèles de classeurs intégrés dans Microsoft Azure Sentinel ou créer des classeurs personnalisés pour vos scénarios.

Vous pouvez déployer des classeurs dans votre client gérant et créer des tableaux de bord à l’échelle pour surveiller et interroger les données des locataires clients. Pour plus d’informations, consultez Classeurs pour plusieurs espaces de travail.

Vous pouvez également déployer des classeurs directement dans un locataire individuel géré pour des scénarios qui lui sont spécifiques.

Exécuter des requêtes d’analytique des journaux d’activité et de chasse dans des espaces de travail Microsoft Azure Sentinel

Créez et enregistrez des requêtes d’analytique des journaux d’activité pour la détection des menaces de manière centralisée dans le locataire gérant, y compris des requêtes de chasse. Ces requêtes peuvent être exécutées sur l’ensemble des espaces de travail Microsoft Azure Sentinel de vos clients à l’aide de l’opérateur Union et de l’expression de langage d’espace de travail ().

Pour plus d’informations, consultez l’article Interroger plusieurs espaces de travail.

Utiliser l’automatisation pour la gestion inter-espaces de travail

Vous pouvez utiliser l’automatisation pour gérer plusieurs espaces de travail Microsoft Azure Sentinel et configurer des requêtes de chasse, des playbooks et des classeurs. Pour plus d’informations, consultez l’article Gestion inter-espaces de travail à l’aide de l’automatisation.

Analyser la sécurité des environnements Office 365

Utilisez Azure Lighthouse conjointement avec Microsoft Azure Sentinel pour analyser la sécurité des environnements Office 365 entre les locataires. Tout d’abord, activez les connecteurs de données Office 365 prêts à l’emploi dans le locataire géré. Les informations sur les activités des utilisateurs et des administrateurs dans Exchange et SharePoint (y compris OneDrive) peuvent alors être ingérées dans un espace de travail Microsoft Azure Sentinel au sein du locataire géré. Cette information comprend des détails sur des actions telles que le téléchargement de fichiers, les demandes d’accès envoyées, les changements apportés aux événements de groupe et les opérations de boîtes aux lettres, ainsi que des détails sur les utilisateurs qui ont effectué ces actions. Les alertes DLP Office 365 sont également prises en charge dans le cadre du connecteur Office 365 intégré.

Vous pouvez utiliser le connecteur d’applications Microsoft Defender pour le cloud pour diffuser des alertes et des journaux Cloud Discovery dans Microsoft Azure Sentinel. Ce connecteur vous apporte une visibilité des applications cloud, vous fournit des analyses sophistiquées pour identifier et combattre les cybermenaces, et vous aide à contrôler le déplacement des données. Les journaux d’activité pour Defender pour applications cloud peuvent être utilisés à l’aide du format CEF (Common Event format).

Après avoir configuré les connecteurs de données Office 365, vous pouvez utiliser des capacités de Microsoft Azure Sentinel entre locataires, telles que l’affichage et l’analyse des données dans les classeurs, l’utilisation de requêtes pour créer des alertes personnalisées et la configuration de playbooks pour répondre aux menaces.

Protéger la propriété intellectuelle

Lorsque vous travaillez avec des clients, vous pouvez protéger la propriété intellectuelle que vous avez développée dans Microsoft Azure Sentinel, par exemple, les règles d’analyse, les requêtes de chasse, les playbooks et les classeurs de Microsoft Azure Sentinel. Différentes méthodes vous permettent de vous assurer que les clients n’ont pas un accès complet au code utilisé dans ces ressources.

Pour plus d’informations, consultez Protection de la propriété intellectuelle des MSSP dans Microsoft Azure Sentinel.

Étapes suivantes

• Découvrez Microsoft Azure Sentinel.
• Consultez la page de tarification de Microsoft Azure Sentinel.
• Explorez Microsoft Sentinel All in One, un projet visant à accélérer le déploiement et les tâches de configuration initiale d’un environnement Microsoft Sentinel.
• Découvrez les Expériences de gestion inter-locataire.