A Microsoft Sentinel-munkaterületek nagy léptékű kezelése

Az Azure Lighthouse lehetővé teszi a szolgáltatók számára, hogy egyszerre több Microsoft Entra-bérlőn is nagy léptékben hajtsanak végre műveleteket, ami hatékonyabbá teszi a felügyeleti feladatokat.

A Microsoft Sentinel biztonsági elemzéseket és fenyegetésfelderítést biztosít, egyetlen megoldást kínál a riasztások észlelésére, a fenyegetések láthatóságára, a proaktív keresésre és a fenyegetéskezelésre. Az Azure Lighthouse használatával több Microsoft Sentinel-munkaterületet is kezelhet a bérlők között nagy méretekben. Ez lehetővé teszi az olyan forgatókönyveket, mint a lekérdezések futtatása több munkaterületen, vagy munkafüzetek létrehozása a csatlakoztatott adatforrásokból származó adatok vizualizációjához és monitorozásához, hogy elemzéseket nyerjenek. Az IP-címek, például a lekérdezések és a forgatókönyvek továbbra is a felügyeleti bérlőben maradnak, de az ügyfélbérlők biztonsági felügyeletére is használhatók.

Ez a témakör áttekintést nyújt arról, hogy az Azure Lighthouse hogyan teszi lehetővé a Microsoft Sentinel skálázható használatát a bérlők közötti láthatóság és a felügyelt biztonsági szolgáltatások érdekében.

Tipp.

Bár ebben a témakörben a szolgáltatókra és az ügyfelekre hivatkozunk, ez az útmutató az Azure Lighthouse-t több bérlő kezelésére használó vállalatokra is vonatkozik.

Megjegyzés:

Kezelheti a különböző régiókban található delegált erőforrásokat. Azonban nem delegálhat erőforrásokat egy nemzeti felhőben és az Azure nyilvános felhőben vagy két különálló nemzeti felhőben.

Architekturális szempontok

Egy felügyelt biztonsági szolgáltató (MSSP) esetében, aki a Microsoft Sentinel használatával szeretne szolgáltatásként biztonsági ajánlatot létrehozni, egyetlen biztonsági üzemeltetési központra (SOC) lehet szükség az egyes ügyfélbérlőkben üzembe helyezett több Microsoft Sentinel-munkaterület központi figyeléséhez, kezeléséhez és konfigurálásához. Hasonlóképpen előfordulhat, hogy a több Microsoft Entra-bérlővel rendelkező vállalatok központilag szeretnének kezelni több, a bérlőikre telepített Microsoft Sentinel-munkaterületet.

A központosított felügyelet ezen modelljének az alábbi előnyei vannak:

• Az adatok tulajdonjoga az egyes felügyelt bérlőknél marad.
• Támogatja az adatok földrajzi határokon belüli tárolására vonatkozó követelményeket.
• Biztosítja az adatelkülönítést, mivel több ügyfél adatait nem ugyanabban a munkaterületen tárolja a rendszer.
• Megakadályozza az adatok kiszivárgását a felügyelt bérlőkből, így biztosítva az adatmegfelelést.
• A kapcsolódó költségeket az egyes felügyelt bérlőkre terheljük, nem pedig a kezelő bérlőre.
• A Microsoft Sentinellel integrált összes adatforrásból és adatösszekötőből (például a Microsoft Entra tevékenységnaplóiból, az Office 365-naplókból vagy a Microsoft Threat Protection-riasztásokból) származó adatok az egyes ügyfélbérlelőkben maradnak.
• Csökkenti a hálózati késést.
• Egyszerűen felvehet vagy eltávolíthat új leányvállalatokat vagy ügyfeleket.
• Több munkaterületes nézet használata az Azure Lighthouse-on keresztüli munka során.
• A szellemi tulajdon védelme érdekében forgatókönyvekkel és munkafüzetekkel dolgozhat a bérlők között anélkül, hogy közvetlenül megosztaná a kódot az ügyfelekkel. Csak az elemzési és a vadászati szabályokat kell közvetlenül az egyes ügyfelek bérlőibe menteni.

Fontos

Ha a munkaterületek csak ügyfélbérleményekben vannak létrehozva, a Microsoft.Security Elemzések & Microsoft.Operational Elemzések erőforrás-szolgáltatókat is regisztrálni kell egy előfizetésben a kezelő bérlőben.

Egy másik üzemi modell egy Microsoft Sentinel-munkaterület létrehozása a felügyelt bérlőben. Ebben a modellben az Azure Lighthouse lehetővé teszi a felügyelt bérlők adatforrásaiból származó naplógyűjtést. Vannak azonban olyan adatforrások, amelyek nem csatlakoztathatók a bérlők között, például a Microsoft Defender XDR-hez. A korlátozás miatt ez a modell nem alkalmas számos szolgáltatói forgatókönyvre.

Részletes Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC)

Az MSSP által kezelt összes ügyfél-előfizetést az Azure Lighthouse-ba kell előkészíteni. Ez lehetővé teszi a felügyelt bérlő kijelölt felhasználói számára, hogy hozzáférjenek a felügyeleti műveletekhez az ügyfélbérlelőkben üzembe helyezett Microsoft Sentinel-munkaterületeken.

Az engedélyek létrehozásakor a Microsoft Sentinel beépített szerepköreit hozzárendelheti a felügyeleti bérlő felhasználóihoz, csoportjaihoz vagy szolgáltatásneveihez:

• Microsoft Sentinel-olvasó
• Microsoft Sentinel-válaszadó
• Microsoft Sentinel-közreműködő

További funkciók végrehajtásához további beépített szerepköröket is hozzárendelhet. A Microsoft Sentinellel használható szerepkörökkel kapcsolatos információkért lásd a Microsoft Sentinel szerepköreit és engedélyeit.

Miután előkészítette az ügyfeleket, a kijelölt felhasználók bejelentkezhetnek a felügyeleti bérlőbe, és közvetlenül hozzáférhetnek az ügyfél Microsoft Sentinel-munkaterületéhez a hozzárendelt szerepkörökkel.

Incidensek megtekintése és kezelése a munkaterületeken

Ha több ügyfél Microsoft Sentinel-erőforrásaival dolgozik, egyszerre több munkaterület incidenseit tekintheti meg és kezelheti a különböző bérlők között. További információ: Incidensek kezelése egyszerre több munkaterületen , és a Microsoft Sentinel kiterjesztése munkaterületekre és bérlőkre.

Megjegyzés:

Győződjön meg arról, hogy a felügyeleti bérlő felhasználói olvasási és írási engedélyekkel rendelkeznek az összes felügyelt munkaterületen. Ha egy felhasználó csak bizonyos munkaterületeken rendelkezik olvasási engedélyekkel, figyelmeztető üzenetek jelenhetnek meg az adott munkaterületen lévő incidensek kiválasztásakor, és a felhasználó nem fogja tudni módosítani az incidenseket vagy a velük együtt kijelölt többi felhasználót (még akkor sem, ha a felhasználó írási engedélyekkel rendelkezik a többihez).

Forgatókönyvek konfigurálása a kockázatcsökkentéshez

A forgatókönyvek automatikusan elháríthatók riasztások aktiválásakor. Ezek a forgatókönyvek manuálisan futtathatók, vagy automatikusan futtathatók adott riasztások aktiválásakor. A forgatókönyvek üzembe helyezhetők a felügyeleti bérlőben vagy az ügyfélbérlében, és a válaszfolyamatok konfigurálva lesznek, amelyek alapján a bérlő felhasználóinak meg kell tenniük a szükséges lépéseket egy biztonsági fenyegetésre válaszul.

Bérlők közötti munkafüzetek létrehozása

Az Azure Monitor-munkafüzetek a Microsoft Sentinelben segítenek a csatlakoztatott adatforrásokból származó adatok vizualizációjában és monitorozásában, hogy elemzéseket nyerhessenek. Használhatja a Microsoft Sentinel beépített munkafüzetsablonjait, vagy létrehozhat egyéni munkafüzeteket a forgatókönyvekhez.

Munkafüzeteket helyezhet üzembe a felügyelt bérlőben, és nagyméretű irányítópultokat hozhat létre az ügyfélbérlők adatainak monitorozásához és lekérdezéséhez. További információ: Munkaterületek közötti munkafüzetek.

A munkafüzeteket közvetlenül egy egyéni felügyelt bérlőben is üzembe helyezheti az adott ügyfélre jellemző forgatókönyvekhez.

Log Analytics- és keresési lekérdezések futtatása a Microsoft Sentinel-munkaterületeken

Hozzon létre és mentsen Log Analytics-lekérdezéseket a fenyegetésészleléshez központilag a felügyeleti bérlőben, beleértve a keresési lekérdezéseket is. Ezek a lekérdezések az összes ügyfél Microsoft Sentinel-munkaterületén futtathatók az Union operátor és a munkaterület() kifejezés használatával.

További információ: Munkaterületek közötti lekérdezés.

Automatizálás használata munkaterületek közötti felügyelethez

Az automatizálással több Microsoft Sentinel-munkaterületet is kezelhet, és vadász lekérdezéseket, forgatókönyveket és munkafüzeteket konfigurálhat. További információ: Munkaterületek közötti felügyelet automatizálással.

Az Office 365-környezetek biztonságának figyelése

Az Azure Lighthouse és a Microsoft Sentinel együttes használatával figyelheti az Office 365-környezetek biztonságát a bérlők között. Először engedélyezze a beépített Office 365-adatösszekötőket a felügyelt bérlőben. Az Exchange-ben és a SharePointban (beleértve a OneDrive-ot is) végzett felhasználói és rendszergazdai tevékenységekkel kapcsolatos információk ezután a felügyelt bérlőn belüli Microsoft Sentinel-munkaterületre is betölthetők. Ezek az információk olyan műveletek részleteit tartalmazzák, mint a fájlletöltések, az elküldött hozzáférési kérelmek, a csoportesemények módosítása és a postaládaműveletek, valamint a műveleteket végrehajtó felhasználók adatai. Az Office 365 DLP-riasztások a beépített Office 365-összekötő részeként is támogatottak.

A Felhőhöz készült Microsoft Defender Apps-összekötő használatával riasztásokat és Cloud Discovery-naplókat streamelhet a Microsoft Sentinelbe. Ez az összekötő betekintést nyújt a felhőalkalmazásokba, kifinomult elemzéseket biztosít a kibertámadások azonosításához és leküzdéséhez, és segít szabályozni az adatok utazását. A Felhőhöz készült Defender-alkalmazások tevékenységnaplói a Common Event Format (CEF) használatával használhatók.

Az Office 365-adatösszekötők beállítása után bérlők közötti Microsoft Sentinel-képességeket használhat, például megtekintheti és elemezheti az adatokat a munkafüzetekben, lekérdezésekkel egyéni riasztásokat hozhat létre, és forgatókönyveket konfigurálhat a fenyegetésekre való reagáláshoz.

A szellemi tulajdon védelme

Az ügyfelekkel való munka során érdemes lehet megvédeni a Microsoft Sentinelben kifejlesztett szellemi tulajdont, például a Microsoft Sentinel elemzési szabályait, a keresési lekérdezéseket, a forgatókönyveket és a munkafüzeteket. Különböző módszerekkel biztosíthatja, hogy az ügyfelek ne férhessenek hozzá teljes hozzáféréssel az ezekben az erőforrásokban használt kódhoz.

További információ: MsSP szellemi tulajdon védelme a Microsoft Sentinelben.

További lépések

• További információ a Microsoft Sentinelről.
• Tekintse át a Microsoft Sentinel díjszabási oldalát.
• Ismerkedjen meg a MicrosoftSentinel All-in-One projekttel, amely felgyorsítja a Microsoft Sentinel-környezet üzembe helyezését és kezdeti konfigurációs feladatait.
• További információ a bérlők közötti felügyeleti szolgáltatásokról.