Share via

MSSP szellemi tulajdon védelme a Microsoft Sentinelben

  • Cikk

Ez a cikk azokat a módszereket ismerteti, amelyekkel a felügyelt biztonsági szolgáltatók (MSSP-k) védhetik a Microsoft Sentinelben kifejlesztett szellemi tulajdont, például a Microsoft Sentinel elemzési szabályait, a keresési lekérdezéseket, a forgatókönyveket és a munkafüzeteket.

A választott módszer attól függ, hogy az egyes ügyfelek hogyan vásárolják meg az Azure-t; függetlenül attól, hogy felhőszolgáltatóként (CSP) működik-e, vagy az ügyfél rendelkezik Nagyvállalati Szerződés (EA)/használatalapú fizetéses (PAYG) fiókkal. A következő szakaszok külön-külön ismertetik ezeket a módszereket.

Felhőmegoldás-szolgáltatók (CSP)

Ha az Azure-t felhőszolgáltatóként (CSP) használja, az ügyfél Azure-előfizetését kezeli. A Rendszergazda-Nevében (AOBO) köszönhetően az MSSP-bérlő Rendszergazda Ügynökök csoportjának felhasználói tulajdonosi hozzáféréssel rendelkeznek az ügyfél Azure-előfizetéséhez, és az ügyfél alapértelmezés szerint nem rendelkezik hozzáféréssel.

Ha az MSSP-bérlő más felhasználóinak a Rendszergazda Ügynökök csoportján kívül is hozzá kell férnie az ügyfélkörnyezethez, javasoljuk, hogy az Azure Lighthouse-t használja. Az Azure Lighthouse lehetővé teszi, hogy egy adott hatókörhöz, például erőforráscsoporthoz vagy előfizetéshez hozzáférést biztosítson a felhasználóknak vagy csoportoknak az egyik beépített szerepkör használatával.

Ha hozzáférést kell biztosítania az ügyfeleknek az Azure-környezethez, javasoljuk, hogy a teljes előfizetés helyett erőforráscsoport szintjén adjon hozzáférést nekik, hogy szükség szerint megjeleníthesse vagy elrejthesse a környezet egyes részeit.

Például:

  • Előfordulhat, hogy több erőforráscsoporthoz is hozzáférést ad az ügyfélnek, ahol az alkalmazások találhatók, de a Microsoft Sentinel-munkaterületet továbbra is egy külön erőforráscsoportban tarthatja, ahol az ügyfél nem rendelkezik hozzáféréssel.

  • Ezzel a módszerrel engedélyezheti az ügyfelek számára a kijelölt munkafüzetek és forgatókönyvek megtekintését, amelyek különálló erőforrások, amelyek a saját erőforráscsoportjukban találhatók.

Még akkor is, ha hozzáférést ad az erőforráscsoport szintjén, az ügyfelek hozzáférhetnek a naplóadatokhoz azokhoz az erőforrásokhoz, amelyekhez hozzáférhetnek, például egy virtuális gép naplóihoz, még a Microsoft Sentinelhez való hozzáférés nélkül is. További információ: A Microsoft Sentinel-adatokhoz való hozzáférés kezelése erőforrásonként.

Tipp.

Ha hozzáférést kell biztosítania az ügyfeleknek a teljes előfizetéshez, érdemes lehet látnia az útmutatást a Nagyvállalati Szerződés s (EA) / Használatalapú fizetés (PAYG) szolgáltatásban.

Minta Microsoft Sentinel CSP-architektúra

Az alábbi kép bemutatja, hogyan működnek az előző szakaszban leírt engedélyek a CSP-ügyfelek számára való hozzáférés biztosításakor:

Protect your Microsoft Sentinel intellectual property with CSP customers.

Ezen a képen:

  • A CSP-előfizetéshez tulajdonosi hozzáféréssel rendelkező felhasználók az MSSP Microsoft Entra-bérlő Rendszergazda Ügynökök csoportjában lévő felhasználók.

  • Az MSSP más csoportjai az Azure Lighthouse-on keresztül férhetnek hozzá az ügyfélkörnyezethez.

  • Az Azure-erőforrásokhoz való ügyfélhozzáférést az Azure RBAC felügyeli az erőforráscsoport szintjén.

    Ez lehetővé teszi, hogy az MSSP-k szükség szerint elrejtsék a Microsoft Sentinel-összetevőket, például az elemzési szabályokat és a keresési lekérdezéseket.

További információkért tekintse meg az Azure Lighthouse dokumentációját is.

Nagyvállalati Szerződés (EA) / Használatalapú fizetés (PAYG)

Ha az ügyfél közvetlenül a Microsofttól vásárol, az ügyfél már teljes hozzáféréssel rendelkezik az Azure-környezethez, és semmit sem rejthet el az ügyfél Azure-előfizetésében.

Ehelyett az alábbiak szerint védje a Microsoft Sentinelben kifejlesztett szellemi tulajdonát a védelemhez szükséges erőforrás típusától függően:

Elemzési szabályok és keresési lekérdezések

Az elemzési szabályok és a keresési lekérdezések egyaránt a Microsoft Sentinelben találhatók, ezért nem választhatók el a Microsoft Sentinel-munkaterülettől.

Még akkor is megtekintheti a lekérdezést, ha egy felhasználó csak Microsoft Sentinel Reader-engedélyekkel rendelkezik. Ebben az esetben javasoljuk, hogy az ügyfélbérlése helyett a saját MSSP-bérlőjében üzemeltetje az Analytics-szabályokat és a lekérdezéseket.

Ehhez szüksége van egy munkaterületre a saját bérlőjében, amelyen engedélyezve van a Microsoft Sentinel, és az ügyfél-munkaterületet is látnia kell az Azure Lighthouse-on keresztül.

Ha elemzési szabályt vagy keresési lekérdezést szeretne létrehozni az MSSP-bérlőben, amely az ügyfélbérlében lévő adatokra hivatkozik, az workspace alábbi utasítást kell használnia:

workspace('<customer-workspace>').SecurityEvent
| where EventID == ‘4625’

Amikor utasítást workspace ad hozzá az elemzési szabályokhoz, vegye figyelembe a következőket:

  • Nincsenek riasztások az ügyfél-munkaterületen. Az ilyen módon létrehozott szabályok nem hoznak létre riasztásokat vagy incidenseket az ügyfél-munkaterületen. Mind a riasztások, mind az incidensek csak az MSSP-munkaterületen találhatók.

  • Hozzon létre külön riasztásokat az egyes ügyfelek számára. Ha ezt a módszert használja, azt is javasoljuk, hogy minden ügyfélre és észlelésre külön riasztási szabályokat használjon, mivel a munkaterületi utasítás minden esetben eltérő.

    Hozzáadhatja az ügyfélnevet a riasztási szabály nevéhez, így könnyen azonosíthatja azt az ügyfelet, ahol a riasztás aktiválódik. A különálló riasztások számos szabályt eredményezhetnek, amelyeket érdemes lehet szkriptek használatával kezelni, vagy a Microsoft Sentinelt kódként.

    Például:

    Create separate rules in your MSSP workspace for each customer.

  • Hozzon létre külön MSSP-munkaterületeket minden ügyfél számára. Ha külön szabályokat hoz létre az egyes ügyfelek és észlelések számára, akkor elérheti a munkaterületre vonatkozó elemzési szabályok maximális számát (512). Ha sok ügyfele van, és várhatóan eléri ezt a korlátot, érdemes minden ügyfél számára külön MSSP-munkaterületet létrehozni.

    Például:

    Create a workspace and rules in your MSSP tenant for each customer.

Fontos

A módszer sikeres használatának kulcsa az automatizálás használata a munkaterületek nagy szabálykészletének kezeléséhez.

További információ: Munkaterületközi elemzési szabályok

Workbooks

Ha olyan Microsoft Sentinel-munkafüzetet fejlesztett ki, amelyet nem szeretne, hogy az ügyfél másoljon, az MSSP-bérlőben tárolja a munkafüzetet. Győződjön meg arról, hogy rendelkezik hozzáféréssel az ügyfél-munkaterületekhez az Azure Lighthouse-on keresztül, majd mindenképpen módosítsa a munkafüzetet az ügyfél-munkaterületek használatára.

Például:

Cross-workspace workbooks

További információ: Munkaterületek közötti munkafüzetek.

Ha azt szeretné, hogy az ügyfél megtekinthesse a munkafüzet vizualizációit, miközben a kód titkos marad, javasoljuk, hogy exportálja a munkafüzetet a Power BI-ba.

Munkafüzet exportálása a Power BI-ba:

  • Megkönnyíti a munkafüzet vizualizációinak megosztását. Az ügyfélnek elküldhet egy hivatkozást a Power BI-irányítópultra, ahol megtekinthetik a jelentett adatokat anélkül, hogy Azure-beli hozzáférési engedélyeket igényelnének.
  • Lehetővé teszi az ütemezést. Konfigurálja a Power BI-t, hogy rendszeresen küldjön e-maileket, amelyek az irányítópult pillanatképét tartalmazzák.

További információ: Azure Monitor-naplóadatok importálása a Power BI-ba.

Forgatókönyvek

A forgatókönyveket az alábbiak szerint védheti, attól függően, hogy a forgatókönyvet kiváltó elemzési szabályok hol lettek létrehozva:

  • Az MSSP-munkaterületen létrehozott elemzési szabályok. Mindenképpen hozza létre forgatókönyveit az MSSP-bérlőben, és hogy az ÖSSZES incidens- és riasztási adatot megkapja az MSSP-munkaterületről. A forgatókönyveket bármikor csatolhatja, amikor új szabályt hoz létre a munkaterületen.

    Például:

    Rules created in the MSSP workspace.

  • Az ügyfél-munkaterületen létrehozott elemzési szabályok. Az Azure Lighthouse használatával elemzési szabályokat csatolhat az ügyfél munkaterületéről az MSSP-munkaterületen üzemeltetett forgatókönyvhöz. Ebben az esetben a forgatókönyv lekéri a riasztási és incidensadatokat, valamint minden egyéb ügyfélinformációt az ügyfél-munkaterületről.

    Például:

    Rules created in the customer workspace.

Mindkét esetben, ha a forgatókönyvnek hozzá kell férnie az ügyfél Azure-környezetéhez, használjon olyan felhasználót vagy szolgáltatásnevet, amely a Lighthouse-on keresztül rendelkezik hozzáféréssel.

Ha azonban a forgatókönyvnek hozzá kell férnie az ügyfél bérlőjében lévő nem Azure-erőforrásokhoz, például a Microsoft Entra ID-hez, az Office 365-höz vagy a Microsoft Defender XDR-hez, hozzon létre egy szolgáltatásnevet a megfelelő engedélyekkel az ügyfélbérlében, majd adja hozzá ezt az identitást a forgatókönyvhöz.

Megjegyzés:

Ha automatizálási szabályokat használ a forgatókönyvekkel együtt, meg kell adnia az automatizálási szabály engedélyeit azon az erőforráscsoporton, ahol a forgatókönyvek élnek. További információ: Engedélyek az automatizálási szabályokhoz forgatókönyvek futtatásához.

További lépések

For more information, see: