MSSP szellemi tulajdon védelme a Microsoft Sentinelben
Ez a cikk azokat a módszereket ismerteti, amelyekkel a felügyelt biztonsági szolgáltatók (MSSP-k) védhetik a Microsoft Sentinelben kifejlesztett szellemi tulajdont, például a Microsoft Sentinel elemzési szabályait, a keresési lekérdezéseket, a forgatókönyveket és a munkafüzeteket.
A választott módszer attól függ, hogy az egyes ügyfelek hogyan vásárolják meg az Azure-t; függetlenül attól, hogy felhőszolgáltatóként (CSP) működik-e, vagy az ügyfél rendelkezik Nagyvállalati Szerződés (EA)/használatalapú fizetéses (PAYG) fiókkal. A következő szakaszok külön-külön ismertetik ezeket a módszereket.
Felhőmegoldás-szolgáltatók (CSP)
Ha az Azure-t felhőszolgáltatóként (CSP) használja, az ügyfél Azure-előfizetését kezeli. A Rendszergazda-Nevében (AOBO) köszönhetően az MSSP-bérlő Rendszergazda Ügynökök csoportjának felhasználói tulajdonosi hozzáféréssel rendelkeznek az ügyfél Azure-előfizetéséhez, és az ügyfél alapértelmezés szerint nem rendelkezik hozzáféréssel.
Ha az MSSP-bérlő más felhasználóinak a Rendszergazda Ügynökök csoportján kívül is hozzá kell férnie az ügyfélkörnyezethez, javasoljuk, hogy az Azure Lighthouse-t használja. Az Azure Lighthouse lehetővé teszi, hogy egy adott hatókörhöz, például erőforráscsoporthoz vagy előfizetéshez hozzáférést biztosítson a felhasználóknak vagy csoportoknak az egyik beépített szerepkör használatával.
Ha hozzáférést kell biztosítania az ügyfeleknek az Azure-környezethez, javasoljuk, hogy a teljes előfizetés helyett erőforráscsoport szintjén adjon hozzáférést nekik, hogy szükség szerint megjeleníthesse vagy elrejthesse a környezet egyes részeit.
Például:
Előfordulhat, hogy több erőforráscsoporthoz is hozzáférést ad az ügyfélnek, ahol az alkalmazások találhatók, de a Microsoft Sentinel-munkaterületet továbbra is egy külön erőforráscsoportban tarthatja, ahol az ügyfél nem rendelkezik hozzáféréssel.
Ezzel a módszerrel engedélyezheti az ügyfelek számára a kijelölt munkafüzetek és forgatókönyvek megtekintését, amelyek különálló erőforrások, amelyek a saját erőforráscsoportjukban találhatók.
Még akkor is, ha hozzáférést ad az erőforráscsoport szintjén, az ügyfelek hozzáférhetnek a naplóadatokhoz azokhoz az erőforrásokhoz, amelyekhez hozzáférhetnek, például egy virtuális gép naplóihoz, még a Microsoft Sentinelhez való hozzáférés nélkül is. További információ: A Microsoft Sentinel-adatokhoz való hozzáférés kezelése erőforrásonként.
Tipp.
Ha hozzáférést kell biztosítania az ügyfeleknek a teljes előfizetéshez, érdemes lehet látnia az útmutatást a Nagyvállalati Szerződés s (EA) / Használatalapú fizetés (PAYG) szolgáltatásban.
Minta Microsoft Sentinel CSP-architektúra
Az alábbi kép bemutatja, hogyan működnek az előző szakaszban leírt engedélyek a CSP-ügyfelek számára való hozzáférés biztosításakor:
Ezen a képen:
A CSP-előfizetéshez tulajdonosi hozzáféréssel rendelkező felhasználók az MSSP Microsoft Entra-bérlő Rendszergazda Ügynökök csoportjában lévő felhasználók.
Az MSSP más csoportjai az Azure Lighthouse-on keresztül férhetnek hozzá az ügyfélkörnyezethez.
Az Azure-erőforrásokhoz való ügyfélhozzáférést az Azure RBAC felügyeli az erőforráscsoport szintjén.
Ez lehetővé teszi, hogy az MSSP-k szükség szerint elrejtsék a Microsoft Sentinel-összetevőket, például az elemzési szabályokat és a keresési lekérdezéseket.
További információkért tekintse meg az Azure Lighthouse dokumentációját is.
Nagyvállalati Szerződés (EA) / Használatalapú fizetés (PAYG)
Ha az ügyfél közvetlenül a Microsofttól vásárol, az ügyfél már teljes hozzáféréssel rendelkezik az Azure-környezethez, és semmit sem rejthet el az ügyfél Azure-előfizetésében.
Ehelyett az alábbiak szerint védje a Microsoft Sentinelben kifejlesztett szellemi tulajdonát a védelemhez szükséges erőforrás típusától függően:
Elemzési szabályok és keresési lekérdezések
Az elemzési szabályok és a keresési lekérdezések egyaránt a Microsoft Sentinelben találhatók, ezért nem választhatók el a Microsoft Sentinel-munkaterülettől.
Még akkor is megtekintheti a lekérdezést, ha egy felhasználó csak Microsoft Sentinel Reader-engedélyekkel rendelkezik. Ebben az esetben javasoljuk, hogy az ügyfélbérlése helyett a saját MSSP-bérlőjében üzemeltetje az Analytics-szabályokat és a lekérdezéseket.
Ehhez szüksége van egy munkaterületre a saját bérlőjében, amelyen engedélyezve van a Microsoft Sentinel, és az ügyfél-munkaterületet is látnia kell az Azure Lighthouse-on keresztül.
Ha elemzési szabályt vagy keresési lekérdezést szeretne létrehozni az MSSP-bérlőben, amely az ügyfélbérlében lévő adatokra hivatkozik, az workspace
alábbi utasítást kell használnia:
workspace('<customer-workspace>').SecurityEvent
| where EventID == ‘4625’
Amikor utasítást workspace
ad hozzá az elemzési szabályokhoz, vegye figyelembe a következőket:
Nincsenek riasztások az ügyfél-munkaterületen. Az ilyen módon létrehozott szabályok nem hoznak létre riasztásokat vagy incidenseket az ügyfél-munkaterületen. Mind a riasztások, mind az incidensek csak az MSSP-munkaterületen találhatók.
Hozzon létre külön riasztásokat az egyes ügyfelek számára. Ha ezt a módszert használja, azt is javasoljuk, hogy minden ügyfélre és észlelésre külön riasztási szabályokat használjon, mivel a munkaterületi utasítás minden esetben eltérő.
Hozzáadhatja az ügyfélnevet a riasztási szabály nevéhez, így könnyen azonosíthatja azt az ügyfelet, ahol a riasztás aktiválódik. A különálló riasztások számos szabályt eredményezhetnek, amelyeket érdemes lehet szkriptek használatával kezelni, vagy a Microsoft Sentinelt kódként.
Például:
Hozzon létre külön MSSP-munkaterületeket minden ügyfél számára. Ha külön szabályokat hoz létre az egyes ügyfelek és észlelések számára, akkor elérheti a munkaterületre vonatkozó elemzési szabályok maximális számát (512). Ha sok ügyfele van, és várhatóan eléri ezt a korlátot, érdemes minden ügyfél számára külön MSSP-munkaterületet létrehozni.
Például:
Fontos
A módszer sikeres használatának kulcsa az automatizálás használata a munkaterületek nagy szabálykészletének kezeléséhez.
További információ: Munkaterületközi elemzési szabályok
Workbooks
Ha olyan Microsoft Sentinel-munkafüzetet fejlesztett ki, amelyet nem szeretne, hogy az ügyfél másoljon, az MSSP-bérlőben tárolja a munkafüzetet. Győződjön meg arról, hogy rendelkezik hozzáféréssel az ügyfél-munkaterületekhez az Azure Lighthouse-on keresztül, majd mindenképpen módosítsa a munkafüzetet az ügyfél-munkaterületek használatára.
Például:
További információ: Munkaterületek közötti munkafüzetek.
Ha azt szeretné, hogy az ügyfél megtekinthesse a munkafüzet vizualizációit, miközben a kód titkos marad, javasoljuk, hogy exportálja a munkafüzetet a Power BI-ba.
Munkafüzet exportálása a Power BI-ba:
- Megkönnyíti a munkafüzet vizualizációinak megosztását. Az ügyfélnek elküldhet egy hivatkozást a Power BI-irányítópultra, ahol megtekinthetik a jelentett adatokat anélkül, hogy Azure-beli hozzáférési engedélyeket igényelnének.
- Lehetővé teszi az ütemezést. Konfigurálja a Power BI-t, hogy rendszeresen küldjön e-maileket, amelyek az irányítópult pillanatképét tartalmazzák.
További információ: Azure Monitor-naplóadatok importálása a Power BI-ba.
Forgatókönyvek
A forgatókönyveket az alábbiak szerint védheti, attól függően, hogy a forgatókönyvet kiváltó elemzési szabályok hol lettek létrehozva:
Az MSSP-munkaterületen létrehozott elemzési szabályok. Mindenképpen hozza létre forgatókönyveit az MSSP-bérlőben, és hogy az ÖSSZES incidens- és riasztási adatot megkapja az MSSP-munkaterületről. A forgatókönyveket bármikor csatolhatja, amikor új szabályt hoz létre a munkaterületen.
Például:
Az ügyfél-munkaterületen létrehozott elemzési szabályok. Az Azure Lighthouse használatával elemzési szabályokat csatolhat az ügyfél munkaterületéről az MSSP-munkaterületen üzemeltetett forgatókönyvhöz. Ebben az esetben a forgatókönyv lekéri a riasztási és incidensadatokat, valamint minden egyéb ügyfélinformációt az ügyfél-munkaterületről.
Például:
Mindkét esetben, ha a forgatókönyvnek hozzá kell férnie az ügyfél Azure-környezetéhez, használjon olyan felhasználót vagy szolgáltatásnevet, amely a Lighthouse-on keresztül rendelkezik hozzáféréssel.
Ha azonban a forgatókönyvnek hozzá kell férnie az ügyfél bérlőjében lévő nem Azure-erőforrásokhoz, például a Microsoft Entra ID-hez, az Office 365-höz vagy a Microsoft Defender XDR-hez, hozzon létre egy szolgáltatásnevet a megfelelő engedélyekkel az ügyfélbérlében, majd adja hozzá ezt az identitást a forgatókönyvhöz.
Megjegyzés:
Ha automatizálási szabályokat használ a forgatókönyvekkel együtt, meg kell adnia az automatizálási szabály engedélyeit azon az erőforráscsoporton, ahol a forgatókönyvek élnek. További információ: Engedélyek az automatizálási szabályokhoz forgatókönyvek futtatásához.
További lépések
For more information, see: