Memperluas Microsoft Azure Sentinel di ruang kerja dan penyewa
Ketika menjalankan Microsoft Sentinel, langkah pertama Anda adalah memilih ruang kerja Analitik Log Anda. Meskipun Anda bisa mendapatkan manfaat penuh dari pengalaman Microsoft Sentinel dengan satu ruang kerja, pada kasus tertentu Anda perlu memperluas ruang kerja untuk mengkueri dan menganalisis data di seluruh ruang kerja dan penyewa. Pelajari selengkapnya tentang bagaimana Microsoft Azure Sentinel dapat meluas di beberapa ruang kerja.
Mengelola insiden di beberapa ruang kerja
Microsoft Sentinel mendukung tampilan insiden multi-ruang kerja tempat Anda dapat mengelola dan memantau insiden di seluruh multi-ruang kerja secara terpusat. Tampilan insiden terpusat memungkinkan Anda mengelola insiden secara langsung atau menelusuri secara transparan ke detail insiden dalam konteks ruang kerja asal.
Mengkueri beberapa ruang kerja
Anda dapat mengkueri multi-ruang kerja, memungkinkan Anda menemukan dan menghubungkan data dari beberapa ruang kerja dalam satu kueri.
workspace( )Gunakan ekspresi, dengan pengidentifikasi ruang kerja sebagai argumen, untuk merujuk ke tabel di ruang kerja yang berbeda.- Lihat informasi penting tentang penggunaan format pengidentifikasi untuk memastikan performa yang tepat.
Gunakan operator gabungan bersama
workspace( )ekspresi untuk menerapkan kueri di seluruh tabel di beberapa ruang kerja.Anda dapat menggunakan fungsi tersimpan untuk menyederhanakan kueri lintas ruang kerja. Misalnya, Anda dapat mempersingkat referensi panjang ke tabel SecurityEvent di ruang kerja Pelanggan A dengan menyimpan ekspresi
workspace("/subscriptions/<customerA_subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName>").SecurityEventsebagai fungsi yang disebut
SecurityEventCustomerA. Anda kemudian dapat mengkueri tabel SecurityEvent Pelanggan A dengan fungsi ini:SecurityEventCustomerA | where ....Sebuah fungsi juga dapat menyederhanakan serikat yang umum digunakan. Misalnya, Anda dapat menyimpan ekspresi berikut sebagai fungsi yang disebut
unionSecurityEvent:union workspace("/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName1>").SecurityEvent, workspace("/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName2>").SecurityEventAnda kemudian dapat menulis kueri di kedua ruang kerja dengan memulai dengan
unionSecurityEvent | where ....
Menyertakan kueri lintas ruang kerja dalam aturan analitik terjadwal
Anda dapat menyertakan kueri lintas ruang kerja dalam aturan analitik terjadwal. Anda dapat menggunakan aturan analitik lintas ruang kerja dalam SOC pusat dan seluruh penyewa (menggunakan Azure Lighthouse), cocok untuk MSSP. Penggunaan ini tunduk pada batasan berikut:
- Anda dapat menyertakan hingga 20 ruang kerja dalam satu kueri. Namun, untuk performa yang baik, sebaiknya masukkan tidak lebih dari 5.
- Anda harus menyebarkan Microsoft Sentinel pada setiap ruang kerja yang dirujuk dalam kueri.
- Peringatan yang dihasilkan oleh aturan analisis lintas ruang kerja, dan insiden yang dibuat darinya, hanya ada di ruang kerja tempat aturan didefinisikan. Pemberitahuan tidak akan ditampilkan dalam ruang kerja yang tidak dirujuk dalam kueri.
- Aturan analitik lintas ruang kerja, seperti aturan analitik apa pun, akan terus berjalan meskipun pengguna yang membuat aturan kehilangan akses ke ruang kerja yang direferensikan dalam kueri aturan. Satu-satunya pengecualian untuk ini adalah dalam kasus ruang kerja dalam langganan dan/atau penyewa yang berbeda dari aturan analitik.
Pemberitahuan dan insiden yang dibuat oleh aturan analitik lintas ruang kerja berisi semua entitas terkait, termasuk entitas dari seluruh ruang kerja yang dirujuk serta ruang kerja "rumah" (tempat aturan ditentukan). Dengan cara ini analis mendapatkan gambaran utuh mengenai pemberitahuan dan insiden.
Catatan
Membuat kueri beberapa ruang kerja dalam kueri yang sama dapat memengaruhi performa, dan oleh karena itu disarankan hanya jika logika memerlukan fungsionalitas ini.
Menggunakan buku kerja lintas ruang kerja
Buku kerja menyediakan dasbor dan aplikasi untuk Microsoft Azure Sentinel. Saat bekerja dengan multi-ruang kerja, buku kerja menyediakan pemantauan dan tindakan di seluruh ruang kerja.
Buku kerja dapat menyediakan kueri lintas ruang kerja dalam satu dari tiga metode, cocok untuk tingkat keahlian pengguna-akhir yang berbeda:
| Metode | Deskripsi | Kapan saya harus menggunakan? |
|---|---|---|
| Tulis kueri lintas ruang kerja | Pembuat buku kerja bisa menulis kueri lintas ruang kerja (dijelaskan di atas) di buku kerja. | Saya ingin pembuat buku kerja membuat struktur ruang kerja yang transparan bagi pengguna. |
| Menambahkan pemilih ruang kerja ke buku kerja | Pembuat buku kerja dapat menerapkan pemilih ruang kerja sebagai bagian dari buku kerja. | Saya ingin memungkinkan pengguna mengontrol ruang kerja yang ditampilkan oleh buku kerja, dengan kotak dropdown yang mudah digunakan. |
| Mengedit buku kerja secara interaktif | Pengguna tingkat lanjut yang memodifikasi buku kerja yang ada dapat mengedit kueri di dalamnya, memilih ruang kerja target menggunakan pemilih ruang kerja di editor. | Saya ingin memungkinkan pengguna yang kuat dapat dengan mudah mengubah buku kerja yang telah ada untuk bekerja dengan multi-ruang kerja. |
Berburu di beberapa ruang kerja
Microsoft Azure Sentinel menyediakan contoh kueri yang dimuat sebelumnya yang dirancang untuk membantu Anda memulai dan membiasakan diri dengan tabel dan bahasa kueri. Peneliti keamanan Microsoft terus menambahkan kueri bawaan baru dan menyempurnakan kueri yang ada. Anda dapat menggunakan kueri ini untuk mencari deteksi baru dan mengidentifikasi tanda-tanda gangguan yang mungkin dilewatkan peralatan keamanan Anda.
Kemampuan berburu lintas ruang kerja memungkinkan pemburu ancaman Anda membuat kueri perburuan baru, atau mengadaptasi yang sudah ada, untuk mencakup beberapa ruang kerja, dengan menggunakan operator agregat dan ekspresi ruang kerja() seperti yang ditunjukkan di atas.
Mengelola beberapa ruang kerja menggunakan otomatisasi
Untuk mengonfigurasi dan mengelola beberapa ruang kerja Microsoft Sentinel, Anda harus mengotomatisasi penggunaan API pengelolaan Microsoft Sentinel.
- Pelajari cara mengotomatisasi penyebaran sumber daya Microsoft Sentinel, termasuk aturan pemberitahuan, kueri berburu, buku kerja dan playbook.
- Pelajari cara menyebarkan konten kustom dari repositori Anda. Sumber daya ini menyediakan metodologi terkonsolidasi untuk mengelola Microsoft Sentinel sebagai kode serta menyebarkan dan mengonfigurasi sumber daya dari Azure DevOps privat atau repositori GitHub.
Mengelola ruang kerja di seluruh penyewa menggunakan Azure Lighthouse
Seperti disebutkan di atas, dalam banyak skenario, ruang kerja Microsoft Azure Sentinel yang berbeda dapat ditemukan di penyewa Microsoft Entra yang berbeda. Anda dapat menggunakan Azure Lighthouse untuk memperluas semua aktivitas lintas-ruang kerja di seluruh batas penyewa, sehingga pengguna di penyewa pengelola Anda dapat bekerja di ruang kerja Microsoft Azure Sentinel di semua penyewa.
Setelah Azure Lighthouse dijalankan, gunakan pemilih direktori + langganan di portal Azure untuk memilih semua langganan yang berisi ruang kerja yang ingin Anda kelola, untuk memastikan ruang kerja tersedia di pemilih ruang kerja berbeda di dalam portal.
Saat menggunakan Azure Lighthouse, sebaiknya buat grup untuk setiap peran Microsoft Sentinel dan delegasikan izin dari setiap penyewa ke grup tersebut.
Langkah berikutnya
Dalam dokumen ini, Anda mempelajari cara kemampuan Microsoft Sentinel dapat diperluas di seluruh multi-ruang kerja dan penyewa. Untuk panduan praktis tentang penerapan arsitektur lintas-ruang kerja Microsoft Azure Sentinel, lihat artikel berikut:
- Pelajari cara bekerja dengan beberapa penyewa di Microsoft Azure Sentinel, menggunakan Azure Lighthouse.
- Pelajari cara melihat dan mengelola insiden di beberapa ruang kerja dengan lancar.