Share via

Melindungi kekayaan intelektual MSSP di Microsoft Azure Sentinel

  • Artikel

Artikel ini menjelaskan metode yang dapat digunakan penyedia layanan keamanan terkelola (MSSP) untuk melindungi kekayaan intelektual yang telah dikembangkannya di Microsoft Azure Sentinel, seperti aturan analitik Microsoft Azure Sentinel, kueri berburu, playbook, dan buku kerja.

Metode yang Anda pilih tergantung pada bagaimana masing-masing pelanggan Anda membeli Azure; apakah Anda bertindak sebagai Penyedia Solusi Cloud (CSP), atau pelanggan memiliki akun Perjanjian Enterprise (EA)/Pay-as-you-go (PAYG). Bagian berikut menjelaskan masing-masing metode ini secara terpisah.

Penyedia Solusi Cloud (CSP)

Jika Anda menjual Azure kembali sebagai Penyedia Solusi Cloud (CSP), maka Anda mengelola langganan Azure pelanggan. Berkat Admin atas nama (AOBO), pengguna di grup Agen Admin dari penyewa MSSP Anda diberikan akses Pemilik ke langganan Azure pelanggan, dan pelanggan tidak memiliki akses secara default.

Jika pengguna lain dari penyewa MSSP, di luar grup Agen Admin perlu mengakses lingkungan pelanggan, sebaiknya gunakan Azure Lighthouse. Dengan Azure Lighthouse, Anda dapat memberi pengguna atau grup akses ke cakupan tertentu, seperti grup sumber daya atau langganan, dengan menggunakan salah satu peran bawaan.

Jika Anda perlu memberi pengguna pelanggan akses ke lingkungan Azure, sebaiknya beri mereka akses di tingkat grup sumber daya, bukan seluruh langganan, agar Anda dapat menampilkan/menyembunyikan bagian lingkungan sesuai kebutuhan.

Contohnya:

  • Anda dapat memberi pelanggan akses ke beberapa grup sumber daya tempat aplikasi mereka berada, tetapi tetap menyimpan ruang kerja Microsoft Azure Sentinel dalam grup sumber daya terpisah, di mana pelanggan tidak memiliki akses.

  • Gunakan metode ini untuk memungkinkan pelanggan melihat buku kerja dan playbook yang dipilih, yang merupakan sumber daya terpisah yang dapat berada di grup sumber daya mereka sendiri.

Bahkan dengan memberikan akses di tingkat grup sumber daya, pelanggan memiliki akses ke data log untuk sumber daya yang dapat mereka akses, seperti log dari VM, bahkan tanpa akses ke Microsoft Azure Sentinel. Untuk informasi selengkapnya, lihat Mengelola akses ke data Microsoft Azure Sentinel berdasarkan sumber daya.

Tip

Jika Anda perlu memberi pelanggan akses ke seluruh langganan, Anda sebaiknya melihat panduan dalam Perjanjian Enterprise (EA) / Bayar sesuai pemakaian (PAYG).

Contoh arsitektur CSP Microsoft Azure Sentinel CSP

Gambar berikut ini menjelaskan bagaimana izin yang dijelaskan di bagian sebelumnya mungkin berfungsi saat menyediakan akses ke pelanggan CSP:

Protect your Microsoft Sentinel intellectual property with CSP customers.

Dalam gambar ini:

  • Pengguna yang diberikan dengan akses Pemilik ke langganan CSP adalah pengguna di grup Agen Admin, di penyewa MSSP Microsoft Entra.

  • Grup lain dari MSSP mendapatkan akses ke lingkungan pelanggan melalui Azure Lighthouse.

  • Akses pelanggan ke sumber daya Azure dikelola oleh Azure RBAC di tingkat grup sumber daya.

    Ini memungkinkan MSSP menyembunyikan komponen Microsoft Azure Sentinel sesuai kebutuhan, seperti Aturan Analytics dan Kueri Berburu.

Untuk mengetahui informasi selengkapnya, lihat juga dokumentasi Azure Lighthouse.

Perjanjian Enterprise (EA)/Bayar sesuai pemakaian (PAYG)

Jika pelanggan Anda membeli langsung dari Microsoft, pelanggan sudah memiliki akses penuh ke lingkungan Azure, dan Anda tidak dapat menyembunyikan apa pun yang ada di langganan Azure pelanggan.

Sebagai gantinya, lindungi kekayaan intelektual Anda yang telah Anda kembangkan di Microsoft Azure Sentinel sebagai berikut, tergantung pada jenis sumber daya yang perlu Anda lindungi:

Aturan analitik dan kueri berburu

Aturan analitik dan kueri perburuan keduanya terkandung dalam Microsoft Sentinel, dan oleh karena itu tidak dapat dipisahkan dari ruang kerja Microsoft Azure Sentinel.

Bahkan jika pengguna hanya memiliki izin Pembaca Microsoft Sentinel, mereka bisa menampilkan kueri. Dalam hal ini, sebaiknya hosting aturan Analitik dan kueri berburu Anda di penyewa MSSP Anda sendiri, bukan penyewa pelanggan.

Untuk melakukan ini, Anda memerlukan ruang kerja di penyewa Anda sendiri dengan Microsoft Sentinel diaktifkan, dan Anda juga perlu melihat ruang kerja pelanggan melalui Azure Lighthouse.

Untuk membuat aturan analitik atau kueri berburu di penyewa MSSP yang mereferensikan data di penyewa pelanggan, Anda harus menggunakan pernyataan workspace sebagai berikut:

workspace('<customer-workspace>').SecurityEvent
| where EventID == ‘4625’

Saat menambahkan pernyataan workspace ke aturan analitik Anda, pertimbangkan hal berikut:

  • Tidak ada pemberitahuan di ruang kerja pelanggan. Aturan yang dibuat dengan cara ini, jangan membuat pemberitahuan atau insiden di ruang kerja pelanggan. Pemberitahuan dan insiden hanya ada di ruang kerja MSSP Anda.

  • Buat pemberitahuan terpisah untuk setiap pelanggan. Saat Anda menggunakan metode ini, kami juga menyarankan Agar Anda menggunakan aturan pemberitahuan terpisah untuk setiap pelanggan dan deteksi, karena pernyataan ruang kerja berbeda dalam setiap kasus.

    Anda dapat menambahkan nama pelanggan ke nama aturan pemberitahuan untuk dengan mudah mengidentifikasi pelanggan tempat pemberitahuan dipicu. Peringatan terpisah dapat menghasilkan sejumlah besar aturan, yang mungkin ingin Anda kelola menggunakan skrip, atau Microsoft Azure Sentinel as Code.

    Contohnya:

    Create separate rules in your MSSP workspace for each customer.

  • Membuat ruang kerja MSSP terpisah untuk setiap pelanggan. Membuat aturan terpisah untuk setiap pelanggan dan deteksi dapat mengakibatkan Anda mencapai jumlah maksimum aturan analitik untuk ruang kerja Anda (512). Jika Anda memiliki banyak pelanggan dan ingin mencapai batas ini, Anda sebaiknya membuat ruang kerja MSSP terpisah untuk setiap pelanggan.

    Contohnya:

    Create a workspace and rules in your MSSP tenant for each customer.

Penting

Kunci agar berhasil menggunakan metode ini adalah menggunakan otomatisasi untuk mengelola banyak kumpulan aturan di seluruh ruang kerja Anda.

Untuk mengetahui informasi selengkapnya, lihat Aturan analitik lintas ruang kerja

Buku kerja

Jika Anda telah mengembangkan buku kerja Microsoft Azure Sentinel yang tidak ingin disalin oleh pelanggan Anda, host buku kerja tersebut di penyewa MSSP Anda. Pastikan Anda memiliki akses ke ruang kerja pelanggan melalui Azure Lighthouse, lalu pastikan untuk memodifikasi buku kerja agar menggunakan ruang kerja pelanggan tersebut.

Contohnya:

Cross-workspace workbooks

Untuk mengetahui informasi selengkapnya, lihat Buku kerja lintas ruang kerja.

Jika Anda ingin pelanggan dapat melihat visualisasi buku kerja sembari merahasiakan kode, sebaiknya ekspor buku kerja ke Power BI.

Mengekspor buku kerja Anda ke Power BI:

  • Mempermudah berbagi visualisasi buku kerja. Anda dapat mengirimkan tautan kepada pelanggan ke dasbor Power BI, tempat mereka dapat melihat data yang dilaporkan tanpa memerlukan izin akses Azure.
  • Mengaktifkan penjadwalan. Mengonfigurasi Power BI untuk secara berkala mengirimkan email yang berisi rekam jepret dasbor pada waktu tersebut.

Untuk mengetahui informasi selengkapnya, lihat Mengimpor data log Azure Monitor ke Power BI.

Pedoman

Anda dapat melindungi playbook dengan cara berikut, bergantung pada di mana aturan analitik yang memicu playbook tersebut dibuat:

  • Aturan analitik yang dibuat di ruang kerja MSSP. Pastikan untuk membuat playbook Anda di penyewa MSSP. Pastikan juga Anda mendapatkan semua data insiden dan pemberitahuan dari ruang kerja MSSP. Anda dapat melampirkan playbook kapan pun Anda membuat aturan baru di ruang kerja.

    Contohnya:

    Rules created in the MSSP workspace.

  • Aturan analitik yang dibuat di ruang kerja pelanggan. Gunakan Azure Lighthouse untuk melampirkan aturan analitik dari ruang kerja pelanggan ke playbook yang dihosting di ruang kerja MSSP Anda. Dalam hal ini, playbook mendapatkan data pemberitahuan dan insiden serta informasi pelanggan lainnya dari ruang kerja pelanggan.

    Contohnya:

    Rules created in the customer workspace.

Dalam kedua kasus, jika playbook perlu mengakses lingkungan Azure pelanggan, gunakan pengguna atau layanan utama yang memiliki akses tersebut melalui Lighthouse.

Namun, jika playbook perlu mengakses sumber daya non-Azure di penyewa pelanggan, seperti ID Microsoft Entra, Office 365, atau Microsoft Defender XDR, buat perwakilan layanan dengan izin yang sesuai di penyewa pelanggan, lalu tambahkan identitas tersebut di playbook.

Catatan

Jika Anda menggunakan aturan otomatisasi bersamaan dengan playbook, Anda harus mengatur izin aturan otomatisasi pada grup sumber daya tempat playbook berada. Untuk mengetahui informasi selengkapnya, lihat Izin untuk aturan otomatisasi untuk menjalankan playbook.

Langkah berikutnya

Untuk informasi selengkapnya, lihat: