Operazioni di sicurezza centralizzate con identità esterne per le organizzazioni di difesa
Questo articolo è destinato alle organizzazioni di difesa multi-tenant con un team centralizzato per le operazioni di sicurezza. Spiega come gestire più tenant e soddisfare i requisiti di zero trust con una singola identità e un dispositivo di accesso con privilegi. Con questa configurazione, gli operatori di sicurezza non necessitano di più account utente, credenziali e workstation per proteggere l'ambiente. L'installazione supporta funzionalità senza attendibilità nei tenant secondari.
Informazioni sui componenti di configurazione
Questo scenario combina Azure Lighthouse, Entra External ID, Entra Privileged Identity Management e la gestione multi-tenant in Microsoft Defender XDR.
Usare Azure Lighthouse per gestire Microsoft Sentinel nei tenant secondari. È necessario usare Azure Lighthouse per gestire le aree di lavoro di Microsoft Sentinel nelle sottoscrizioni collegate ai tenant secondari. Azure Lighthouse consente una gestione multi-tenant, offrendo scalabilità, una maggiore automazione e una migliore governance tra risorse.
Azure Lighthouse consente a un'entità di sicurezza (utente, gruppo o entità servizio) in un tenant di avere un ruolo di Azure per gestire le risorse in un tenant diverso. Con questa configurazione, gli operatori di sicurezza in un tenant primario possono gestire facilmente sia Sentinel che Defender per il cloud tra i tenant.
Nota
Le autorizzazioni per le aree di lavoro di Microsoft Sentinel collegate ai tenant secondari possono essere assegnate agli utenti locali al tenant secondario, agli utenti guest B2B dal tenant primario o direttamente agli utenti tenant primari che usano Azure Lighthouse. Azure Lighthouse è l'opzione consigliata per Sentinel perché consente di estendere le attività tra aree di lavoro oltre i limiti del tenant.
Usare Entra External ID per gestire Microsoft Defender per endpoint nei tenant secondari. Non è possibile usare Azure Lighthouse per condividere Microsoft Defender per endpoint (MDE) tra tenant, quindi è necessario usare identità esterne (guest B2B). Le identità esterne consentono agli operatori di sicurezza nel tenant primario di gestire MDE in un tenant secondario senza accedere con un account o credenziali diversi. L'operatore di sicurezza deve specificare il tenant in uso. Devono includere l'ID tenant nell'URL del portale di Microsoft Defender per specificare il tenant. Gli operatori devono aggiungere un segnalibro ai portali di Microsoft Defender per ogni tenant che devono gestire. Per completare la configurazione, è necessario configurare le impostazioni di accesso tra tenant nel tenant secondario. Impostare le impostazioni di attendibilità in ingresso per considerare attendibile l'autenticazione a più fattori (MFA) e la conformità del dispositivo dal tenant primario. Questa configurazione consente agli utenti guest di gestire MDE senza creare eccezioni per i criteri di accesso condizionale esistenti per i tenant secondari.
Quando si abilita Defender per Server in una sottoscrizione collegata al tenant secondario, l'estensione MDE distribuisce automaticamente e inizia a fornire segnali di sicurezza al servizio MDE. Usa lo stesso tenant secondario. Le autorizzazioni MDE non possono usare Azure Lighthouse. È necessario assegnarli a utenti o gruppi nell'ID Microsoft Entra locale (secondario). È necessario eseguire l'onboarding degli operatori di sicurezza come identità esterne (guest B2B) nel tenant secondario. È quindi possibile aggiungere il guest a un ruolo MDE usando un gruppo di sicurezza Microsoft Entra. Con questa configurazione, un operatore di sicurezza del tenant primario può eseguire azioni di risposta sui server protetti da MDE nel tenant secondario.
Usare Privileged Identity Management.Microsoft Entra Privileged Identity Management (PIM) consente l'elevazione dei ruoli JIT per i ruoli di Azure e Microsoft Entra. PIM per i gruppi estende questa funzionalità all'appartenenza ai gruppi di Microsoft 365 e ai gruppi di sicurezza Microsoft Entra. Dopo aver configurato PIM per i gruppi, è necessario esaminare l'appartenenza attiva e idonea del gruppo con privilegi creando una verifica di accesso di PIM per i gruppi.
Importante
Esistono due modi per usare Entra Privileged Identity Management con Azure Lighthouse. È possibile usare PIM per i gruppi per elevare l'appartenenza a un gruppo di sicurezza Entra con un'autorizzazione permanente configurata in Azure Lighthouse come descritto nella sezione precedente. Un'altra opzione consiste nel configurare Azure Lighthouse con autorizzazioni idonee. Per altre informazioni, vedere Eseguire l'onboarding di un cliente in Azure Lighthouse.
Configurare le operazioni di sicurezza centralizzate
Per configurare operazioni di sicurezza centralizzate per un ambiente multi-tenant, è necessario configurare Azure Lighthouse, Entra External ID e Entra Privileged Identity Management. Un operatore di sicurezza nel tenant primario può usare una singola identità protetta da più tenant. Accedono una sola volta, elevano l'accesso con PIM, monitorano le risorse tra tenant e servizi e rispondono alle minacce nei tenant (vedere la figura 1).
Figura 1. Come configurare le operazioni di sicurezza nelle organizzazioni di difesa multi-tenant.
1. Distribuire Sentinel e abilitare Defender per il cloud. Creare un'area di lavoro di Microsoft Sentinel nelle sottoscrizioni associate a ogni tenant. Configurare i connettori dati pertinenti e abilitare le regole di analisi. Abilitare Defender per il cloud protezione avanzata dei carichi di lavoro per carichi di lavoro ospitati, tra cui Defender per Server, in tutti gli ambienti di Azure e connettere Defender per il cloud a Microsoft Sentinel.
2. Configurare PIM per le operazioni di sicurezza di Azure. Creare un gruppo assegnabile a ruoli (Azure SecOps nella figura 1) e assegnare in modo permanente il gruppo ai ruoli di Azure necessari agli operatori di sicurezza. L'esempio usa Collaboratore e Lettore di sicurezza di Microsoft Sentinel, ma è anche possibile prendere in considerazione Collaboratore app per la logica e altri ruoli necessari. Configurare PIM per i gruppi per assegnare gli operatori di sicurezza come idonei per il gruppo SecOps di Azure. Questo approccio consente all'operatore di sicurezza di elevare l'accesso per tutti i ruoli necessari in una richiesta PIM. Configurare assegnazioni di ruolo permanenti per l'accesso in lettura, se necessario.
3. Configurare PIM per le operazioni di sicurezza XDR di Microsoft Defender. Creare un gruppo assegnabile di ruolo (gruppo di ruoli di Microsoft 365 nella figura 1) per l'assegnazione delle autorizzazioni XDR di Microsoft Defender. Creare quindi un ruolo PIM per il gruppo di ruoli di Microsoft 365 e assegnare l'idoneità per l'operatore di sicurezza. Se non si vogliono gestire più ruoli, è possibile usare lo stesso gruppo (Azure SecOps) configurato nel passaggio 1 per assegnare le autorizzazioni di Microsoft Defender XDR e i ruoli di Azure.
4. Configurare Azure Lighthouse. Usare Azure Lighthouse per assegnare i ruoli di Azure per le sottoscrizioni delle risorse di Azure tenant secondario. Usare l'ID oggetto del gruppo SecOps di Azure e l'ID tenant del tenant primario. Nell'esempio riportato nella figura 1 vengono usati i ruoli Risponditore di Microsoft Sentinel e Ruolo con autorizzazioni di lettura per la sicurezza. Configurare assegnazioni di ruolo permanenti usando Azure Lighthouse per fornire l'accesso in lettura permanente, se necessario.
5. Configurare l'accesso utente esterno nel tenant secondario. Usare la gestione entitlement per configurare lo scenario avviato dall'utente finale o usare un invito guest per portare gli operatori di sicurezza del tenant primario come identità esterne nel tenant secondario. Configurare le impostazioni di accesso tra tenant nel tenant secondario sono configurate per considerare attendibili le attestazioni di autenticazione a più fattori e conformità dei dispositivi dal tenant primario. Creare un gruppo assegnabile di ruolo (gruppo di ruoli di Microsoft 365 nella figura 1), assegnare le autorizzazioni Microsoft Defender per endpoint e configurare un ruolo PIM seguendo lo stesso processo del passaggio 2.
Gestire le operazioni di sicurezza centralizzate
Gli operatori di sicurezza necessitano di account e accesso idoneo per proteggere l'ambiente e rispondere alle minacce. Gli operatori di sicurezza devono conoscere i ruoli per cui sono idonei e come elevare le autorizzazioni usando Microsoft Entra PIM. Per Microsoft Defender per endpoint (MDE), è necessario sapere come passare da un tenant all'altro per cercare e rispondere alle minacce tramite MDE.
Gli operatori di sicurezza usano la configurazione delle operazioni di sicurezza multi-tenant (vedere la figura 1) per proteggere più tenant. Possono monitorare, analizzare e rispondere alle minacce in Microsoft 365 e Azure nei tenant di Microsoft Entra (vedere la figura 2).
Figura 2. Come usare una configurazione delle operazioni di sicurezza multi-tenant.
1. Richiedere Sentinel e Defender per l'accesso al cloud. L'operatore di sicurezza deve accedere al portale di Azure per richiedere e attivare il ruolo SecOps di Azure usando PIM. Quando il ruolo è attivo, può accedere a Microsoft Sentinel e Defender per il cloud.
2. Usare Sentinel tra aree di lavoro e tenant. Quando il ruolo SecOps di Azure è attivo, l'operatore di sicurezza può passare a Microsoft Sentinel ed eseguire operazioni tra i tenant. È possibile configurare Microsoft Defender XDR e Defender per il cloud connettori dati per le istanze di Sentinel nel tenant primario e nel tenant secondario. Quando si configura Azure Lighthouse per il ruolo SecOps di Azure, l'operatore di sicurezza può visualizzare tutti gli avvisi di Sentinel, eseguire query tra aree di lavoro e gestire eventi imprevisti e indagini in tutti i tenant.
3. Usare il portale di Microsoft Defender nel tenant primario per rispondere alle minacce alla workstation. Quando l'operatore di sicurezza deve accedere a Microsoft Defender XDR, usa Microsoft Entra PIM per attivare il ruolo di Microsoft 365. Questa appartenenza al gruppo assegna le autorizzazioni necessarie per rispondere alle minacce alla sicurezza nei dispositivi workstation gestiti da Intune e di cui è stato eseguito l'onboarding in MDE nel tenant primario. L'operatore di sicurezza usa il portale di Microsoft Defender per eseguire un'azione di risposta e isolare una workstation.
4. Usare il portale di Microsoft Defender nel tenant secondario per rispondere alle minacce al server. Quando gli operatori di sicurezza devono rispondere alle minacce rilevate da MDE per i server nelle sottoscrizioni tenant secondarie, devono usare Microsoft Defender per il tenant secondario. La gestione multi-tenant in Microsoft Defender XDR semplifica questo processo e può presentare una visualizzazione combinata di Microsoft Defender XDR in tutti i tenant. L'operatore deve elevare l'accesso MDE nel tenant secondario prima di poter avviare un'azione di risposta. L'operatore di sicurezza deve accedere ai portali di Azure o Entra e passare alla directory del tenant secondario. Successivamente, l'operatore di sicurezza deve usare PIM per attivare il gruppo di ruoli di Microsoft 365. Quando il ruolo è attivo, l'operatore può passare al portale di Microsoft Defender. Da qui, l'operatore di sicurezza può avviare una risposta in tempo reale per raccogliere i log dal server o eseguire altre azioni di risposta MDE.
5. Usare Lighthouse per gestire Defender per il cloud tra tenant. L'operatore di sicurezza deve controllare Defender per il cloud raccomandazioni. L'operatore deve usare il portale di Azure per ripristinare le directory nel tenant primario. Azure Lighthouse consente all'operatore di sicurezza di trovare le risorse di Azure del tenant secondario dal tenant primario. Defender per il cloud potrebbero mostrare diverse raccomandazioni. Queste raccomandazioni potrebbero abilitare l'accesso jite alle macchine virtuali e le porte di gestione accessibili tramite Internet. In questo scenario, l'operatore di sicurezza non ha il ruolo di Azure per implementare Defender per il cloud raccomandazioni. L'operatore di sicurezza deve contattare il team di gestione dell'infrastruttura tenant secondario per correggere la vulnerabilità. L'operatore di sicurezza deve anche assegnare Criteri di Azure per impedire la distribuzione di macchine virtuali con porte di gestione esposte.
Altri modelli di operazioni di sicurezza
Il modello di gestione presentato in questo articolo è uno dei molti modelli possibili usando una combinazione di identità esterne e Azure Lighthouse. L'organizzazione potrebbe decidere di implementare un modello diverso che soddisfi meglio le esigenze degli operatori di sicurezza.