Microsoft Sentinel-werkruimten op schaal beheren

  • Artikel
  • 6 minuten om te lezen

Als serviceprovider hebt u mogelijk meerdere tenants van klanten onboarding voor Azure Lighthouse. Azure Lighthouse serviceproviders in één keer bewerkingen op schaal kunnen uitvoeren op verschillende Azure Active Directory(Azure AD)-tenants, waardoor beheertaken efficiënter worden.

Microsoft Sentinel biedt beveiligingsanalyses en bedreigingsinformatie en biedt één oplossing voor waarschuwingsdetectie, zichtbaarheid van bedreigingen, proactieve opsporing en bedreigingsrespons. Met Azure Lighthouse kunt u meerdere Microsoft Sentinel-werkruimten op schaal beheren in tenants. Dit maakt scenario's mogelijk, zoals het uitvoeren van query's in meerdere werkruimten of het maken van werkmappen om gegevens van uw verbonden gegevensbronnen te visualiseren en bewaken om inzichten te verkrijgen. IP-adressen, zoals query's en playbooks, blijven in uw beherende tenant, maar kunnen worden gebruikt om beveiligingsbeheer uit te voeren in de tenants van de klant.

In dit onderwerp vindt u een overzicht van het gebruik van Microsoft Sentinel op een schaalbare manier voor zichtbaarheid tussen tenants en beheerde beveiligingsservices.

Tip

Hoewel we in dit onderwerp verwijzen naar serviceproviders en klanten, geldt deze richtlijn ook voor ondernemingen die gebruikmaken van Azure Lighthouse om meerdere tenants te beheren.

Notitie

U kunt gedelegeerde resources beheren die zich in verschillende regio's bevinden. Delegering van abonnementen in een nationale cloud en de openbare Azure-cloud, of in twee afzonderlijke nationale clouds, wordt echter niet ondersteund.

Architectuuroverwegingen

Voor een beheerde beveiligingsserviceprovider (MSSP) die een Security-as-a-Service-aanbieding wil bouwen met behulp van Microsoft Sentinel, is mogelijk één SoC (Security Operations Center) nodig om meerdere Microsoft Sentinel-werkruimten die zijn geïmplementeerd binnen afzonderlijke klanttentens centraal te bewaken, beheren en configureren. Op dezelfde manier willen ondernemingen met meerdere Azure AD-tenants mogelijk meerdere Microsoft Sentinel-werkruimten die zijn geïmplementeerd in hun tenants centraal beheren.

Dit implementatiemodel heeft de volgende voordelen:

  • Het eigendom van gegevens blijft bij elke beheerde tenant.
  • Ondersteunt vereisten voor het opslaan van gegevens binnen geografische grenzen.
  • Zorgt voor gegevensisolatie, omdat gegevens voor meerdere klanten niet in dezelfde werkruimte worden opgeslagen.
  • Voorkomt gegevens exfiltratie van de beheerde tenants, om ervoor te zorgen dat gegevens worden nageleefd.
  • Gerelateerde kosten worden in rekening gebracht voor elke beheerde tenant, in plaats van voor de beherende tenant.
  • Gegevens van alle gegevensbronnen en gegevensconnectoren die zijn geïntegreerd met Microsoft Sentinel (zoals Azure AD-activiteitenlogboeken, Office 365-logboeken of Microsoft Threat Protection-waarschuwingen) blijven binnen elke tenant van de klant.
  • Vermindert netwerklatentie.
  • Eenvoudig om nieuwe dochterondernemingen of klanten toe te voegen of te verwijderen.
  • Kan een weergave met meerdere werkruimten gebruiken bij het werken via Azure Lighthouse.
  • Als u uw intellectueel eigendom wilt beveiligen, kunt u playbooks en werkmappen gebruiken om te werken in tenants zonder code rechtstreeks met klanten te delen. Alleen analyse- en huntingregels hoeven rechtstreeks in de tenant van elke klant te worden opgeslagen.

Belangrijk

Als alle werkruimten worden gemaakt in tenants van klanten, moeten de resourceproviders Microsoft.SecurityInsights & Microsoft.OperationalInsights ook worden geregistreerd op een abonnement in de beherende tenant.

Een alternatief implementatiemodel is het maken van één Microsoft Sentinel-werkruimte in de beherende tenant. In dit model maakt Azure Lighthouse het verzamelen van logboeken van gegevensbronnen in beheerde tenants mogelijk. Er zijn echter enkele gegevensbronnen die niet kunnen worden verbonden tussen tenants, zoals Microsoft Defender for Cloud. Vanwege deze beperking is dit model niet geschikt voor veel scenario's met serviceproviders.

Gedetailleerd toegangsbeheer op basis van rollen in Azure (Azure RBAC)

Voor elk klantabonnement dat door een MSSP wordt beheert, moet onboarding wordenAzure Lighthouse. Hierdoor kunnen aangewezen gebruikers in de beherende tenant toegang krijgen tot en beheerbewerkingen uitvoeren op Microsoft Sentinel-werkruimten die zijn geïmplementeerd in tenants van klanten.

Wanneer u uw autorisaties maakt, kunt u de ingebouwde rollen van Microsoft Sentinel toewijzen aan gebruikers, groepen of service-principals in uw beherende tenant:

U kunt ook aanvullende ingebouwde rollen toewijzen om aanvullende functies uit te voeren. Zie Machtigingen in Microsoft Sentinel voor informatie over specifieke rollen die kunnen worden gebruikt met Microsoft Sentinel.

Nadat u de onboarding van uw klanten hebt gemaakt, kunnen aangewezen gebruikers zich aanmelden bij uw beheer-tenant en rechtstreeks toegang krijgen tot de Microsoft Sentinel-werkruimte van de klant met de rollen die zijn toegewezen.

Incidenten in werkruimten weergeven en beheren

Als u Microsoft Sentinel-resources voor meerdere klanten beheert, kunt u incidenten in meerdere werkruimten in meerdere tenants tegelijk bekijken en beheren. Zie Werken met incidenten in veel werkruimten tegelijk en Microsoft Sentinel uitbreiden naar werkruimten en tenants voor meer informatie.

Notitie

Zorg ervoor dat aan de gebruikers in uw beherende tenant lees- en schrijfmachtigingen zijn toegewezen voor alle werkruimten die worden beheerd. Als een gebruiker alleen leesmachtigingen heeft voor sommige werkruimten, kunnen waarschuwingsberichten worden weergegeven bij het selecteren van incidenten in die werkruimten en kan de gebruiker deze incidenten of andere incidenten die u met deze werkruimten hebt geselecteerd niet wijzigen (zelfs niet als u machtigingen voor de andere werkruimten hebt).

Playbooks configureren voor risicobeperking

Playbooks kunnen worden gebruikt voor automatische beperking wanneer een waarschuwing wordt geactiveerd. Deze playbooks kunnen handmatig worden uitgevoerd of ze kunnen automatisch worden uitgevoerd wanneer specifieke waarschuwingen worden geactiveerd. De playbooks kunnen worden geïmplementeerd in de tenant voor beheer of in de tenant van de klant, waarbij de responsprocedures zijn geconfigureerd op basis van welke tenantgebruikers actie moeten ondernemen als reactie op een beveiligingsrisico.

Werkmappen voor verschillende tenants maken

Azure Monitor Workbooks in Microsoft Sentinel kunt u gegevens uit uw verbonden gegevensbronnen visualiseren en bewaken om inzichten te verkrijgen. U kunt de ingebouwde werkmapsjablonen in Microsoft Sentinel gebruiken of aangepaste werkmappen maken voor uw scenario's.

U kunt werkmappen implementeren in uw beherende tenant en dashboards op schaal maken om gegevens in tenants van klanten te bewaken en er query's op uit te voeren. Zie Bewaking tussen werkruimten voor meer informatie.

U kunt werkmappen ook rechtstreeks implementeren in een afzonderlijke tenant die u beheert voor scenario's die specifiek zijn voor die klant.

Log Analytics- en hunting-query's uitvoeren in Microsoft Sentinel-werkruimten

Maak en sla Log Analytics-query's voor detectie van bedreigingen centraal op in de beherende tenant, inclusief opsporingsquery's. Deze query's kunnen vervolgens worden uitgevoerd in alle Microsoft Sentinel-werkruimten van uw klanten met behulp van de operator Union en de werkruimte-expressie (). Zie Query's uitvoeren op meerdere werkruimten voor meer informatie.

Automatisering gebruiken voor beheer in werkruimten

U kunt automatisering gebruiken om meerdere Microsoft Sentinel-werkruimten te beheren en hunting-query's, playbooks en werkmappen te configureren. Zie Beheer tussen werkruimten met automatisering voor meer informatie.

De beveiliging van Office 365 bewaken

Gebruik Azure Lighthouse in combinatie met Microsoft Sentinel om de beveiliging van Office 365 omgevingen tussen tenants te bewaken. Eerst moeten out-of-the-box Office 365-gegevensconnectoren worden ingeschakeld in de beheerde tenant, zodat informatie over gebruikers- en beheeractiviteiten in Exchange en SharePoint (inclusief OneDrive) kan worden opgenomen in een Microsoft Sentinel-werkruimte binnen de beheerde tenant. Dit omvat details over acties zoals bestanddownloads, verzonden toegangsaanvragen, wijzigingen in groepsgebeurtenissen en postvakbewerkingen, samen met informatie over de gebruikers die de acties hebben uitgevoerd. Office 365 DLP-waarschuwingen worden ook ondersteund als onderdeel van de ingebouwde Office 365 connector.

Microsoft Defender for Cloud Apps-connector voor het streamen van waarschuwingen en Cloud Discovery logboeken bij Microsoft Sentinel. Dit biedt u inzicht in cloud-apps, biedt geavanceerde analyses voor het identificeren en bestrijden van cyberbedreigingen en helpt u om te bepalen hoe gegevens worden verplaatst. Activiteitenlogboeken voor Defender for Cloud Apps kunnen worden gebruikt met behulp van de Common Event Format (CEF).

Nadat u Office 365-gegevensconnectoren hebt geconfigureerd, kunt u microsoft Sentinel-functies voor verschillende tenants gebruiken, zoals het weergeven en analyseren van de gegevens in werkmappen, het gebruik van query's voor het maken van aangepaste waarschuwingen en het configureren van playbooks om te reageren op bedreigingen.

Intellectueel eigendom beveiligen

Wanneer u met klanten werkt, wilt u mogelijk het intellectueel eigendom beveiligen dat u in Microsoft Sentinel hebt ontwikkeld, zoals Microsoft Sentinel-analyseregels, hunting-query's, playbooks en werkmappen. Er zijn verschillende methoden die u kunt gebruiken om ervoor te zorgen dat klanten geen volledige toegang hebben tot de code die in deze resources wordt gebruikt.

Zie Protecting MSSP intellectual property in Microsoft Sentinel (Intellectueel eigendom van MSSP beveiligen in Microsoft Sentinel) voor meer informatie.

Volgende stappen