Расширение Microsoft Sentinel на рабочие области и арендаторы

  • Статья

При подключении Microsoft Sentinel прежде всего необходимо выбрать рабочую область Log Analytics. Хотя вы можете использовать все возможности Microsoft Sentinel с одной рабочей областью, в некоторых случаях может потребоваться расширить рабочую область, чтобы запрашивать и анализировать данные в нескольких рабочих областях и клиентах. Узнайте больше о том, как Microsoft Sentinel может расширяться в нескольких рабочих областях.

Управление инцидентами в нескольких рабочих областях

Microsoft Sentinel поддерживает представление инцидентов с несколькими рабочими областями, в котором можно централизованно управлять инцидентами в нескольких рабочих областях и отслеживать их. Централизованное представление инцидентов позволяет напрямую управлять ими или прозрачно детализировать инциденты до получения данных об инциденте в контексте исходной рабочей области.

Запрос нескольких рабочих областей

Вы можете выполнять запросы к нескольким рабочим областям, чтобы осуществлять сопоставление и поиск данных из нескольких рабочих областей в одном запросе.

  • workspace( ) Используйте выражение с идентификатором рабочей области в качестве аргумента, чтобы ссылаться на таблицу в другой рабочей области.

    • Ознакомьтесь с важными сведениями об использовании форматов идентификаторов, чтобы обеспечить правильную производительность.

  • Используйте оператор объединения вместе с workspace( ) выражением, чтобы применить запрос к таблицам в нескольких рабочих областях.

  • Для упрощения запросов между рабочими областями можно использовать сохраненные функции. Например, можно сократить длинную ссылку на таблицу SecurityEvent в рабочей области Customer A, сохранив выражение.

    workspace("/subscriptions/<customerA_subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName>").SecurityEvent

    в качестве функции, называемой SecurityEventCustomerA. Затем вы можете запросить таблицу SecurityEvent customer A с помощью этой функции: SecurityEventCustomerA | where ...

  • Функция также может упростить часто используемое объединение. Например, можно сохранить следующее выражение как функцию с именем unionSecurityEvent:

    union 
workspace("/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName1>").SecurityEvent, 
workspace("/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName2>").SecurityEvent

    Затем можно создавать запрос в обеих рабочих областях, начиная с unionSecurityEvent | where ....

Включение запросов между рабочими областями в правилах запланированной аналитики

Запросы между рабочими областями можно включить в правила запланированной аналитики. Правила аналитики для нескольких рабочих областей можно использовать в центральном SOC, а также между клиентами (с помощью Azure Lighthouse), подходящими для MSSP. Это использование распространяется на следующие ограничения:

  • В один запрос можно включить до 20 рабочих областей. Однако для хорошей производительности рекомендуется включать не более 5.
  • Microsoft Sentinel необходимо развернуть в каждой рабочей области, на которую ссылается запрос.
  • Оповещения, созданные правилом аналитики нескольких рабочих областей, и инциденты, созданные на их основе, существуют только в рабочей области, в которой определено правило. Оповещения не будут отображаться в других рабочих областях, на которые ссылается запрос.
  • Правило аналитики между рабочими областями, как и любое правило аналитики, продолжит работать, даже если пользователь, создавший правило, теряет доступ к рабочим областям, на которые ссылается запрос правила. Единственным исключением из этого является случай с рабочими областями в разных подписках и (или) клиентах, отличных от правила аналитики.

Оповещения и инциденты, созданные правилами аналитики для нескольких рабочих областей, будут содержать все связанные сущности, в том числе связанные сущности из всех рабочих областей, на которые присутствуют ссылки, а также из "домашней" рабочей области (в которой определено правило). Это позволит аналитикам получить полную картину оповещений и инцидентов.

Примечание.

Обращение к нескольким рабочим областям в одном запросе может повлиять на производительность, поэтому рекомендуется использовать его, только если эти функциональные возможности требуются логикой.

Использование книг между рабочими областями

Книги предоставляют панели мониторинга и приложения для Microsoft Sentinel. При работе с несколькими рабочими областями книги позволяют выполнять действия в рабочих областях, а также осуществлять мониторинг рабочих областей.

Для выполнения запросов к нескольким рабочим областям в книгах может использоваться один из трех способов, в зависимости от уровня опыта конечного пользователя:

Способ Описание Когда использовать?
Создание запросов к нескольким рабочим областям Создатель книги может создавать в книге запросы к нескольким рабочим областям (описанные выше). Я хочу, чтобы создатель книги создал структуру рабочей области, которая является прозрачной для пользователя.
Добавление в книгу селектора рабочей области Создатель книги может реализовать селектор рабочей области в составе книги. Я хочу разрешить пользователю управлять рабочими областями, отображаемыми в книге, с помощью простого раскрывающегося списка.
Интерактивное редактирование книги Опытный пользователь может, изменяя существующую книгу, редактировать запросы в ней, выбирая в редакторе целевые рабочие области с помощью селектора рабочей области. Я хочу разрешить опытному пользователю легко изменять существующие книги для работы с несколькими рабочими областями.

Поиск между несколькими рабочими областями

Microsoft Sentinel предоставляет предварительно загруженные примеры запросов, предназначенные для начала работы и знакомства с таблицами и языком запросов. Исследователи по безопасности Майкрософт постоянно добавляют новые встроенные запросы и уточняют существующие запросы. Эти запросы можно использовать для определения новых ситуаций вторжения и выявления признаков вторжения, которые могли пропустить средства обеспечения безопасности.

Возможности поиска в нескольких рабочих областях позволяют соответствующим специалистам создавать новые или адаптировать существующие запросы поиска, чтобы охватить несколько рабочих областей, с помощью оператора union и выражения workspace(), как показано выше.

Управление несколькими рабочими областями с помощью автоматизации

Для настройки нескольких рабочих областей Microsoft Sentinel и управления ими необходимо автоматизировать использование API управления Microsoft Sentinel.

Управление рабочими областями в клиентах с помощью Azure Lighthouse

Как упоминание выше, во многих сценариях различные рабочие области Microsoft Sentinel могут находиться в разных клиентах Microsoft Entra. Можно использовать Azure Lighthouse, чтобы расширить все действия с несколькими рабочими областями на несколько клиентов, что позволяет пользователям вашего управляемого клиента работать в рабочих областях Microsoft Sentinel всех клиентов.

После подключения Azure Lighthouse используйте каталог + селектор подписки на портале Azure, чтобы выбрать все подписки, содержащие рабочие области, которыми требуется управлять, гарантируя их доступность в разных селекторах рабочих областей на портале.

При использовании Azure Lighthouse рекомендуется создать группу для каждой роли Microsoft Sentinel и делегировать в эти группы разрешения из каждого клиента.

Следующие шаги

В этой статье вы узнали, как расширить возможности Microsoft Sentinel на несколько рабочих областей и клиентов. Практические рекомендации по реализации архитектуры Microsoft Sentinel для нескольких рабочих областей см. в следующих статьях: