Centraliserade säkerhetsåtgärder med externa identiteter för försvarsorganisationer
Den här artikeln gäller för försvarsorganisationer med flera klientorganisationer med ett centraliserat säkerhetsåtgärdsteam. Den förklarar hur du kan hantera flera klienter och uppfylla noll förtroendekrav med en enda identitet och privilegierad åtkomstenhet. Med den här konfigurationen behöver säkerhetsoperatorer inte flera användarkonton, autentiseringsuppgifter och arbetsstationer för att skydda din miljö. Konfigurationen stöder noll förtroendefunktioner i sekundära klientorganisationer.
Förstå konfigurationskomponenter
Det här scenariot kombinerar Azure Lighthouse, Externt ID för Entra, Entra Privileged Identity Management och hantering av flera klientorganisationer i Microsoft Defender XDR.
Använd Azure Lighthouse för att hantera Microsoft Sentinel i sekundära klienter. Du måste använda Azure Lighthouse för att hantera Microsoft Sentinel-arbetsytor i prenumerationer som är kopplade till sekundära klienter. Azure Lighthouse möjliggör hantering av flera klientorganisationer med skalbarhet, högre automatisering och förbättrad styrning mellan resurser.
Med Azure Lighthouse kan ett säkerhetsobjekt (användare, grupp eller tjänstens huvudnamn) i en klientorganisation ha en Azure-roll för att hantera resurser i en annan klientorganisation. Med den här konfigurationen kan säkerhetsoperatorer i en primär klientorganisation smidigt hantera både Sentinel och Defender för molnet mellan klienter.
Kommentar
Behörigheter för Microsoft Sentinel-arbetsytor som är kopplade till sekundära klientorganisationer kan tilldelas till användare som är lokala för den sekundära klientorganisationen, B2B-gästanvändare från den primära klientorganisationen eller direkt till primära klientanvändare som använder Azure Lighthouse. Azure Lighthouse är det rekommenderade alternativet för Sentinel eftersom du kan utöka aktiviteter mellan arbetsytor över klientorganisationsgränser.
Använd ett externt Entra-ID för att hantera Microsoft Defender för Endpoint i sekundära klienter. Du kan inte använda Azure Lighthouse för att dela Microsoft Defender för Endpoint (MDE) mellan klienter, så du måste använda externa identiteter (B2B-gäster). Med externa identiteter kan säkerhetsoperatorer i den primära klientorganisationen hantera MDE i en sekundär klientorganisation utan att logga in med ett annat konto eller autentiseringsuppgifter. Säkerhetsoperatören måste ange den klientorganisation som de använder. De bör innehålla klientorganisations-ID:t i Url:en för Microsoft Defender-portalen för att ange klientorganisationen. Dina operatorer bör bokmärka Microsoft Defender-portalerna för varje klientorganisation som de behöver hantera. För att slutföra installationen måste du konfigurera åtkomstinställningar mellan klientorganisationer i den sekundära klientorganisationen. Ange inställningarna för inkommande förtroende för att lita på multifaktorautentisering (MFA) och enhetsefterlevnad från den primära klientorganisationen. Med den här konfigurationen kan gästanvändare hantera MDE utan att skapa undantag för befintliga principer för villkorlig åtkomst för sekundära klienter.
När du aktiverar Defender för Server i en prenumeration som är länkad till den sekundära klientorganisationen distribueras MDE-tillägget automatiskt och börjar tillhandahålla säkerhetssignaler till MDE-tjänsten. Den använder samma sekundära klientorganisation. MDE-behörigheter kan inte använda Azure Lighthouse. Du måste tilldela dem till användare eller grupper i det lokala (sekundära) Microsoft Entra-ID:t. Du måste registrera säkerhetsoperatorer som externa identiteter (B2B-gäster) i den sekundära klientorganisationen. Sedan kan du lägga till gästen i en MDE-roll med hjälp av en Microsoft Entra-säkerhetsgrupp. Med den här konfigurationen kan en primär klientorganisationssäkerhetsoperator vidta svarsåtgärder på servrar som skyddas av MDE i den sekundära klientorganisationen.
Använd Privileged Identity Management.Microsoft Entra Privileged Identity Management (PIM) möjliggör just-in-time-rollhöjning för Azure- och Microsoft Entra-roller. PIM för grupper utökar den här funktionen till gruppmedlemskap för Microsoft 365-grupper och Microsoft Entra-säkerhetsgrupper. När du har konfigurerat PIM för grupper måste du granska aktivt och berättigat medlemskap i den privilegierade gruppen genom att skapa en åtkomstgranskning av PIM för grupper.
Viktigt!
Det finns två sätt att använda Entra Privileged Identity Management med Azure Lighthouse. Du kan använda PIM för grupper för att höja medlemskapet till en Entra-säkerhetsgrupp med en permanent auktorisering som konfigurerats i Azure Lighthouse enligt beskrivningen i föregående avsnitt. Ett annat alternativ är att konfigurera Azure Lighthouse med berättigade auktoriseringar. Mer information finns i Publicera en kund till Azure Lighthouse.
Konfigurera centraliserade säkerhetsåtgärder
Om du vill konfigurera centraliserade säkerhetsåtgärder för en miljö med flera klientorganisationer måste du konfigurera Azure Lighthouse, Externt ID för Entra och Entra Privileged Identity Management. En säkerhetsoperator i den primära klientorganisationen kan använda en enda identitet som skyddar flera klientorganisationer. De loggar in en gång, höjer sin åtkomst med PIM, övervakar resurser mellan klienter och tjänster och svarar på hot mellan klienter (se bild 1).
Bild 1. Så här konfigurerar du säkerhetsåtgärder i försvarsorganisationer med flera klientorganisationer.
1. Distribuera Sentinel och aktivera Defender för molnet. Skapa en Microsoft Sentinel-arbetsyta i prenumerationer som är associerade med varje klientorganisation. Konfigurera relevanta dataanslutningar och aktivera analysregler. Aktivera Defender för molnet förbättrat arbetsbelastningsskydd för värdbaserade arbetsbelastningar, inklusive Defender för Server, i alla Azure-miljöer och anslut Defender för molnet till Microsoft Sentinel.
2. Konfigurera PIM för Azure-säkerhetsåtgärder. Skapa en rolltilldelningsbar grupp (Azure SecOps i bild 1) och tilldela gruppen permanent till Azure-roller som säkerhetsoperatörerna behöver. I exemplet används Microsoft Sentinel-deltagare och säkerhetsläsare, men du kan också överväga Logic App-deltagare och andra roller som de behöver. Konfigurera PIM för grupper för att tilldela säkerhetsoperatörer som berättigade till Azure SecOps-gruppen. Med den här metoden kan säkerhetsoperatören höja åtkomsten för alla roller de behöver i en PIM-begäran. Konfigurera permanenta rolltilldelningar för läsåtkomst om det behövs.
3. Konfigurera PIM för Microsoft Defender XDR-säkerhetsåtgärder. Skapa en rolltilldelningsbar grupp (Microsoft 365-rollgrupp i bild 1) för att tilldela Microsoft Defender XDR-behörigheter. Skapa sedan en PIM-roll för Microsoft 365-rollgruppen och tilldela behörighet för säkerhetsoperatören. Om du inte vill hantera flera roller kan du använda samma grupp (Azure SecOps) som du konfigurerade i steg 1 för att tilldela Microsoft Defender XDR-behörigheter och Azure-roller.
4. Konfigurera Azure Lighthouse. Använd Azure Lighthouse för att tilldela Azure-roller för azure-resursprenumerationer för sekundär klientorganisation. Använd objekt-ID för Azure SecOps-gruppen och klientorganisations-ID:t för den primära klientorganisationen. Exemplet i bild 1 använder rollerna Microsoft Sentinel Responder och Security Reader . Konfigurera permanenta rolltilldelningar med hjälp av Azure Lighthouse för att ge permanent läsåtkomst om det behövs.
5. Konfigurera extern användaråtkomst i den sekundära klientorganisationen. Använd berättigandehantering för att konfigurera ett slutanvändarinitierat scenario eller använd en gästinbjudan för att använda primära klientorganisationssäkerhetsoperatorer som externa identiteter i den sekundära klientorganisationen. Konfigurera åtkomstinställningar mellan klientorganisationer i den sekundära klientorganisationen är konfigurerade för att lita på MFA- och enhetsefterlevnadsanspråk från den primära klientorganisationen. Skapa en rolltilldelningsbar grupp (Microsoft 365-rollgrupp i bild 1), tilldela Microsoft Defender för endpoint-behörigheter och konfigurera en PIM-roll efter samma process som steg 2.
Hantera centraliserade säkerhetsåtgärder
Säkerhetsoperatörer behöver konton och berättigad åtkomst för att skydda miljön och svara på hot. Säkerhetsoperatorer bör veta vilka roller de är berättigade till och hur de ska höja sina behörigheter med hjälp av Microsoft Entra PIM. För Microsoft Defender för Endpoint (MDE) måste de veta hur de växlar mellan klienter för att jaga och svara på hot med hjälp av MDE.
Säkerhetsoperatorer använder konfigurationen av säkerhetsåtgärder för flera klienter (se bild 1) för att skydda flera klienter. De kan övervaka, undersöka och svara på hot i Microsoft 365 och Azure i Microsoft Entra-klienter (se bild 2).
Bild 2. Så här använder du en installation av säkerhetsåtgärder med flera klientorganisationer.
1. Begär Sentinel och Defender för molnåtkomst. Säkerhetsoperatören måste logga in på Azure-portalen för att begära och aktivera Azure SecOps-rollen med hjälp av PIM. När deras roll är aktiv kan de komma åt Microsoft Sentinel och Defender för molnet.
2. Använd Sentinel mellan arbetsytor och klientorganisationer. När deras Azure SecOps-roll är aktiv kan säkerhetsoperatören navigera till Microsoft Sentinel och utföra åtgärder mellan klienter. Du konfigurerar Microsoft Defender XDR och Defender för molnet dataanslutningar för Sentinel-instanserna i den primära klientorganisationen och den sekundära klientorganisationen. När du konfigurerar Azure Lighthouse för Azure SecOps-rollen kan säkerhetsoperatören se alla Sentinel-aviseringar, fråga mellan arbetsytor och hantera incidenter och undersökningar för alla klienter.
3. Använd Microsoft Defender-portalen i den primära klientorganisationen för att svara på hot mot arbetsstationer. När säkerhetsoperatören behöver åtkomst till Microsoft Defender XDR använder de Microsoft Entra PIM för att aktivera sin Microsoft 365-roll. Det här gruppmedlemskapet tilldelar behörigheter som krävs för att svara på säkerhetshoten på arbetsstationsenheter som hanteras av Intune och registreras i MDE i den primära klientorganisationen. Säkerhetsoperatören använder Microsoft Defender-portalen för att vidta en svarsåtgärd och isolera en arbetsstation.
4. Använd Microsoft Defender-portalen i den sekundära klientorganisationen för att svara på serverhot. När säkerhetsoperatorer behöver svara på hot som identifierats av MDE för servrar i sekundära klientprenumerationer måste de använda Microsoft Defender för den sekundära klientorganisationen. Multitenanthantering i Microsoft Defender XDR förenklar den här processen och kan visa en kombinerad vy över Microsoft Defender XDR för alla klienter. Operatorn måste höja sin MDE-åtkomst i den sekundära klientorganisationen innan de kan initiera en svarsåtgärd. Säkerhetsoperatorn måste logga in på antingen Azure- eller Entra-portalerna och växla till den sekundära klientkatalogen. Därefter måste säkerhetsoperatorn använda PIM för att aktivera Microsoft 365-rollgruppen. När rollen är aktiv kan operatorn navigera till Microsoft Defender-portalen. Härifrån kan säkerhetsoperatören initiera ett livesvar för att samla in loggar från servern eller utföra andra MDE-svarsåtgärder.
5. Använd Lighthouse för att hantera Defender för molnet mellan klienter. Säkerhetsoperatören bör kontrollera Defender för molnet rekommendationer. Operatören måste använda Azure-portalen för att växla kataloger tillbaka till den primära klientorganisationen. Med Azure Lighthouse kan säkerhetsoperatorn hitta azure-resurser för sekundär klientorganisation från den primära klientorganisationen. Defender för molnet kan visa flera rekommendationer. De här rekommendationerna kan vara att aktivera just-in-time-åtkomst till virtuella datorer och hanteringsportarna som är tillgängliga via Internet. I det här scenariot har inte säkerhetsoperatorn Azure-rollen för att implementera Defender för molnet rekommendationer. Säkerhetsoperatören måste kontakta den sekundära klientorganisationens infrastrukturhanteringsteam för att åtgärda säkerhetsrisken. Säkerhetsoperatören måste också tilldela Azure Policy för att förhindra distribution av virtuella datorer med exponerade hanteringsportar.
Andra mönster för säkerhetsåtgärder
Hanteringsmönstret som presenteras i den här artikeln är ett av många möjliga mönster med hjälp av en kombination av externa identiteter och Azure Lighthouse. Din organisation kan välja att implementera ett annat mönster som bättre uppfyller behoven hos dina säkerhetsoperatörer.