Hantera Microsoft Sentinel-arbetsytor i stor skala
Som tjänstleverantör kan du ha registrerat flera kundklienter för att Azure Lighthouse. Azure Lighthouse tjänstleverantörer kan utföra åtgärder i stor skala över flera Azure Active Directory (Azure AD)-klienter samtidigt, vilket gör hanteringsuppgifterna mer effektiva.
Microsoft Sentinel levererar säkerhetsanalys och hotinformation, vilket ger en enda lösning för aviseringsidentifiering, hotsynlighet, proaktiv jakt och hotsvar. Med Azure Lighthouse kan du hantera flera Microsoft Sentinel-arbetsytor mellan klienter i stor skala. Detta möjliggör scenarier som att köra frågor över flera arbetsytor eller skapa arbetsböcker för att visualisera och övervaka data från dina anslutna datakällor för att få insikter. IP-adresser som frågor och spelböcker finns kvar i din hanterande klientorganisation, men kan användas för att utföra säkerhetshantering i kundens klientorganisation.
Det här avsnittet innehåller en översikt över hur du använder Microsoft Sentinel på ett skalbart sätt för synlighet mellan klienter och hanterade säkerhetstjänster.
Tips
Även om vi refererar till tjänstleverantörer och kunder i det här avsnittet gäller den här vägledningen även för företag som använder Azure Lighthouse för att hantera flera klienter.
Anteckning
Du kan hantera delegerade resurser som finns i olika regioner. Delegering av prenumerationer i ett nationellt moln och det offentliga Azure-molnet, eller mellan två separata nationella moln, stöds dock inte.
Arkitekturöverväganden
För en leverantör av hanterade säkerhetstjänster (MSSP) som vill skapa ett erbjudande för säkerhet som en tjänst med microsoft Sentinel kan ett enda säkerhetsdriftscenter (SOC) behövas för att centralt övervaka, hantera och konfigurera flera Microsoft Sentinel-arbetsytor som distribueras i enskilda kundklienter. På samma sätt kanske företag med flera Azure AD-klientorganisationsklienter centralt vill hantera flera Microsoft Sentinel-arbetsytor som distribuerats i deras klientorganisation.
Den här distributionsmodellen har följande fördelar:
- Ägarskapet för data förblir hos varje hanterad klientorganisation.
- Stöder krav för att lagra data inom geografiska gränser.
- Säkerställer dataisolering eftersom data för flera kunder inte lagras på samma arbetsyta.
- Förhindrar data exfiltrering från de hanterade klienterna, vilket hjälper till att säkerställa dataefterlevnad.
- Relaterade kostnader debiteras till varje hanterad klientorganisation i stället för den hanterande klientorganisationen.
- Data från alla datakällor och dataanslutningar som är integrerade med Microsoft Sentinel (till exempel Azure AD-aktivitetsloggar, Office 365-loggar eller Microsoft Threat Protection-aviseringar) finns kvar i varje kundklientorganisation.
- Minskar nätverksfördröjningen.
- Enkelt att lägga till eller ta bort nya dotterbolag eller kunder.
- Kan använda en vy för flera arbetsytor när du arbetar Azure Lighthouse.
- För att skydda din immateriella egendom kan du använda spelböcker och arbetsböcker för att arbeta mellan klienter utan att dela kod direkt med kunder. Endast analys- och jaktregler behöver sparas direkt i varje kunds klientorganisation.
Viktigt
Om alla arbetsytor skapas i kundklienter måste Microsoft.SecurityInsights & Microsoft.OperationalInsights-resursproviders också registreras för en prenumeration i den hanterande klientorganisationen.
En alternativ distributionsmodell är att skapa en Microsoft Sentinel-arbetsyta i den hanterande klientorganisationen. I den här Azure Lighthouse logginsamling från datakällor mellan hanterade klienter. Det finns dock vissa datakällor som inte kan anslutas mellan klientorganisationen, till exempel Microsoft Defender för molnet. På grund av den här begränsningen är den här modellen inte lämplig för många tjänstleverantörsscenarier.
Detaljerad rollbaserad åtkomstkontroll i Azure (Azure RBAC)
Varje kundprenumeration som en MSSP hanterar måste publiceras till Azure Lighthouse. Detta gör att utsedda användare i den hanterande klientorganisationen kan komma åt och utföra hanteringsåtgärder på Microsoft Sentinel-arbetsytor som distribueras i kundklienter.
När du skapar dina auktoriseringar kan du tilldela de inbyggda Microsoft Sentinel-rollerna till användare, grupper eller tjänsthuvudnamn i din hanterande klientorganisation:
Du kanske också vill tilldela ytterligare inbyggda roller för att utföra ytterligare funktioner. Information om specifika roller som kan användas med Microsoft Sentinel finns i Behörigheter i Microsoft Sentinel.
När du har publicerat dina kunder kan utsedda användare logga in på din hanterande klientorganisation och få direkt åtkomst till kundens Microsoft Sentinel-arbetsyta med de roller som har tilldelats.
Visa och hantera incidenter mellan arbetsytor
Om du hanterar Microsoft Sentinel-resurser för flera kunder kan du visa och hantera incidenter på flera arbetsytor över flera klienter samtidigt. Mer information finns i Arbeta med incidenter i många arbetsytor samtidigt och Utöka Microsoft Sentinel mellan arbetsytor och klienter.
Anteckning
Se till att användarna i din hanterande klientorganisation har tilldelats läs- och skrivbehörighet för alla arbetsytor som hanteras. Om en användare bara har läsbehörighet på vissa arbetsytor kan varningsmeddelanden visas när du väljer incidenter i dessa arbetsytor och användaren kan inte ändra dessa incidenter eller andra som du har valt med dem (även om du har behörighet för de andra).
Konfigurera spelböcker för åtgärd
Spelböcker kan användas för automatisk minskning när en avisering utlöses. Dessa spelböcker kan köras manuellt, eller så kan de köras automatiskt när specifika aviseringar utlöses. Spelböckerna kan distribueras antingen i den hanterande klientorganisationen eller kundens klientorganisation, med de svarsprocedurer som konfigurerats baserat på vilka klientorganisationens användare måste vidta åtgärder som svar på ett säkerhetshot.
Skapa arbetsböcker mellan klienter
Azure Monitor arbetsböcker i Microsoft Sentinel hjälper dig att visualisera och övervaka data från dina anslutna datakällor för att få insikter. Du kan använda de inbyggda arbetsboksmallarna i Microsoft Sentinel eller skapa anpassade arbetsböcker för dina scenarier.
Du kan distribuera arbetsböcker i din hanterande klientorganisation och skapa instrumentpaneler i stor skala för att övervaka och fråga efter data mellan kundklienter. Mer information finns i Övervakning mellan arbetsytor.
Du kan också distribuera arbetsböcker direkt i en enskild klientorganisation som du hanterar för scenarier som är specifika för den kunden.
Köra Log Analytics- och jaktfrågor på Microsoft Sentinel-arbetsytor
Skapa och spara Log Analytics-frågor för hotidentifiering centralt i den hanterande klientorganisationen, inklusive jaktfrågor. Dessa frågor kan sedan köras på alla dina kunders Microsoft Sentinel-arbetsytor med hjälp av Union-operatorn och arbetsytans () uttryck. Mer information finns i Frågor mellan arbetsytor.
Använda automatisering för hantering av flera arbetsytor
Du kan använda automatisering för att hantera flera Microsoft Sentinel-arbetsytor och konfigurerajaktfrågor, spelböcker och arbetsböcker. Mer information finns i Hantering av flera arbetsytor med hjälp av automation.
Övervaka säkerheten för Office 365 miljöer
Använd Azure Lighthouse tillsammans med Microsoft Sentinel för att övervaka säkerheten för Office 365 miljöer mellan klienter. För det första måste du ha aktiverat Office 365-dataanslutningsappar i den hanterade klientorganisationen så att information om användar- och administratörsaktiviteter i Exchange och SharePoint (inklusive OneDrive) kan matas in på en Microsoft Sentinel-arbetsyta i den hanterade klientorganisationen. Detta omfattar information om åtgärder som filnedladdningar, skickade åtkomstbegäranden, ändringar av grupphändelser och postlådeåtgärder samt information om de användare som utförde åtgärderna. Office 365 DLP-aviseringar stöds också som en del av den inbyggda Office 365 anslutningsappen.
Microsoft Defender för Cloud Apps-anslutningsprogram för att strömma aviseringar Cloud Discovery loggar till Microsoft Sentinel. Detta ger dig insyn i molnappar, ger avancerade analyser för att identifiera och bekämpa cyberhot och hjälper dig att styra hur data färdas. Aktivitetsloggar för Defender for Cloud Apps kan användas med hjälp av Common Event Format (CEF).
När du har konfigurerat Office 365-dataanslutningar kan du använda Microsoft Sentinel-funktioner för flera innehavare, till exempel visa och analysera data i arbetsböcker, använda frågor för att skapa anpassade aviseringar och konfigurera spelböcker för att svara på hot.
Skydda immateriell egendom
När du arbetar med kunder kanske du vill skydda immateriell egendom som du har utvecklat i Microsoft Sentinel, till exempel Microsoft Sentinel-analysregler, jaktfrågor, spelböcker och arbetsböcker. Det finns olika metoder som du kan använda för att se till att kunderna inte har fullständig åtkomst till koden som används i dessa resurser.
Mer information finns i Skydda mssp-immateriell egendom i Microsoft Sentinel.
Nästa steg
- Läs mer om Microsoft Sentinel.
- Granska prissättningssidan för Microsoft Sentinel.
- Utforska
Sentinel All-in-One, ett projekt för att påskynda distributionen och de inledande konfigurationsuppgifterna för en Microsoft Sentinel-miljö. - Lär dig mer om hantering av flera klientorganisationsupplevelser.