Skydda mssp-immateriell egendom i Microsoft Sentinel
Anteckning
Azure Sentinel heter nu Microsoft Sentinel och vi kommer att uppdatera dessa sidor under de kommande veckorna. Läs mer om de senaste säkerhetsförbättringarna från Microsoft.
Den här artikeln beskriver de metoder som leverantörer av hanterade säkerhetstjänster (MSSPs) kan använda för att skydda immateriell egendom som de har utvecklat i Microsoft Sentinel, till exempel Microsoft Sentinel-analysregler, jaktfrågor, spelböcker och arbetsböcker.
Vilken metod du väljer beror på hur var och en av dina kunder köper Azure. oavsett om du fungerar som en leverantör av molnlösningar (CSP)eller om kunden har ett företagsavtal-konto (EA)/betala per du-konto (PAYG). I avsnitten nedan beskrivs var och en av dessa metoder separat.
Molnlösningsleverantörer (CSP)
Om du säljer Azure som en leverantör av molnlösningar (CSP) hanterar du kundens Azure-prenumeration. Tack vare Admin-On-Behalf-Of (AOBO)beviljas användare i gruppen Administratörsagenter från din MSSP-klientorganisation ägaråtkomst till kundens Azure-prenumeration och kunden har ingen åtkomst som standard.
Om andra användare från MSSP-klienten, utanför gruppen Administratörsagenter, behöver åtkomst till kundmiljön rekommenderar vi att du använder Azure Lighthouse. Azure Lighthouse kan du bevilja användare eller grupper med åtkomst till ett specifikt omfång, till exempel en resursgrupp eller prenumeration, med någon av de inbyggda rollerna.
Om du behöver ge kundanvändare åtkomst till Azure-miljön rekommenderar vi att du ger dem åtkomst på resursgruppsnivå i stället för hela prenumerationen, så att du kan visa/dölja delar av miljön efter behov.
Exempel:
Du kan ge kunden åtkomst till flera resursgrupper där deras program finns, men ändå behålla Microsoft Sentinel-arbetsytan i en separat resursgrupp, där kunden inte har någon åtkomst.
Använd den här metoden för att låta kunder visa valda arbetsböcker och spelböcker, som är separata resurser som kan finnas i en egen resursgrupp.
Även om du beviljar åtkomst på resursgruppsnivå har kunderna fortfarande åtkomst till loggdata för de resurser som de kan komma åt, till exempel loggar från en virtuell dator, även utan åtkomst till Microsoft Sentinel. Mer information finns i Hantera åtkomst till Microsoft Sentinel-data efter resurs.
Tips
Om du behöver ge dina kunder åtkomst till hela prenumerationen kan du läsa vägledningen i Enterprise-avtal (EA) /Betala per du-go (PAYG).
Exempel på CSP-arkitektur för Microsoft Sentinel
Följande bild beskriver hur de behörigheter som beskrivs i föregående avsnitt kan fungera när du ger åtkomst till CSP-kunder:
Titta på den här bilden:
De användare som beviljas med ägaråtkomst till CSP-prenumerationen är användare i gruppen Administratörsagenter i MSSP Azure AD-klientorganisationen.
Andra grupper från MSSP får åtkomst till kundmiljön via Azure Lighthouse.
Kundåtkomst till Azure-resurser hanteras av Azure RBAC på resursgruppsnivå.
På så sätt kan MPS dölja Microsoft Sentinel-komponenter efter behov, till exempel analysregler och jaktfrågor.
Mer information finns även i Azure Lighthouse dokumentationen.
Enterprise-avtal (EA) /Betala per du-go (PAYG)
Om kunden köper direkt från Microsoft har kunden redan fullständig åtkomst till Azure-miljön och du kan inte dölja något som finns i kundens Azure-prenumeration.
Skydda i stället din immateriella egendom som du har utvecklat i Microsoft Sentinel på följande sätt, beroende på vilken typ av resurs du behöver skydda:
Analysregler och jaktfrågor
Analysregler och jaktfrågor finns båda i Microsoft Sentinel och kan därför inte separeras från Microsoft Sentinel-arbetsytan.
Även om en användare bara har behörighet för Microsoft Sentinel-läsare kommer de fortfarande att kunna visa frågan. I det här fallet rekommenderar vi att du är värd för dina Analytics-regler och jaktfrågor i din egen MSSP-klientorganisation, i stället för kundens klientorganisation.
För att göra detta behöver du en arbetsyta i din egen klientorganisation med Microsoft Sentinel aktiverat, och du måste också se kundarbetsytan via Azure Lighthouse.
Om du vill skapa en analysregel eller jaktfråga i MSSP-klientorganisationen som refererar till data i kundens klientorganisation måste du använda workspace -instruktionen på följande sätt:
workspace('<customer-workspace>').SecurityEvent
| where EventID == ‘4625’
Tänk på följande workspace när du lägger till en instruktion i dina analysregler:
Inga aviseringar på kundarbetsytan. Regler som skapas på det här sättet skapar inte aviseringar eller incidenter på kundens arbetsyta. Både aviseringar och incidenter kommer endast att finnas på din MSSP-arbetsyta.
Skapa separata aviseringar för varje kund. När du använder den här metoden rekommenderar vi också att du använder separata aviseringsregler för varje kund och identifiering, eftersom arbetsytesatsen skiljer sig åt i varje fall.
Du kan lägga till kundnamnet i aviseringsregelns namn för att enkelt identifiera kunden där aviseringen utlöses. Separata aviseringar kan resultera i ett stort antal regler som du kanske vill hantera med hjälp av skript eller Microsoft Sentinel som kod.
Exempel:
Skapa separata MSSP-arbetsytor för varje kund. Om du skapar separata regler för varje kund och identifiering kan du nå det maximala antalet analysregler för din arbetsyta (512). Om du har många kunder och förväntar dig att nå den här gränsen kanske du vill skapa en separat MSSP-arbetsyta för varje kund.
Exempel:
Viktigt
Nyckeln till att använda den här metoden är att använda automatisering för att hantera en stor uppsättning regler på dina arbetsytor.
Mer information finns i Analysregler för flera arbetsytor
Arbetsböcker
Om du har utvecklat en Microsoft Sentinel-arbetsbok som du inte vill att kunden ska kopiera ska du lagra arbetsboken i din MSSP-klientorganisation. Kontrollera att du har åtkomst till dina kundarbetsytor via Azure Lighthouse och se sedan till att ändra arbetsboken så att den använder dessa kundarbetsytor.
Exempel:
Mer information finns i Arbetsböcker mellan arbetsytor.
Om du vill att kunden ska kunna visa arbetsbokens visualiseringar, samtidigt som kodhemligheten finns kvar, rekommenderar vi att du exporterar arbetsboken till Power BI.
Exportera din arbetsbok till Power BI:
- Gör arbetsbokens visualiseringar enklare att dela. Du kan skicka kunden en länk till Power BI instrumentpanel, där de kan visa rapporterade data utan att behöva Azure-åtkomstbehörigheter.
- Aktiverar schemaläggning av . Konfigurera Power BI att skicka e-postmeddelanden med jämna mellanrum som innehåller en ögonblicksbild av instrumentpanelen för den tiden.
Mer information finns i Importera Azure Monitor loggdata till Power BI.
Spelböcker
Du kan skydda dina spelböcker på följande sätt, beroende på var analysreglerna som utlöser spelboken har skapats:
Analysregler som skapats på MSSP-arbetsytan. Se till att skapa dina spelböcker i MSSP-klientorganisationen och att du får alla incident- och aviseringsdata från MSSP-arbetsytan. Du kan bifoga spelböckerna när du skapar en ny regel på din arbetsyta.
Exempel:
Analysregler som skapats på kundarbetsytan. Använd Azure Lighthouse att koppla analysregler från kundens arbetsyta till en spelbok som finns på din MSSP-arbetsyta. I det här fallet hämtar spelboken aviserings- och incidentdata samt annan kundinformation från kundens arbetsyta.
Exempel:
I båda fallen, om spelboken behöver åtkomst till kundens Azure-miljö, använder du en användare eller tjänstens huvudnamn som har den åtkomsten via Lighthouse.
Men om spelboken behöver åtkomst till icke-Azure-resurser i kundens klientorganisation, till exempel Azure AD, Office 365 eller Microsoft 365 Defender, måste du skapa ett huvudnamn för tjänsten med rätt behörigheter i kundens klientorganisation och sedan lägga till den identiteten i spelboken.
Anteckning
Om du använder automatiseringsregler tillsammans med dina spelböcker måste du ange behörigheterna för automatiseringsregler för resursgruppen där spelböckerna finns. Mer information finns i Behörigheter för automatiseringsregler för att köra spelböcker.
Nästa steg
Mer information finns i: