Microsoft Sentinel çalışma alanlarını ölçekli olarak yönetme
Hizmet sağlayıcı olarak, Azure açık Thouseiçin birden fazla müşteri kiracısından eklendi olabilirsiniz. Azure mathouse, hizmet sağlayıcılarının birden çok Azure Active Directory (Azure AD) kiracılarının aynı anda, yönetim görevlerini daha verimli hale getiren işlemleri gerçekleştirmesine olanak tanır.
Microsoft Sentinel, uyarı algılama, tehdit görünürlüğü, proaktif arama ve tehdit yanıtı için tek bir çözüm sunan güvenlik analizlerini ve tehdit bilgilerini sunar. Azure açık bir şekilde, kiracılar genelinde birden çok Microsoft Sentinel çalışma alanını ölçekli bir şekilde yönetebilirsiniz. Bu, birden çok çalışma alanı genelinde sorgu çalıştırma veya içgörüler elde etmek için bağlı veri kaynaklarınızdaki verileri görselleştirmek ve izlemek üzere çalışma kitapları oluşturmak gibi senaryolara olanak sağlar. Sorgular ve PlayBook 'lar gibi IP, yönetim kiracınızda kalır, ancak müşteri kiracılarında güvenlik yönetimi gerçekleştirmek için kullanılabilir.
Bu konuda, Microsoft Sentinel 'in çapraz kiracı görünürlüğü ve yönetilen güvenlik hizmetleri için ölçeklenebilir bir şekilde nasıl kullanılacağına ilişkin bir genel bakış sunulmaktadır.
İpucu
Bu konudaki hizmet sağlayıcılarına ve müşterilere başvurduğumuz halde, bu kılavuz birden çok kiracıyı yönetmek Için Azure açık Thouse kullanan kuruluşlariçin de geçerlidir.
Not
Farklı bölgelerdebulunan temsilcili kaynakları yönetebilirsiniz. Ancak, bir Ulusal bulut ve Azure genel bulutu genelinde veya iki ayrı ulusal bulutta abonelikler temsilciliğini desteklemez.
Mimari konuları
Microsoft Sentinel kullanarak bir hizmet olarak güvenlik teklifi oluşturmak isteyen bir yönetilen güvenlik hizmeti sağlayıcısı (MSSP) için tek bir güvenlik işlem merkezi (SOC), tek bir müşteri kiracılarında dağıtılan birden çok Microsoft Sentinel çalışma alanını merkezi olarak izlemek, yönetmek ve yapılandırmak için gerekli olabilir. Benzer şekilde, birden çok Azure AD kiracılarına sahip kuruluşlar, kiracılar genelinde dağıtılan birden fazla Microsoft Sentinel çalışma alanını merkezi olarak yönetmek isteyebilir.
Bu dağıtım modelinde aşağıdaki avantajlar bulunur:
- Verilerin sahipliği, her bir yönetilen kiracıyla kalır.
- Verileri coğrafi sınırlar içinde depolamak için gereksinimleri destekler.
- Birden çok müşteriye ait veriler aynı çalışma alanında depolandığından veri yalıtımının yapılmasını sağlar.
- Verilerin uyumluluğunu sağlamaya yardımcı olmak için yönetilen kiracılardan veri alımını önler.
- İlgili maliyetler, Kiracı Yönetimi yerine her bir yönetilen kiracı için ücretlendirilir.
- microsoft Sentinel ile tümleştirilmiş tüm veri kaynaklarından ve veri bağlayıcılarından (Azure AD etkinlik günlükleri, Office 365 günlükleri veya microsoft tehdit koruması uyarıları gibi) veriler her müşteri kiracısında kalır.
- Ağ gecikmesini azaltır.
- Yeni yan kuruluşlar veya müşteriler ekleme veya kaldırma kolaytı.
- Azure Aydınlathouse ile çalışırken çok çalışma alanı görünümü kullanabilirsiniz.
- Fikri mülkiyet bilgilerinizi korumak için PlayBook 'ları ve çalışma kitaplarını, doğrudan müşterilerle kod paylaşmadan kiracılar genelinde çalışmak üzere kullanabilirsiniz. Yalnızca analitik ve arama kurallarının her bir müşterinin kiracısında doğrudan kaydedilmesi gerekir.
Önemli
Tüm çalışma alanları müşteri kiracılarında oluşturulduysa, Microsoft. Securityınsights & Microsoft. Operationalınsights kaynak sağlayıcılarının da yönetim kiracısındaki bir abonelikte kayıtlı olması gerekir.
Alternatif bir dağıtım modeli, yönetim kiracısında bir Microsoft Sentinel çalışma alanı oluşturmaktır. Bu modelde, Azure Açıklatouse, yönetilen kiracılar genelinde veri kaynaklarından günlük toplamayı mümkün bir şekilde sunar. Bununla birlikte, kiracılar arasında bağlanmayan bazı veri kaynakları (örneğin, bulut için Microsoft Defender) vardır. Bu sınırlama nedeniyle, bu model birçok hizmet sağlayıcısı senaryosu için uygun değildir.
Ayrıntılı Azure rol tabanlı erişim denetimi (Azure RBAC)
Bir MSSP 'nin yöneteceği her bir müşteri aboneliği, Azure eklendi to Use' a sahip olmalıdır. Bu, yönetim kiracısındaki belirlenen kullanıcıların, müşteri kiracılarında dağıtılan Microsoft Sentinel çalışma alanlarında yönetim işlemlerine erişmesini ve bu işlemleri gerçekleştirmesini sağlar.
Yetkilendirmeleri oluştururken, Microsoft Sentinel yerleşik rollerini, yönetim kiracınızdaki kullanıcılara, gruplara veya hizmet sorumlularına atayabilirsiniz:
Ek işlevler gerçekleştirmek için ek yerleşik roller de atamak isteyebilirsiniz. Microsoft Sentinel ile kullanılabilen belirli roller hakkında daha fazla bilgi için bkz. Microsoft Sentinel 'de izinler.
Müşterilerinize eklendi, atanan kullanıcılar, yönetilen kiracınızda oturum açıp müşterinin Microsoft Sentinel çalışma alanına atanmış rollerle doğrudan erişim sağlayabilir.
Çalışma alanları genelinde olayları görüntüleme ve yönetme
Birden çok müşteri için Microsoft Sentinel kaynaklarını yönetiyorsanız, aynı anda birden fazla kiracıda birden fazla çalışma alanındaki olayları görüntüleyebilir ve yönetebilirsiniz. Daha fazla bilgi için bkz. aynı anda birçok çalışma alanında olaylarla çalışma ve Microsoft Sentinel 'i çalışma alanları ve kiracılar arasında genişletme.
Not
Yönettiğiniz kiracılarınızdaki kullanıcılara, yönetilen tüm çalışma alanları üzerinde okuma ve yazma izinleri atandığından emin olun. Bir kullanıcının bazı çalışma alanlarında okuma izinleri varsa, bu çalışma alanlarında olay seçerken uyarı iletileri görüntülenebilir ve Kullanıcı bu olayları veya seçtiğiniz diğer diğerlerini (diğerleri için izinleriniz olsa bile) değiştiremezler.
PlayBook 'ları azaltma için yapılandırma
Playbooks , bir uyarı tetiklendiğinde otomatik risk azaltma için kullanılabilir. Bu PlayBook 'lar el ile çalıştırılabilir veya belirli uyarılar tetiklendiğinde otomatik olarak çalıştırılabilirler. PlayBook 'lar yönetim kiracısında veya müşteri kiracısında dağıtılabilir ve bu, kiracının kullanıcılarına bir güvenlik tehdidi karşılığında işlem yapması gereken yanıt yordamlarını sağlar.
Çapraz kiracı çalışma kitapları oluşturma
Microsoft Sentinel 'Deki Azure Izleyici çalışma kitapları , Öngörüler kazanmak için bağlı veri kaynaklarınızdan verileri görselleştirmenize ve izlemenize yardımcı olur. Microsoft Sentinel 'de yerleşik çalışma kitabı şablonlarını kullanabilir veya senaryolarınız için özel çalışma kitapları oluşturabilirsiniz.
Çalışma kitaplarını yönetim kiracınızda dağıtabilir ve müşteri kiracılarında verileri izlemek ve sorgulamak için ölçekli panolar oluşturabilirsiniz. Daha fazla bilgi için bkz. çapraz çalışma alanı izleme.
Çalışma kitaplarını, bu müşteriye özgü senaryolar için yönettiğiniz tek bir kiracıya doğrudan da dağıtabilirsiniz.
Microsoft Sentinel çalışma alanları genelinde Log Analytics ve sorguları çalıştırma
Sorgularıyönetme dahil olmak üzere, tehdit algılama için Log Analytics sorguları yönetim kiracısında merkezi olarak oluşturun ve kaydedin. Bu sorgular daha sonra tüm müşterilerinizin Microsoft Sentinel çalışma alanları genelinde UNION işleci ve Workspace () ifadesi kullanılarak çalıştırılabilir. Daha fazla bilgi için bkz. çapraz çalışma alanı sorgulama.
Çoklu çalışma alanları yönetimi için Otomasyonu kullanma
Otomasyonu kullanarak birden çok Microsoft Sentinel çalışma alanını yönetebilir ve sorguları, PlayBook 'ları ve çalışma kitaplarını yapılandırabilirsiniz. Daha fazla bilgi için bkz. Otomasyon kullanarak çapraz çalışma alanı yönetimi.
Office 365 ortamların güvenliğini izleme
kiracılar genelinde Office 365 ortamların güvenliğini izlemek için Microsoft Sentinel ile birlikte Azure use 'ı kullanın. ilk, kutudan çıkar Office 365 veri bağlayıcıları, Exchange ve SharePoint (OneDrive dahil) içindeki kullanıcı ve yönetici etkinlikleriyle ilgili bilgilerin yönetilen kiracının içindeki bir Microsoft Sentinel çalışma alanına alınabilir olması için, yönetilen kiracıda etkinleştirilmelidir . Bu, dosya indirmeleri, gönderilen erişim istekleri, Grup olayları ve posta kutusu işlemlerinde değişiklikler ve bu eylemleri gerçekleştiren kullanıcılar hakkında bilgiler içerir. Office 365 DLP uyarıları , yerleşik Office 365 bağlayıcısının bir parçası olarak da desteklenir.
Cloud Apps Connector Için Microsoft Defender , uyarıları akışa almak ve günlükleri Microsoft Sentinel 'e Cloud Discovery. Bu, bulut uygulamalarına yönelik görünürlük sağlar, siber tehditleri belirleyip tespit etmek için gelişmiş çözümlemeler sağlar ve verilerin nasıl hareket etmenizi denetlemenize yardımcı olur. Bulut uygulamaları için Defender etkinlik günlükleri , ortak olay biçimi (CEF) kullanılarak tüketilebilir.
Office 365 veri bağlayıcıları ayarladıktan sonra, çalışma kitaplarındaki verileri görüntüleme ve çözümleme, özel uyarılar oluşturmak için sorguları kullanma ve tehditleri yanıtlamak üzere playbook 'ları kullanma gibi platformlar arası Microsoft Sentinel özelliklerini kullanabilirsiniz.
Fikri mülkiyet özelliğini koru
Müşterilerle çalışırken Microsoft Sentinel Analytics kuralları, arama sorguları, PlayBook 'lar ve çalışma kitapları gibi Microsoft Sentinel 'de geliştirmiş olduğunuz fikri mülkiyet özelliğini korumak isteyebilirsiniz. Müşterilerin bu kaynaklarda kullanılan koda yönelik tamamen erişiminin olmadığından emin olmak için kullanabileceğiniz farklı yöntemler vardır.
Daha fazla bilgi için bkz. Microsoft Sentinel 'de MSSP fikri özelliğini koruma.
Sonraki adımlar
- Microsoft Sentinelhakkında bilgi edinin.
- Microsoft Sentinel fiyatlandırma sayfasınıgözden geçirin.
- Bir
Sentinel All-in-OneMicrosoft Sentinel ortamının dağıtımını ve ilk yapılandırma görevlerini hızlandırmak için bir proje bulun. - Çapraz kiracı yönetim deneyimlerihakkında bilgi edinin.