Azure Sentinel’i çalışma alanlarına ve kiracılara genişletme

Birden çok Azure Sentinel çalışma alanı kullanma gereksinimi

Azure Sentinel, Log Analytics çalışma alanının üzerine kurulmuştur. Azure Sentinel 'i hazırlama bölümündeki ilk adımın, bu amaçla kullanmak istediğiniz Log Analytics çalışma alanını seçtiğine dikkat edin.

Tek çalışma alanı kullanırken Azure Sentinel deneyiminin tüm avantajlarından yararlanabilirsiniz. Bu nedenle, birden çok çalışma alanına sahip olmanızı gerektirebilecek bazı durumlar da vardır. Aşağıdaki tabloda bu durumların bazıları listelenmektedir ve mümkün olduğunda, gereksinimin tek bir çalışma alanıyla nasıl karşılanıp karşılanmadığı gösterilmektedir:

Gereksinim Açıklama Çalışma alanı sayısını azaltmanın yolları
Sogemenlik ve mevzuat uyumluluğu Çalışma alanı belirli bir bölgeye bağlıdır. Yasal gereksinimleri karşılamak için verilerin farklı Azure coğrafi bölgelerde tutulması gerekiyorsa, bu, ayrı çalışma alanlarına bölünmelidir.
Veri sahipliği Veri sahiplerinin sınırları (örneğin, yan kuruluşlar veya bağlı şirketler), ayrı çalışma alanları kullanılarak daha iyi bir şekilde ayarlanır.
Birden çok Azure kiracısından Azure Sentinel, Microsoft ve Azure SaaS kaynaklarından yalnızca kendi Azure Active Directory (Azure AD) kiracı sınırının içindeki veri toplamayı destekler. Bu nedenle her Azure AD kiracısına ayrı çalışma alanı gerekir.
Ayrıntılı veri erişim denetimi Kuruluşun, Azure Sentinel tarafından toplanan bazı verilere erişmesi için kuruluş içinde veya dışında farklı gruplara izin vermeniz gerekebilir. Örnek:
  • Kaynak sahiplerinin, kaynaklarıyla ilgili verilere erişimi
  • Bölgesel veya yan kuruluşların, kuruluşun bölümleriyle ilgili verilere erişimi
Kaynak Azure RBAC veya tablo düzeyinde Azure RBAC kullanma
Ayrıntılı saklama ayarları Tarihsel olarak, farklı veri türleri için farklı saklama dönemleri belirlemenin tek yolu birden çok çalışma alanı vardı. Bu, daha fazla durumda, tablo düzeyinde bekletme ayarlarının tanıtımı sayesinde artık gerekli değildir. Tablo düzeyinde bekletme ayarlarını kullan veya veri silmeyi otomatik hale getir
Bölünmüş faturalama Çalışma alanlarını ayrı aboneliklere yerleştirerek farklı taraflara faturalandırılabilirler. Kullanım raporlama ve çapraz ücretlendirme
Eski mimari Birden çok çalışma alanının kullanımı, daha önce doğru olmayan önemli sınırlamalara veya en iyi uygulamalara geçen bir geçmiş tasarımdan ayrılabilir. Ayrıca Azure Sentinel'e daha iyi uyum sağlamak üzere değiştirilebilecek rastgele bir tasarım seçimi de olabilir.

Örnekler arasında şunlar yer almaktadır:
  • Azure Güvenlik Merkezi 'Ni dağıttığınızda, abonelik başına varsayılan çalışma alanını kullanma
  • Ayrıntılı erişim denetimi veya bekletme ayarları için gerekenler, görece yeni olan çözümler
Çalışma alanlarının mimarisini yenileme

Yönetilen güvenlik hizmeti sağlayıcısı (MSSP)

Birden çok çalışma alanı için bir MSSP Azure Sentinel hizmeti olan belirli bir kullanım durumu. Bu durumda, Yukarıdaki gereksinimlerin hepsi uygulanmadığından, kiracılar genelinde birden çok çalışma alanı, en iyi yöntem olarak da geçerlidir. MSSP, kiracı genelinde Azure Sentinel çalışma alanı yeteneklerini genişletmek için Azure Use 'ı kullanabilir.

Azure Sentinel birden çok çalışma alanı mimarisi

Yukarıdaki gereksinimler tarafından belirtildiği gibi, birden çok Azure Sentinel çalışma alanı (potansiyel olarak Azure Active Directory (Azure AD) kiracılarının tek bir SOC tarafından merkezi olarak izlenmesi ve yönetilmesi gerektiği durumlar vardır.

  • Bir MSSP Azure Sentinel hizmeti.

  • Birden çok yan kuruluşları sunan genel bir SOC, her birinin kendi yerel SOC 'i vardır.

  • Bir kuruluş içindeki birden çok Azure AD kiracısından oluşan bir SOC.

Azure Sentinel, bu gereksinimi karşılamak için, aşağıdaki diyagramda gösterildiği gibi, SOC tarafından kapsanan her şey için tek bir cam bölmesi sağlayan, merkezi izleme, yapılandırma ve yönetimi etkinleştiren çoklu çalışma alanı yetenekleri sunar.

Çapraz çalışma alanı mimarisi

Bu model, tüm verilerin tek bir çalışma alanına kopyalandığı tam merkezi bir model üzerinde önemli avantajlar sunar:

  • Küresel ve yerel SOCs 'ye veya MSSP 'nin müşterilerine esnek rol ataması.

  • Veri sahipliği, veri gizliliği ve mevzuat uyumluluğuyla ilgili daha az zorluk.

  • Minimum ağ gecikmesi ve ücretleri.

  • Yeni yan kuruluşları veya müşterileri kolay bir şekilde ekleme ve çıkarma.

Aşağıdaki bölümlerde, bu modelin nasıl çalışalınacağını ve özellikle nasıl yapılacağını açıklayacağız:

  • Birden çok çalışma alanını, büyük olasılıkla kiracılar genelinde, tek bir cam bölmesi ile SOC ile birlikte izleyin.

  • Çoklu çalışma alanlarını, büyük olasılıkla kiracılar genelinde, Otomasyonu kullanarak merkezi olarak yapılandırın ve yönetin.

Çapraz çalışma alanı izleme

Birden çok çalışma alanı üzerinde olayları yönetme

Azure Sentinel, birden fazla çalışma alanında merkezi olay izlemeyi ve yönetimini kolaylaştırmaya yönelik birden çok çalışma alanı olay görünümünü destekler. Merkezi olay görünümü olayları doğrudan yönetmenizi veya kaynak ayrıntılarına, kaynak çalışma alanının bağlamında saydam bir şekilde gitmeyi sağlar.

Çapraz çalışma alanı sorgulama

Azure Sentinel, tek bir sorgudaki birden fazla çalışma alanınısorgulamayı destekler, böylece tek bir sorgudaki birden çok çalışma alanındaki verileri arayabilir ve ilişkilendirmenize olanak tanır.

  • Farklı bir çalışma alanındaki bir tabloya başvurmak için Workspace () ifadesini kullanın.
  • Birden çok çalışma alanındaki tablolar arasında bir sorgu uygulamak için, Workspace () ifadesinin yanı sıra UNION işlecini kullanın.

Çalışma alanları arası sorguları basitleştirmek için, kaydedilmiş işlevleri kullanabilirsiniz. Örneğin, bir çalışma alanına yönelik bir başvuru uzunsa, ifadeyi workspace("customer-A's-hard-to-remember-workspace-name").SecurityEvent adlı bir işlev olarak kaydetmek isteyebilirsiniz SecurityEventCustomerA . Daha sonra sorguları farklı yazabilirsiniz SecurityEventCustomerA | where ... .

Bir işlev, yaygın olarak kullanılan bir UNION 'yi de basitleştirir. Örneğin, aşağıdaki ifadeyi adlı bir işlev olarak kaydedebilirsiniz unionSecurityEvent :

union workspace(“hard-to-remember-workspace-name-1”).SecurityEvent, workspace(“hard-to-remember-workspace-name-2”).SecurityEvent

Sonra, ile başlayarak her iki çalışma alanı arasında bir sorgu yazabilirsiniz unionSecurityEvent | where ... .

Çapraz çalışma alanı analiz kuralları

Çoklu çalışma alanları, artık aşağıdaki sınırlamalara tabi olarak zamanlanmış analiz kurallarına dahil edilebilir:

  • Tek bir sorguya 20 ' ye kadar çalışma alanı eklenebilir.
  • Sorguda başvurulan her çalışma alanına Azure Sentinel 'in dağıtılması gerekir.

Not

Aynı sorgudaki birden çok çalışma alanını sorgulamak performansı etkileyebilir ve bu nedenle yalnızca mantık bu işlevi gerektirdiğinde önerilir.

Çalışma alanları arası çalışma kitapları

Çalışma kitapları , Azure Sentinel 'e panolar ve uygulamalar sağlar. Birden çok çalışma alanıyla çalışırken, çalışma alanları arasında izleme ve eylemler sağlar.

Çalışma kitapları, her biri farklı düzeylerde Son Kullanıcı uzmanlığına sahip olan üç yöntemden birine yönelik çoklu çalışma alanları sorguları sağlayabilir:

Yöntem Açıklama Ne zaman kullanmalıyım?
Çapraz çalışma alanı sorguları yazma Çalışma kitabı Oluşturucu, çalışma kitabında çapraz çalışma alanı sorguları (yukarıda açıklanmıştır) yazabilir. Bu seçenek, çalışma kitabı oluşturucularının kullanıcıyı çalışma alanı yapısından tamamen kalmalarını sağlar.
Çalışma kitabına çalışma alanı seçici ekleme Çalışma kitabı Oluşturucusu, buradaaçıklandığı gibi çalışma kitabının bir parçası olarak çalışma alanı seçiciyi uygulayabilir. Bu seçenek, kullanıcıya, kullanımı kolay bir açılan kutu aracılığıyla çalışma kitabı tarafından gösterilen çalışma alanları üzerinde denetim sağlar.
Çalışma kitabını etkileşimli olarak düzenleme Var olan bir çalışma kitabını değiştiren gelişmiş bir Kullanıcı, içindeki sorguları düzenleyerek, düzenleyicideki çalışma alanı seçicisini kullanarak hedef çalışma alanlarını seçebilirsiniz. Bu seçenek, bir Power User 'ın, mevcut çalışma kitaplarını birden çok çalışma alanıyla çalışacak şekilde kolayca değiştirmesini sağlar.

Çoklu çalışma alanları arası arama

Azure Sentinel, başlamanızı sağlamak için tasarlanan önceden yüklenmiş sorgu örnekleri sağlar ve tabloları ve sorgu dilini öğrenirsiniz. Bu yerleşik arama sorguları, Microsoft güvenlik araştırmacıları tarafından sürekli olarak geliştirilmiştir, her ikisi de yeni bir sorgu ekler ve mevcut sorguları ince ayar yaparak yeni algılamaları aramak ve güvenlik araçlarınız tarafından algılanmamış yetkisiz giriş işaretlerini belirlemek için bir giriş noktası sağlar.

Çoklu çalışma alanları arasında arama özellikleri, iş kolu arayanlara yeni arama sorguları oluşturmalarına veya var olanları, yukarıda gösterildiği gibi UNION işlecini ve Workspace () ifadesini kullanarak birden çok çalışma alanını kapsayacak şekilde uyarlamanızı sağlar.

Otomasyon kullanarak çapraz çalışma alanı yönetimi

Birden çok Azure Sentinel çalışma alanını yapılandırmak ve yönetmek için Azure Sentinel yönetim API 'sinin kullanımını otomatikleştirmeniz gerekir. Uyarı kuralları, arama sorguları, çalışma kitapları ve PlayBook 'lar dahil olmak üzere Azure Sentinel kaynaklarının dağıtımını otomatikleştirme hakkında daha fazla bilgi için bkz. Azure Sentinel: API 'ler, tümleştirme ve yönetim Otomasyonu.

Ayrıca bkz. Azure Sentinel 'i kod olarak dağıtma ve yönetme ve Azure ve özel bir GitHub deposundan kaynak dağıtma ve yapılandırma için birleştirilmiş, topluluk tarafından katkıda bulunulan bir metodolojisi Azure Sentinel 'in DevOps özellikleri .

Azure açık Thouse kullanarak kiracılar genelinde çalışma alanlarını yönetme

Yukarıda belirtildiği gibi birçok senaryoda, farklı Azure Sentinel çalışma alanları farklı Azure AD kiracılarında bulunabilir. Azure açık çalışma alanları, kiracı sınırları genelinde tüm platformlar arası etkinlikleri genişletmek için, yönetim kiracınızdaki kullanıcıların tüm kiracılarda Azure Sentinel çalışma alanlarında çalışmasına olanak tanımak için kullanabilirsiniz. Azure Use eklendiise, portalda farklı çalışma alanı seçicilerinde kullanılabilir olmasını sağlamak için, yönetmek istediğiniz çalışma alanlarını içeren tüm abonelikleri seçmek üzere Azure Portal Dizin + abonelik seçicisini kullanın.

Azure ışıklı kullanımı kullanılırken, her bir Azure Sentinel rolü için bir grup oluşturmanız ve her kiracıdan bu gruplara temsilci izinleri oluşturmanız önerilir.

Sonraki adımlar

Bu belgede, Azure Sentinel 'in yeteneklerini birden çok çalışma alanında ve kiracıların tamamında nasıl genişletileceğini öğrendiniz. Azure Sentinel 'in çapraz çalışma alanı mimarisini uygulamayla ilgili pratik yönergeler için aşağıdaki makalelere bakın: