Microsoft Sentinel'de MSSP fikri mülkiyeti koruma
Not
Azure Sentinel artık Microsoft Sentinel olarak anılmıştır ve önümüzdeki haftalarda bu sayfaları güncelleştiriyor olacağız. En son Microsoft güvenlik geliştirmeleri hakkında daha fazla bilgi.
Bu makalede, yönetilen güvenlik hizmeti sağlayıcılarının (MSSP) Microsoft Sentinel'de geliştirilen fikri mülkiyeti korumak için kullanabileceği yöntemler (Microsoft Sentinel analiz kuralları, avlanma sorguları, playbook'lar ve çalışma kitapları gibi) açıklanmıştır.
Seçtiğiniz yöntem, her bir müşterinizin Azure'ı nasıl satın almaya bağlı olduğuna bağlıdır; İster Bulut Çözümü Sağlayıcısı (CSP)olarak davranın, ister müşterinin bir Kurumsal Anlaşma (EA)/Öde (PAYG) hesabı vardır. Aşağıdaki bölümlerde bu yöntemlerin her biri ayrı olarak açıklanmaktadır.
Bulut Çözümü Sağlayıcıları (CSP)
Azure'ı Bulut Çözümleri Sağlayıcısı (CSP) olarak yeniden satışa sunuyorsanız, müşterinin Azure aboneliğini yönetiyorsanız. Yönetici Adına (AOBO)sayesinde, MSSP kiracınız yönetici aracıları grubunda yer alan kullanıcılara müşterinin Azure aboneliğine Sahip erişimi ve varsayılan olarak müşteri erişimi yoktur.
MSSP kiracısı dışındaki Yönetici Aracıları grubunun dışındaki diğer kullanıcıların müşteri ortamına erişmesi gerekirse, Azure Lighthouse. Azure Lighthouse, yerleşik rollerden birini kullanarak kullanıcılara veya gruplara kaynak grubu veya abonelik gibi belirli bir kapsam için erişim izni ve verebilirsiniz.
Müşteri kullanıcılarına Azure ortamına erişim sağlamanız gerekirse, gerektiğinde ortamın belirli bölümlerini gösterip gizlemeniz için onlara aboneliğin tamamı yerine kaynak grubu düzeyinde erişim iznini sağlamanız önerilir.
Örnek:
Müşteriye uygulamalarının bulunduğu çeşitli kaynak gruplarına erişim izni veresiniz, ancak yine de Microsoft Sentinel çalışma alanını müşterinin erişimi yoktur ayrı bir kaynak grubunda tutabilirsiniz.
Müşterilerin kendi kaynak gruplarında yer alan ayrı kaynaklar olan seçili çalışma kitaplarını ve playbook'ları görüntülemesini sağlamak için bu yöntemi kullanın.
Müşteriler, kaynak grubu düzeyinde erişim izni verse bile, Microsoft Sentinel'e erişmeden bile bir VM'den gelen günlükler gibi, erişecekleri kaynaklar için günlük verilerine erişmeye devam eder. Daha fazla bilgi için bkz. Microsoft Sentinel verilerine erişimi kaynağına göre yönetme.
İpucu
Müşterilerinize aboneliğin tamamına erişim sağlamanız gerekirse, Enterprise Anlaşmaları (EA) / (PAYG)konusunda bu kılavuzu görmek istiyor olabilir.
Örnek Microsoft Sentinel CSP mimarisi
Aşağıdaki görüntüde, CSP müşterilerine erişim sağlarken önceki bölümde açıklanan izinlerin nasıl çalış olabileceği açıklanmıştır:
Bu görüntüde:
CSP aboneliğine Sahip erişimi verilen kullanıcılar, MSSP Azure AD kiracısı içinde Yönetici Aracıları grubunda yer alan kullanıcılardır.
MSSP'den diğer gruplar, Azure Lighthouse.
Azure kaynaklarına müşteri erişimi, kaynak grubu düzeyinde Azure RBAC tarafından yönetilir.
Bu, MSSP'lerin Analiz Kuralları ve Avlanma Sorguları gibi Microsoft Sentinel bileşenlerini gerektiğinde gizlemelerini sağlar.
Daha fazla bilgi için bkz. Azure Lighthouse.
Enterprise Sözleşmeler (EA) / Öde (PAYG)
Müşteriniz doğrudan Microsoft'tan satın alıyorsa, müşterinin Azure ortamına zaten tam erişimi vardır ve müşterinin Azure aboneliğinde olan hiçbir şeyi gizleyebilirsiniz.
Bunun yerine, Microsoft Sentinel'de geliştirdiğiniz fikri mülkiyet haklarınızı korumak için ihtiyacınız olan kaynağın türüne bağlı olarak aşağıdaki gibi koruyun:
Analiz kuralları ve avlanma sorguları
Analiz kuralları ve avlanma sorguları hem Microsoft Sentinel içinde yer alır hem de bu nedenle Microsoft Sentinel çalışma alanından ayrılamaz.
Bir kullanıcı yalnızca Microsoft Sentinel Okuyucu izinlerine sahip olsa bile sorguyu görüntülemeye devam edebilirsiniz. Bu durumda Analiz kurallarınızı ve avlanma sorgularınızı müşteri kiracısı yerine kendi MSSP kiracınıza barındırmanızı öneririz.
Bunu yapmak için, Microsoft Sentinel'in etkin olduğu kendi kiracınıza bir çalışma alanı gerekir ve ayrıca müşteri çalışma alanını Azure Lighthouse.
MSSP kiracısı içinde müşteri kiracısı verilerine başvurulan bir analiz kuralı veya avlanma sorgusu oluşturmak için deyimini aşağıdaki workspace gibi kullanabilirsiniz:
workspace('<customer-workspace>').SecurityEvent
| where EventID == ‘4625’
Analiz workspace kurallarınıza bir deyimi eklerken şunları göz önünde bulundurarak:
Müşteri çalışma alanında uyarı yok. Bu şekilde oluşturulan kurallar, müşteri çalışma alanında uyarı veya olay oluşturmaz. Hem uyarılar hem de olaylar yalnızca MSSP çalışma alanınıza eklenir.
Her müşteri için ayrı uyarılar oluşturun. Bu yöntemi kullanırken her müşteri ve algılama için ayrı uyarı kuralları da kullanmalarını öneririz çünkü her durumda çalışma alanı deyimi farklı olur.
Uyarının tetiklendiğinde müşteriyi kolayca tanımlamak için uyarı kuralı adına müşteri adını eklemek için bunu yapabilirsiniz. Ayrı uyarılar, betik kullanarak yönetmek istediğiniz çok sayıda kurala veya Kod olarak Microsoft Sentinel'e neden olabilir.
Örnek:
Her müşteri için ayrı MSSP çalışma alanları oluşturun. Her müşteri için ayrı kurallar oluşturmak ve algılama, çalışma alanınız için en fazla analiz kuralı sayısına (512) ulaşmanıza neden olabilir. Çok sayıda müşteriniz varsa ve bu sınıra ulaşmayı bekliyorsanız, her müşteri için ayrı bir MSSP çalışma alanı oluşturmak istiyor olabilir.
Örnek:
Önemli
Bu yöntemi başarıyla kullanmanın anahtarı, çalışma alanlarınız genelinde büyük bir kural kümesi yönetmek için otomasyon kullanmaktır.
Daha fazla bilgi için bkz. Çalışma alanları arası analiz kuralları
Çalışma Kitapları
Müşterinizin kopyalaması istemeyebilirsiniz bir Microsoft Sentinel çalışma kitabı geliştirdiyebilirsiniz, çalışma kitabını MSSP kiracınızda barındırın. Çalışma kitabı aracılığıyla müşteri çalışma alanlarınıza erişiminiz olduğundan emin Azure Lighthouse ve ardından çalışma kitabını bu müşteri çalışma alanlarını kullanmak üzere değiştirerek emin olun.
Örnek:
Daha fazla bilgi için bkz. Çalışma alanları arası çalışma kitapları.
Müşterinin kod gizli kodunu tutmaya devam ederken çalışma kitabı görselleştirmelerini görüntüleye Power BI.
Çalışma kitabınızı şu Power BI:
- Çalışma kitabı görselleştirmelerini paylaşmayı kolaylaştırır. Müşteriye, Azure erişim izinlerine gerek kalmadan Power BI verilerini görüntüley belirtildiklerine bir bağlantı gönderebilirsiniz.
- zamanlamayı sağlar. Bu Power BI anlık görüntüsünü içeren e-postaları düzenli aralıklarla gönderecek şekilde yapılandırma.
Daha fazla bilgi için bkz. Azure İzleyici günlük verilerini Power BI.
Playbook'lar
Playbook'larınızı, playbook'ları tetikleyen analiz kurallarının nerede oluşturulmuş olduğuna bağlı olarak aşağıdaki gibi koruyabilirsiniz:
MSSP çalışma alanında oluşturulan analiz kuralları. Playbook'larınızı MSSP kiracısı içinde oluşturduktan ve mssp çalışma alanında tüm olay ve uyarı verilerini alasınız. Çalışma alanınıza her yeni kural sanız playbook'ları iliştirebilirsiniz.
Örnek:
Müşteri çalışma alanında oluşturulan analiz kuralları. Müşterinin Azure Lighthouse MSSP çalışma alanınız içinde barındırılan bir playbook'a analiz kuralları eklemek için Azure Lighthouse'yi kullanın. Bu durumda playbook uyarı ve olay verilerini ve diğer müşteri bilgilerini müşteri çalışma alanından alır.
Örnek:
Her iki durumda da, playbook'un müşterinin Azure ortamına erişmesi gerekirse Lighthouse aracılığıyla bu erişime sahip bir kullanıcı veya hizmet sorumlusu kullanın.
Ancak, playbook'un Müşterinin kiracısı olan Azure AD, Office 365 veya Microsoft 365 Defender gibi Azure dışı kaynaklara erişmesi gerekirse, müşteri kiracısı içinde uygun izinlere sahip bir hizmet sorumlusu oluşturmanız ve ardından bu kimliği playbook'a eklemeniz gerekir.
Not
Otomasyon kurallarını playbook'larla birlikte kullanırsanız, playbook'ların bulunduğu kaynak grubunda otomasyon kuralı izinlerini ayarlayabilirsiniz. Daha fazla bilgi için bkz. Playbook'ları çalıştırmak için otomasyon kuralları izinleri.
Sonraki adımlar
Daha fazla bilgi için bkz.