Microsoft Sentinel'de MSSP fikri mülkiyetini koruma
Bu makalede, yönetilen güvenlik hizmeti sağlayıcılarının (MSSP) Microsoft Sentinel'de geliştirdikleri Microsoft Sentinel analiz kuralları, tehdit avcılığı sorguları, playbook'lar ve çalışma kitapları gibi fikri mülkiyeti korumak için kullanabilecekleri yöntemler açıklanmaktadır.
Seçtiğiniz yöntem, müşterilerinizin her birinin Azure'ı nasıl satın almasına bağlıdır; ister Bulut Çözümleri Sağlayıcısı (CSP) olarak hareket edin ister müşterinin Kurumsal Anlaşma (EA)/Kullandıkça öde (PAYG) hesabı olsun. Aşağıdaki bölümlerde bu yöntemlerin her biri ayrı ayrı açıklanmaktadır.
Bulut Çözümleri Sağlayıcıları (CSP)
Azure'ı Bulut Çözümleri Sağlayıcısı (CSP) olarak yeniden satışa kullanıyorsanız müşterinin Azure aboneliğini yönetiyorsunuz demektir. Yönetici Adına (AOBO) sayesinde, MSSP kiracınızdaki Yönetici Aracıları grubundaki kullanıcılara müşterinin Azure aboneliğine Sahip erişimi verilir ve müşterinin varsayılan olarak erişimi yoktur.
Yönetici Aracıları grubunun dışındaki MSSP kiracısından diğer kullanıcıların müşteri ortamına erişmesi gerekiyorsa Azure Lighthouse kullanmanızı öneririz. Azure Lighthouse, kullanıcılara veya gruplara, yerleşik rollerden birini kullanarak kaynak grubu veya abonelik gibi belirli bir kapsama erişim izni vermenizi sağlar.
Müşteri kullanıcılarına Azure ortamına erişim sağlamanız gerekiyorsa, gerektiğinde ortamın bölümlerini gösterebilmeniz/gizleyebilmeniz için onlara aboneliğin tamamı yerine kaynak grubu düzeyinde erişim vermenizi öneririz.
Örneğin:
Müşteriye uygulamalarının bulunduğu çeşitli kaynak gruplarına erişim izni verebilir, ancak yine de Microsoft Sentinel çalışma alanını müşterinin erişimi olmayan ayrı bir kaynak grubunda tutabilirsiniz.
Müşterilerin kendi kaynak gruplarında bulunabilecek ayrı kaynaklar olan seçili çalışma kitaplarını ve playbook'ları görüntülemesini sağlamak için bu yöntemi kullanın.
Kaynak grubu düzeyinde erişim vermekle birlikte, müşteriler Microsoft Sentinel'e erişim olmadan bile VM'den günlükler gibi erişebilecekleri kaynaklar için günlük verilerine erişebilir. Daha fazla bilgi için bkz . Microsoft Sentinel verilerine erişimi kaynağa göre yönetme.
Bahşiş
Müşterilerinize aboneliğin tamamına erişim sağlamanız gerekiyorsa Kurumsal Anlaşma s (EA) / Kullandıkça öde (PAYG) bölümündeki yönergeleri görmek isteyebilirsiniz.
Örnek Microsoft Sentinel CSP mimarisi
Aşağıdaki görüntüde , CSP müşterilerine erişim sağlarken önceki bölümde açıklanan izinlerin nasıl çalışabileceği açıklanmaktadır:
Bu görüntüde:
CSP aboneliğine Sahip erişimi olan kullanıcılar, MSSP Microsoft Entra kiracısında Yönetici Aracıları grubundaki kullanıcılardır.
MSSP'den diğer gruplar Azure Lighthouse aracılığıyla müşteri ortamına erişim elde eder.
Azure kaynaklarına müşteri erişimi, Azure RBAC tarafından kaynak grubu düzeyinde yönetilir.
Bu, MSSP'lerin Analiz Kuralları ve Tehdit Avcılığı Sorguları gibi Microsoft Sentinel bileşenlerini gerektiği gibi gizlemesine olanak tanır.
Daha fazla bilgi için Azure Lighthouse belgelerine de bakın.
Kurumsal Anlaşma s (EA) / Kullandıkça öde (PAYG)
Müşteriniz doğrudan Microsoft'tan satın alıyorsa müşterinin Azure ortamına zaten tam erişimi vardır ve müşterinin Azure aboneliğindeki hiçbir şeyi gizleyemezsiniz.
Bunun yerine, korumanız gereken kaynak türüne bağlı olarak Microsoft Sentinel'de geliştirdiğiniz fikri mülkiyetinizi şu şekilde koruyun:
Analiz kuralları ve tehdit avcılığı sorguları
Analiz kuralları ve tehdit avcılığı sorguları Microsoft Sentinel'in içinde yer alır ve bu nedenle Microsoft Sentinel çalışma alanından ayrılamaz.
Bir kullanıcı yalnızca Microsoft Sentinel Okuyucu izinlerine sahip olsa bile sorguyu görüntüleyebilir. Bu durumda Analiz kurallarınızı ve tehdit avcılığı sorgularınızı müşteri kiracısı yerine kendi MSSP kiracınızda barındırmanızı öneririz.
Bunu yapmak için kendi kiracınızda Microsoft Sentinel'in etkinleştirildiği bir çalışma alanınızın olması ve ayrıca Azure Lighthouse aracılığıyla müşteri çalışma alanını görmeniz gerekir.
MSSP kiracısında müşteri kiracısında verilere başvuran bir analiz kuralı veya tehdit avcılığı sorgusu oluşturmak için deyimini workspace aşağıdaki gibi kullanmanız gerekir:
workspace('<customer-workspace>').SecurityEvent
| where EventID == ‘4625’
Analiz kurallarınıza bir workspace deyim eklerken aşağıdakileri göz önünde bulundurun:
Müşteri çalışma alanında uyarı yok. Bu şekilde oluşturulan kurallar, müşteri çalışma alanında uyarı veya olay oluşturmaz. Hem uyarılar hem de olaylar yalnızca MSSP çalışma alanınızda bulunur.
Her müşteri için ayrı uyarılar oluşturun. Bu yöntemi kullandığınızda, çalışma alanı deyimi her durumda farklı olduğundan her müşteri ve algılama için ayrı uyarı kuralları kullanmanızı da öneririz.
Uyarının tetiklendiği müşteriyi kolayca tanımlamak için uyarı kuralı adına müşteri adını ekleyebilirsiniz. Ayrı uyarılar, komut dosyası veya Kod olarak Microsoft Sentinel kullanarak yönetmek isteyebileceğiniz çok sayıda kurala neden olabilir.
Örneğin:
Her müşteri için ayrı MSSP çalışma alanları oluşturun. Her müşteri ve algılama için ayrı kurallar oluşturmak, çalışma alanınız için en fazla analiz kuralı sayısına (512) ulaşmanıza neden olabilir. Çok sayıda müşteriniz varsa ve bu sınıra ulaşmayı bekliyorsanız, her müşteri için ayrı bir MSSP çalışma alanı oluşturmak isteyebilirsiniz.
Örneğin:
Önemli
Bu yöntemi başarıyla kullanmanın anahtarı, çalışma alanlarınızda büyük bir kural kümesini yönetmek için otomasyon kullanmaktır.
Daha fazla bilgi için bkz . Çalışma alanları arası analiz kuralları
Çalışma Kitapları
Müşterinizin kopyalamasını istemediğiniz bir Microsoft Sentinel çalışma kitabı geliştirdiyseniz, çalışma kitabını MSSP kiracınızda barındırın. Azure Lighthouse aracılığıyla müşteri çalışma alanlarınıza erişebildiğinizden emin olun ve ardından çalışma kitabını bu müşteri çalışma alanlarını kullanacak şekilde değiştirdiğinizden emin olun.
Örneğin:
Daha fazla bilgi için bkz . Çalışma alanları arası çalışma kitapları.
Müşterinin kod gizli dizisini koruyarak çalışma kitabı görselleştirmelerini görüntüleyebilmesini istiyorsanız, çalışma kitabını Power BI'a aktarmanızı öneririz.
Çalışma kitabınızı Power BI'a aktarma:
- Çalışma kitabı görselleştirmelerinin paylaşımını kolaylaştırır. Müşteriye, Azure erişim izinlerine gerek kalmadan bildirilen verileri görüntüleyebileceği Power BI panosunun bağlantısını gönderebilirsiniz.
- Zamanlamayı etkinleştirir. Power BI'ı belirli aralıklarla panonun anlık görüntüsünü içeren e-postalar gönderecek şekilde yapılandırın.
Daha fazla bilgi için bkz . Azure İzleyici günlük verilerini Power BI'a aktarma.
Çalışma kitapları
Playbook'unuzu tetikleyen analiz kurallarının nerede oluşturulduğuna bağlı olarak playbook'larınızı aşağıdaki gibi koruyabilirsiniz:
MSSP çalışma alanında oluşturulan analiz kuralları. PLAYBOOK'larınızı MSSP kiracısında oluşturduğunuzdan ve MSSP çalışma alanından tüm olay ve uyarı verilerini aldığınızdan emin olun. Çalışma alanınızda yeni bir kural oluşturduğunuzda playbook'ları ekleyebilirsiniz.
Örneğin:
Müşteri çalışma alanında oluşturulan analiz kuralları. Müşterinin çalışma alanından MSSP çalışma alanınızda barındırılan bir playbook'a analiz kuralları eklemek için Azure Lighthouse'u kullanın. Bu durumda playbook uyarı ve olay verilerini ve diğer müşteri bilgilerini müşteri çalışma alanından alır.
Örneğin:
Her iki durumda da playbook'un müşterinin Azure ortamına erişmesi gerekiyorsa Lighthouse aracılığıyla bu erişime sahip bir kullanıcı veya hizmet sorumlusu kullanın.
Ancak playbook'un müşterinin kiracısında Microsoft Entra ID, Office 365 veya Microsoft Defender XDR gibi Azure dışı kaynaklara erişmesi gerekiyorsa, müşteri kiracısında uygun izinlere sahip bir hizmet sorumlusu oluşturun ve ardından bu kimliği playbook'a ekleyin.
Dekont
Otomasyon kurallarını playbook'larınızla birlikte kullanıyorsanız, playbook'ların bulunduğu kaynak grubunda otomasyon kuralı izinlerini ayarlamanız gerekir. Daha fazla bilgi için bkz . Playbook'ları çalıştırmak için otomasyon kurallarının izinleri.
Sonraki adımlar
Daha fazla bilgi için bkz.