大规模管理 Microsoft Sentinel 工作区

  • 项目

Azure Lighthouse 允许服务提供商同时在多个 Microsoft Entra 租户之间大规模执行操作,从而提高管理任务的效率。

Microsoft Sentinel 提供安全分析和威胁智能,为警报检测、威胁可见性、主动搜寻和威胁响应提供单一解决方案。 利用 Azure Lighthouse,可以在多个租户之间大规模管理多个 Microsoft Sentinel 工作区。 这样可以实现各种方案,例如,在多个工作区中运行查询,或创建工作簿,以可视化和监视已连接数据源中的数据,以获得见解。 查询和行动手册中的 IP 仍保留在管理租户中,但可用于在客户租户中执行安全管理。

本主题概述了如何在 Azure Lighthouse 中以可缩放方式使用 Microsoft Sentinel 来实现跨租户可见性和托管安全服务。

提示

尽管本主题中提及的是服务提供商和客户,但本指南同样适用于使用 Azure Lighthouse 管理多个租户的企业

注意

你可以管理位于不同区域的委托资源。 但不能跨国家云和 Azure 公有云,或跨两个不同的国家云进行委托资源。

体系结构注意事项

对于希望使用 Microsoft Sentinel 构建安全即服务产品/服务的托管安全服务提供商 (MSSP) 而言,可能需要一个安全运营中心 (SOC) 来集中监视、管理和配置在单个客户租户内部署的多个 Microsoft Sentinel 工作区。 同样,具有多个 Microsoft Entra 租户的企业则可能想要集中管理部署在其租户中的多个 Microsoft Sentinel 工作区。

这种集中管理模型具有以下优势:

  • 数据的所有权在每个托管租户中保持不变。
  • 支持在地理边界内存储数据的要求。
  • 确保数据隔离,因为多个客户的数据未存储在同一工作区中。
  • 阻止从托管租户渗透数据,帮助确保数据合规性。
  • 相关成本向每个托管租户收取,而不是向管理租户收取。
  • 所有数据源的数据以及与 Microsoft Sentinel 集成的数据连接器(例如 Microsoft Entra 活动日志、Office 365 日志或 Microsoft 威胁防护警报)将保留在每个客户租户内。
  • 减少网络延迟。
  • 轻松地添加或删除新的子公司或客户。
  • 能够使用多工作区视图处理 Azure Lighthouse。
  • 为了保护知识产权,可使用 playbook 和工作簿跨租户工作,而无需直接与客户共享代码。 只有分析和搜寻规则需要直接保存在每个客户的租户中。

重要

如果仅在客户租户中创建了工作区,则还必须在管理租户的订阅中注册 Microsoft.SecurityInsights 和 Microsoft.OperationalInsights 资源提供程序。

另一种部署模型是在管理租户中创建一个 Microsoft Sentinel 工作区。 在此模型中,Azure Lighthouse 支持跨托管租户从数据源收集日志。 但是,某些数据源无法跨租户连接,如 Microsoft Defender XDR。 由于此限制,此模型不适用于许多服务提供商方案。

精细化 Azure 基于角色的访问控制 (Azure RBAC)

MSSP 将管理的每个客户订阅都必须载入 Azure Lighthouse。 这允许管理租户中的指定用户在客户租户中部署的 Microsoft Sentinel 工作区上访问和执行管理操作。

创建授权时,可以将 Microsoft Sentinel 内置角色分配给管理租户中的用户、组或服务主体:

你可能还想要分配其他内置角色来执行其他功能。 有关可与 Microsoft Sentinel 一起使用的特定角色的信息,请参阅 Microsoft Sentinel 中的角色和权限

加入客户后,指定的用户可以登录到管理租户,并使用分配的角色直接访问客户的 Microsoft Sentinel 工作区

跨工作区查看和管理事件

如果要为多个客户管理 Microsoft Sentinel 资源,可以一次在不同租户中查看和管理多个工作区中的事件。 有关详细信息,请参阅在多个工作区中同时处理事件跨工作区和租户扩展 Microsoft Sentinel

注意

请确保已为管理租户中的用户分配了对所管理的所有工作区的读取和写入权限。 如果用户仅在某些工作区上具有读取权限,则在这些工作区中选择事件时,可能会显示警告消息,并且该用户将无法修改这些事件或与这些事件一起被选定的任何其他事件(即使用户具有其他事件的写入权限)。

配置缓解 playbook

在触发警报时,playbook 可用于自动缓解。 可以手动运行这些 playbook,也可以在触发特定警报时自动运行。 可以在管理租户或客户租户中部署 playbook,并根据哪个租户的用户应采取措施来响应安全威胁的响应过程来配置响应程序。

创建跨租户工作簿

Microsoft Sentinel 中 Azure Monitor 工作簿可帮助你可视化和监视已连接数据源中的数据,以获取见解。 可以在 Microsoft Sentinel 中使用内置工作簿模板,也可以为方案创建自定义工作簿。

你可以在管理租户中部署工作簿并创建缩放仪表板,以跨客户租户监视和查询数据。 有关详细信息,请参阅跨工作区的工作簿

你还可以直接在管理的单个租户中部署工作簿,以便为特定于该客户的方案进行管理。

跨 Microsoft Sentinel 工作区运行 Log Analytics 和搜寻查询

在管理租户中集中创建并保存用于威胁检测的 Log Analytics 查询,包括搜寻查询。 可以通过使用 Union 运算符和 workspace() 表达式在所有客户的 Microsoft Sentinel 工作区中运行这些查询。

有关详细信息,请参阅跨工作区查询

使用自动化进行跨工作区管理

可以使用自动化来管理多个 Microsoft Sentinel 工作区,并配置搜寻查询、playbook 和工作簿。 有关详细信息,请参阅使用自动化的跨工作区管理

监视 Office 365 环境的安全性

结合使用 Azure Lighthouse 和 Microsoft Sentinel 来跨租户监视 Office 365 环境的安全性。 首先,在托管租户中启用现有的 Office 365 数据连接器。 然后,将 Exchange 和 SharePoint(包括 OneDrive)中的用户和管理活动的信息引入托管租户中的 Microsoft Sentinel 工作区。 此信息包括有关操作的详细信息,例如文件下载、发送的访问请求、对组事件的更改和邮箱操作以及有关执行操作的用户的详细信息。 Office 365 DLP 警报也作为内置 office 365 连接器的一部分受到支持。

设置 Office 365 数据连接器后,可以使用跨租户 Microsoft Sentinel 功能,如查看和分析工作簿中的数据、使用查询创建自定义警报,以及配置行动手册以应对威胁。

保护知识产权

与客户合作时,你可能想要保护在 Microsoft Sentinel 中开发的知识产权,例如 Microsoft Sentinel 分析规则、搜寻查询、playbook 和工作簿。 可使用不同的方法来确保客户无法完全访问这些资源中使用的代码。

有关详细信息,请参阅在 Microsoft Sentinel 中保护 MSSP 知识产权

后续步骤