跨工作区和租户扩展 Microsoft Sentinel

当你加入 Microsoft Sentinel 时,第一步是选择 Log Analytics 工作区。 虽然可以在单个工作区中获得 Microsoft Sentinel 体验的全部优势,但在某些情况下,你可能希望扩展工作区以跨工作区和租户查询和分析数据。 有关详细信息,请参阅设计 Log Analytics 工作区体系结构为 Microsoft Sentinel 中的多个工作区和租户进行准备

管理多个工作区中的事件

Microsoft Sentinel 支持多工作区事件视图,你可以在其中跨多个工作区集中管理和监视事件。 在集中式事件视图中,可以直接管理事件,或者以透明方式向下钻取到来源工作区上下文中的事件详细信息。

查询多个工作区

可以查询多个工作区,这样就可以通过单个查询搜索和关联多个工作区中的数据。

  • 使用 workspace( ) 表达式,将工作区标识符作为参数,以引用另一工作区中的表。

    • 请参阅有关使用标识符格式的重要信息,以确保获得适当的性能。
  • 并集运算符workspace() 表达式结合使用,以跨多个工作区中的表应用查询。

  • 可以使用保存的函数来简化跨工作区查询。 例如,可以通过保存表达式来缩短对客户 A 工作区中 SecurityEvent 表的长引用

    workspace("/subscriptions/<customerA_subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName>").SecurityEvent
    

    作为一个名为 SecurityEventCustomerA 的函数。 然后,可以使用以下函数查询客户 A 的 SecurityEvent 表:SecurityEventCustomerA | where ...

  • 函数还可以简化常用的联合。 例如,可将以下表达式另存为名为 unionSecurityEvent 的函数:

    union 
    workspace("/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName1>").SecurityEvent, 
    workspace("/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName2>").SecurityEvent
    

    然后,可以从 unionSecurityEvent | where ... 开始,编写跨这两个工作区的查询。

将跨工作区查询包含在计划的分析规则中

你可以将跨工作区查询包含在计划的分析规则中。 可以在中央 SOC 中跨租户使用适用于 MSSP 的跨工作区分析规则(使用 Azure Lighthouse)。 使用存在以下限制:

  • 一个查询中最多可以包含 20 个工作区。 但是,为了获得良好的性能,我们建议包含不超过 5 个。
  • 必须在查询所引用的每个工作区中部署 Microsoft Sentinel。
  • 跨工作区分析规则生成的警报,以及从其创建的事件只存在于定义了该规则的工作区中。 这些警报不会显示在查询所引用的任何其他工作区中。
  • 与任何分析规则一样,跨工作区分析规则将继续运行,即使创建规则的用户失去了对规则查询中引用的工作区的访问权限。 唯一的例外是工作区与分析规则位于不同的订阅和/或租户中时

跨工作区分析规则创建的警报和事件包含所有相关实体,其中包括所有引用的工作区和“主”工作区(在其中定义规则)中的相关实体。 这样,分析师就能够全面了解警报和事件。

注意

在同一查询中查询多个工作区可能影响性能,因此仅当逻辑需要此功能时,才建议这样做。

使用跨工作区的工作簿

工作簿为 Microsoft Sentinel 提供仪表板和应用。 使用多个工作区时,工作簿将跨工作区提供监视和操作。

工作簿可通过以下三种方法之一(分别适合不同的最终用户专业水平)提供跨工作区查询:

方法 说明 何时使用?
编写跨工作区查询 工作簿创建者可以在工作簿中编写跨工作区查询(前面已介绍)。 我希望工作簿创建者创建一个对用户透明的工作区结构。
将工作区选择器添加到工作簿 工作簿创建者可以实现一个工作区选择器作为工作簿的一部分 我想允许用户使用易用的下拉框来控制工作簿显示的工作区。
以交互方式编辑工作簿 修改现有工作簿的高级用户可在其中编辑查询(使用编辑器中的工作区选择器选择目标工作区)。 我想允许 Power User 轻松地将现有工作簿修改为使用多个工作区。

跨多个工作区搜寻

Microsoft Sentinel 提供预加载的查询示例,旨在帮助你入门并熟悉表和查询语言。 Microsoft 安全研究人员不断添加新的内置查询并微调现有查询。 可以使用这些查询查找新的检测,并识别安全工具可能已错过的入侵迹象。

借助跨工作区搜寻功能,威胁搜寻者可以使用前面所示的 union 运算符和 workspace() 表达式创建新的搜寻查询或改编现有查询,以涵盖多个工作区。

使用自动化来管理多个工作区

若要配置和管理多个为 Microsoft Sentinel 启用的 Log Analytics 工作区,需要自动化 Microsoft Sentinel 管理 API 的使用。

了解如何自动化 Microsoft Sentinel 资源的部署,包括预警规则、搜寻查询、工作簿和 playbook。

使用 Azure Lighthouse 跨租户管理工作区

如上所述,在许多情况下,为 Microsoft Sentinels 启用的不同 Log Analytics 工作区可以位于不同的 Microsoft Entra 租户中。 可以使用 Azure Lighthouse 跨租户边界扩展所有跨工作区活动,使管理租户中的用户能够跨所有租户使用工作区。

加入 Azure Lighthouse 后,使用 Azure 门户上的目录 + 订阅选择器选择包含你要管理的工作区的所有订阅,以确保在门户上的不同工作区选择器中提供所有这些订阅。

使用 Azure Lighthouse 时,建议为每个 Microsoft Sentinel 角色创建一个组,并将每个租户中的权限委托给这些组。

后续步骤

在本文中,你已了解如何跨多个工作区和租户扩展 Microsoft Sentinel 的功能。 有关实施 Microsoft Sentinel 跨工作区体系结构的实用指导,请参阅以下文章: