如果你是安全托管服务提供商 (MSSP),并且正在使用 Azure Lighthouse 为客户提供安全运营中心 (SOC) 服务,那么你可直接从你自己的 Azure 租户管理客户的 Microsoft Sentinel 资源,无需连接到客户的租户。 面向 MSSP 的 Microsoft Sentinel 技术 playbook 是最佳做法的极佳来源。 有关更多信息,请在此处https://aka.ms/mssentinelmssp下载技术手册。
先决条件
验证 Microsoft Sentinel 资源提供程序的注册
若要正确管理多个租户,你的 MSSP 租户必须在至少一个订阅上注册 Microsoft Sentinel 资源提供程序,而且每个客户的租户都必须注册资源提供程序。
如果你已在自己的租户中注册了 Microsoft Sentinel,而客户也已在其租户中完成注册,那么就可以开始在托管租户中访问 Microsoft Sentinel。
验证注册:
从 Azure 门户中选择“订阅”,然后从菜单中选择相关订阅。
从订阅屏幕上的导航菜单中的“设置”下,选择“资源提供程序”。
在“订阅名称 | 资源提供程序”屏幕中,搜索并选择“Microsoft.OperationalInsights”和“Microsoft.SecurityInsights”,并检查“状态”列。 如果提供程序的状态为“未注册”,请选择“注册”。
在托管租户中访问 Microsoft Sentinel
在“目录 + 订阅”下,选择委托目录(目录 = 租户)和客户的 Microsoft Sentinel 工作区所在的订阅。
打开 Microsoft Sentinel,你会看到选定订阅中的所有工作区,并且能够无缝地使用这些工作区,就像使用你自己的租户中的任何工作区一样。
注意
您将无法在通过 Azure Lighthouse 配置的托管工作区中直接在 Microsoft Sentinel 内部署连接器。 若要以这种方式部署连接器,还必须配置 GDAP。 有关本主题的详细信息,请参阅 MSSP 的 Microsoft Sentinel 技术手册(https://aka.ms/mssentinelmssp)。
相关内容
本文档介绍了如何无缝地管理多个 Microsoft Sentinel 租户。 若要详细了解 Microsoft Sentinel,请参阅以下文章: