大規模管理 Microsoft Sentinel 工作區
Azure Lighthouse 可讓服務提供者一次在多個 Microsoft Entra 租用戶之間執行大規模作業,讓管理工作更有效率。
Microsoft Sentinel 提供智慧安全性分析與威脅情報,提供警示偵測、威脅可見度、主動式搜捕與威脅回應的單一解決方案。 透過 Azure Lighthouse,您可以大規模跨租用戶管理多個 Microsoft Sentinel 工作區。 這可讓跨多個工作區執行查詢等情節,或建立活頁簿,以便視覺化和監視來自連線資料來源的資料以取得見解。 會將查詢和劇本等 IP 保留在管理租用戶中,但可用來在客戶租用戶執行安全性管理。
本主題概述 Azure Lighthouse 如何讓您為跨租用戶可見度和受控安全性服務,以可調整的方式使用 Microsoft Sentinel。
提示
雖然我們在此主題中提及服務提供者和客戶,但本指南也適用於使用 Azure Lighthouse 來管理多個租用戶的企業。
架構考量
針對想使用 Microsoft Sentinel 組建安全性即服務供應項目的受控安全性服務提供者 (MSSP),可能會需要部署在個別客戶租用戶中,集中監視、管理和設定多個 Microsoft Sentinel 工作區的單一安全性作業中心 (SOC)。 同樣地,具有多個 Microsoft Entra 租用戶的企業,可能會想要集中管理跨其租用戶部署的多個 Microsoft Sentinel 工作區。
此集中式管理模型的優點如下所述:
- 會將資料的所有權和每個受控租用戶一起保留。
- 支援將資料儲存在地理界限內的需求。
- 因為不會將多個客戶的資料儲存在相同的工作區中,所以會確保資料的隔離。
- 防止受控租用戶資料外流,協助確保資料合規性。
- 會向每個受控租用戶收取相關費用,而不是向管理租用戶收費。
- 與 Microsoft Sentinel 整合之所有資料來源和資料連接器的資料 (例如 Microsoft Entra 活動記錄、Office 365 記錄或 Microsoft 威脅防護警示) 都會保留在每個客戶租用戶中。
- 減少網路延遲。
- 輕鬆新增或移除新的子公司或客戶。
- 能夠透過 Azure Lighthouse 使用多重工作區檢視。
- 若要保護您的智慧財產權,您可以使用劇本和活頁簿來跨租用戶工作,不需要直接與客戶共用程式碼。 只需要將分析和搜捕規則直接儲存在每個客戶的租用戶中。
重要
如果只在客戶租用戶中建立工作區,則 Microsoft.SecurityInsights 和 Microsoft.OperationalInsights 資源提供者也必須在管理租用戶的訂用帳戶上進行註冊。
替代部署模型就是在管理租用戶中建立一個 Microsoft Sentinel 工作區。 在此模型中,Azure Lighthouse 可讓您從跨受控租用戶資料來源集合記錄。 不過,有些資料來源無法跨租用戶連線,例如 Microsoft Defender XDR。 由於這項限制,此模型不適用於多個服務提供者情節。
Granular Azure 角色型存取控制 (Azure RBAC)
必需把 MSSP 將會管理的每個客戶訂用帳戶上線至 Azure Lighthouse。 這可讓管理租用戶中的指定使用者,在部署於客戶租用戶的 Microsoft Sentinel 工作區上存取和執行管理作業。
建立授權時,您可以將 Microsoft Sentinel 內建角色指派給管理租用戶中的使用者、群組或服務主體。 常見的角色包括:
您可能也想要指派其他內建角色來執行其他功能。 如需可與 Microsoft Sentinel 搭配使用的特定角色相關資訊,請參閱 Microsoft Sentinel 中的角色和權限。
將客戶上線之後,指定的使用者可以登入您的管理租用戶,並使用指派的角色直接存取客戶的 Microsoft Sentinel 工作區。
檢視和管理跨工作區的事件
如果您要使用多個客戶的 Microsoft Sentinel 資源,您可以跨不同租用戶,一次檢視和管理多個工作區中的事件。 如需詳細資訊,請參閱一次處理多個工作區中的事件和跨工作區和租用戶延伸 Microsoft Sentinel。
注意
請確定已將所有受控工作區的讀取和寫入權限指派給管理租用戶中的使用者。 如果使用者只有某些工作區的讀取權限,在那些工作區選取事件時,可能會出現警告訊息,使用者將無法修改那些事件或任何其他與其一起選取的事件 (就算使用者的確有其他事件的寫入權限)。
為風險降低設定劇本
觸發警示時,劇本可用於自動風險降低。 可以手動執行這些劇本,或在觸發特定警示時自動執行。 可以將劇本部署在管理租用戶或客戶租用戶中,並根據哪些租用戶使用者應採取行動以回應安全性威脅設定回應程序。
建立跨租用戶活頁簿
Microsoft Sentinel 的 Azure 監視器活頁簿可協助您視覺化,以及監視來自連線資料來源的資料,並進一步深入解析。 您可以使用 Microsoft Sentinel 中的內建活頁簿範本,或為您的情節建立自訂活頁簿。
您可以在管理租用戶中部署活頁簿,並建立大規模的儀表板,以監視和查詢跨客戶租用戶的資料。 如需詳細資訊,請參閱跨工作區活頁簿。
您也可以直接在個別受控租用戶中部署活頁簿,以滿足該特定客戶的情況。
跨 Microsoft Sentinel 工作區執行記錄分析和搜捕查詢
為威脅偵測在管理租用戶中,集中建立並儲存記錄分析查詢,包括搜捕查詢。 接著可以透過使用聯合運算子和 workspace() 運算式,在跨所有客戶的 Microsoft Sentinel 工作區執行這些查詢。
如需詳細資訊,請參閱查詢多個工作區。
為跨工作區管理使用自動化
您可以使用自動化來管理多個 Microsoft Sentinel 工作區,並設定 搜捕查詢、劇本和活頁簿。 如需詳細資訊,請參閱使用自動化來管理多個工作區。
監視 Office 365 環境的安全性
搭配使用 Azure Lighthouse 與 Microsoft Sentinel 來監視跨租用戶的 Office 365 環境安全性。 首先,在受控租用戶中啟用現成 Office 365 資料連接器。 然後,Exchange 和 SharePoint (包括 OneDrive) 中使用者和管理員活動的相關資訊都可以内嵌至受控租用戶內的 Microsoft Sentinel 工作區。 此資訊包括動作的詳細資料,例如檔案下載、傳送的存取要求、群組事件的變更、信箱作業,以及執行那些動作的使用者相關詳細資料。 也支援作為內建 Office 365 連接器的一部分的 Office 365 DLP 警示。
Microsoft Defender for Cloud Apps 連接器可讓您將警示和 Cloud Discovery 記錄串流至 Microsoft Sentinel。 此連線可讓您查看雲端應用程式,提供精細的分析來識別和對抗網路威脅,並協助您控制資料移動的方式。 您可以使用常見事件格式 (CEF)來取用適用於雲端 Defender 的活動記錄。
設定 Office 365 資料連線器之後,您可以使用跨租用戶 Microsoft Sentinel 功能,例如檢視和分析活頁簿中的資料、使用查詢來建立自訂警示,以及設定劇本來回應威脅。
保護智慧財產權
與客戶合作時,您可能想要保護使用 Microsoft Sentinel 所開發的智慧財產權,例如 Microsoft Sentinel 分析規則、搜捕查詢、劇本和活頁簿。 您可以使用不同方法來確保客戶無法完整存取在這些資源中所使用的程式碼。
如需詳細資訊,請參閱保護 Microsoft Sentinel 中的 MSSP 智慧財產權。
下一步
- 了解 Microsoft Sentinel。
- 檢閱 Microsoft Sentinel 價格分頁。
- 探索 MicrosoftSentinel All-in-One 專案,以加速 Microsoft Sentinel 環境的部署和初始設定工作。
- 了解跨租用戶管理體驗。