Расширение Microsoft Sentinel на рабочие области и арендаторы
При подключении Microsoft Sentinel прежде всего необходимо выбрать рабочую область Log Analytics. Хотя вы можете использовать все возможности Microsoft Sentinel с одной рабочей областью, в некоторых случаях может потребоваться расширить рабочую область, чтобы запрашивать и анализировать данные в нескольких рабочих областях и клиентах. Дополнительные сведения см. в статье Проектирование архитектуры рабочей области Log Analytics и подготовка к нескольким рабочим областям и клиентам в Microsoft Sentinel.
Если вы настроите Microsoft Sentinel на портал Microsoft Defender, ознакомьтесь с мультитенантным управлением Microsoft Defender.
Управление инцидентами в нескольких рабочих областях
Microsoft Sentinel поддерживает представление инцидентов с несколькими рабочими областями, в котором можно централизованно управлять инцидентами в нескольких рабочих областях и отслеживать их. Централизованное представление инцидентов позволяет напрямую управлять ими или прозрачно детализировать инциденты до получения данных об инциденте в контексте исходной рабочей области.
Запрос нескольких рабочих областей
Вы можете выполнять запросы к нескольким рабочим областям, чтобы осуществлять сопоставление и поиск данных из нескольких рабочих областей в одном запросе.
workspace( )
Используйте выражение с идентификатором рабочей области в качестве аргумента, чтобы ссылаться на таблицу в другой рабочей области.- Ознакомьтесь с важными сведениями об использовании форматов идентификаторов, чтобы обеспечить правильную производительность.
Используйте оператор объединения вместе с
workspace( )
выражением, чтобы применить запрос к таблицам в нескольких рабочих областях.Для упрощения запросов между рабочими областями можно использовать сохраненные функции. Например, можно сократить длинную ссылку на таблицу SecurityEvent в рабочей области Customer A, сохранив выражение.
workspace("/subscriptions/<customerA_subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName>").SecurityEvent
в качестве функции, называемой
SecurityEventCustomerA
. Затем вы можете запросить таблицу SecurityEvent customer A с помощью этой функции:SecurityEventCustomerA | where ...
Функция также может упростить часто используемое объединение. Например, можно сохранить следующее выражение как функцию с именем
unionSecurityEvent
:union workspace("/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName1>").SecurityEvent, workspace("/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName2>").SecurityEvent
Затем можно создавать запрос в обеих рабочих областях, начиная с
unionSecurityEvent | where ...
.
Включение запросов между рабочими областями в правилах запланированной аналитики
Запросы между рабочими областями можно включить в правила запланированной аналитики. Правила аналитики для нескольких рабочих областей можно использовать в центральном SOC, а также между клиентами (с помощью Azure Lighthouse), подходящими для MSSP. Это использование распространяется на следующие ограничения:
- В один запрос можно включить до 20 рабочих областей. Однако для хорошей производительности рекомендуется включать не более 5.
- Microsoft Sentinel необходимо развернуть в каждой рабочей области, на которую ссылается запрос.
- Оповещения, созданные правилом аналитики нескольких рабочих областей, и инциденты, созданные на их основе, существуют только в рабочей области, в которой определено правило. Оповещения не будут отображаться в других рабочих областях, на которые ссылается запрос.
- Правило аналитики между рабочими областями, как и любое правило аналитики, продолжит работать, даже если пользователь, создавший правило, теряет доступ к рабочим областям, на которые ссылается запрос правила. Единственным исключением из этого является случай с рабочими областями в разных подписках и (или) клиентах, отличных от правила аналитики.
Оповещения и инциденты, созданные правилами аналитики для нескольких рабочих областей, будут содержать все связанные сущности, в том числе связанные сущности из всех рабочих областей, на которые присутствуют ссылки, а также из "домашней" рабочей области (в которой определено правило). Это позволит аналитикам получить полную картину оповещений и инцидентов.
Примечание.
Обращение к нескольким рабочим областям в одном запросе может повлиять на производительность, поэтому рекомендуется использовать его, только если эти функциональные возможности требуются логикой.
Использование книг между рабочими областями
Книги предоставляют панели мониторинга и приложения для Microsoft Sentinel. При работе с несколькими рабочими областями книги позволяют выполнять действия в рабочих областях, а также осуществлять мониторинг рабочих областей.
Для выполнения запросов к нескольким рабочим областям в книгах может использоваться один из трех способов, в зависимости от уровня опыта конечного пользователя:
Метод | Description | Когда использовать? |
---|---|---|
Создание запросов к нескольким рабочим областям | Создатель книги может создавать в книге запросы к нескольким рабочим областям (описанные выше). | Я хочу, чтобы создатель книги создал структуру рабочей области, которая является прозрачной для пользователя. |
Добавление в книгу селектора рабочей области | Создатель книги может реализовать селектор рабочей области в составе книги. | Я хочу разрешить пользователю управлять рабочими областями, отображаемыми в книге, с помощью простого раскрывающегося списка. |
Интерактивное редактирование книги | Опытный пользователь может, изменяя существующую книгу, редактировать запросы в ней, выбирая в редакторе целевые рабочие области с помощью селектора рабочей области. | Я хочу разрешить опытному пользователю легко изменять существующие книги для работы с несколькими рабочими областями. |
Поиск между несколькими рабочими областями
Microsoft Sentinel предоставляет предварительно загруженные примеры запросов, предназначенные для начала работы и знакомства с таблицами и языком запросов. Исследователи по безопасности Майкрософт постоянно добавляют новые встроенные запросы и уточняют существующие запросы. Эти запросы можно использовать для определения новых ситуаций вторжения и выявления признаков вторжения, которые могли пропустить средства обеспечения безопасности.
Возможности поиска в нескольких рабочих областях позволяют соответствующим специалистам создавать новые или адаптировать существующие запросы поиска, чтобы охватить несколько рабочих областей, с помощью оператора union и выражения workspace(), как показано выше.
Управление несколькими рабочими областями с помощью автоматизации
Чтобы настроить несколько рабочих областей Log Analytics, включенных для Microsoft Sentinel, необходимо автоматизировать использование API управления Microsoft Sentinel.
- Ознакомьтесь со сведениями о том, как автоматизировать развертывание ресурсов Microsoft Sentinel, включая правила генерации оповещений, запросы охоты, книги и сборники схем.
- Ознакомьтесь со сведениями о том, как развернуть пользовательское содержимое из вашего репозитория. В этой статье описана консолидированная методология управления Microsoft Sentinel в виде кода, а также развертывания и настройки ресурсов из частного репозитория Azure DevOps или GitHub.
Управление рабочими областями в клиентах с помощью Azure Lighthouse
Как упоминалось выше, во многих сценариях различные рабочие области Log Analytics, включенные для Microsoft Sentinels, могут находиться в разных клиентах Microsoft Entra. Azure Lighthouse можно использовать для расширения всех действий между рабочими областями по границам клиента, позволяя пользователям в управляющем клиенте работать над рабочими областями во всех клиентах.
После подключения Azure Lighthouse используйте каталог + селектор подписки на портале Azure, чтобы выбрать все подписки, содержащие рабочие области, которыми требуется управлять, гарантируя их доступность в разных селекторах рабочих областей на портале.
При использовании Azure Lighthouse рекомендуется создать группу для каждой роли Microsoft Sentinel и делегировать в эти группы разрешения из каждого клиента.
Следующие шаги
В этой статье вы узнали, как расширить возможности Microsoft Sentinel на несколько рабочих областей и клиентов. Практические рекомендации по реализации архитектуры Microsoft Sentinel для нескольких рабочих областей см. в следующих статьях:
- Узнайте, как работать с несколькими клиентами в Microsoft Sentinel с помощью Azure Lighthouse.
- Узнайте, как легко просматривать инциденты в нескольких рабочих областях и управлять ими.