Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описываются методы, которые управляемые поставщики служб безопасности (MSSP) могут использовать для защиты интеллектуальной собственности, разработанной в Microsoft Sentinel, например правила Microsoft Sentinel аналитики, запросы охоты, сборники схем и книги.
Выбранный метод зависит от того, как каждый из ваших клиентов покупает Azure; выступаете ли вы в качестве поставщика облачных решений (CSP) или у клиента есть учетная запись Соглашение Enterprise (EA) или pay-as-go (PAYG). В следующих разделах каждый из этих методов описывается отдельно.
Поставщики облачных решений (CSP)
Если вы перепродаете Azure в качестве поставщика облачных решений (CSP), вы управляете подпиской клиента на Azure. Благодаря Администратор-On-Behalf-Of (AOBO) пользователи в группе агентов Администратор из клиента MSSP получают доступ владельца к Azure подписке клиента, а клиент по умолчанию не имеет доступа.
Если другим пользователям из клиента MSSP за пределами группы агентов Администратор требуется доступ к клиентской среде, рекомендуется использовать Azure Lighthouse. Azure Lighthouse позволяет предоставлять пользователям или группам доступ к определенной область, например к группе ресурсов или подписке, используя одну из встроенных ролей.
Если вам нужно предоставить пользователям-клиентам доступ к Azure среде, рекомендуется предоставить им доступ на уровне группы ресурсов, а не всей подписки, чтобы при необходимости можно было отображать или скрывать части среды.
Например, вы можете:
Вы можете предоставить клиенту доступ к нескольким группам ресурсов, в которых находятся его приложения, но по-прежнему сохранить рабочую область Microsoft Sentinel в отдельной группе ресурсов, где у клиента нет доступа.
Этот метод позволяет клиентам просматривать выбранные книги и сборники схем, которые являются отдельными ресурсами, которые могут находиться в их собственной группе ресурсов.
Даже при предоставлении доступа на уровне группы ресурсов клиенты имеют доступ к данным журнала для ресурсов, к которым они могут получить доступ, например к журналам с виртуальной машины, даже без доступа к Microsoft Sentinel. Дополнительные сведения см. в статье Управление доступом к Microsoft Sentinel данным по ресурсу.
Совет
Если вам нужно предоставить клиентам доступ ко всей подписке, вы можете ознакомиться с рекомендациями в разделе Соглашения Enterprise (EA) или Pay-as-go (PAYG).
Пример архитектуры Microsoft Sentinel CSP
На следующем рисунке показано, как могут работать разрешения, описанные в предыдущем разделе , при предоставлении доступа клиентам CSP:
На этом рисунке:
Пользователями, которым предоставлен доступ владельца к подписке CSP, являются пользователи в группе агентов Администратор в клиенте MSSP Microsoft Entra.
Другие группы из MSSP получают доступ к клиентской среде через Azure Lighthouse.
Доступ клиентов к Azure ресурсам управляется Azure RBAC на уровне группы ресурсов.
Это позволяет MSSP при необходимости скрывать Microsoft Sentinel компоненты, такие как правила аналитики и запросы охоты.
Дополнительные сведения также см. в документации по Azure Lighthouse.
Соглашения Enterprise (EA) / оплата по мере использования (PAYG)
Если ваш клиент покупает напрямую у корпорации Майкрософт, у него уже есть полный доступ к среде Azure, и вы не можете скрыть ничего, что находится в подписке клиента Azure.
Вместо этого защитите интеллектуальную собственность, разработанную в Microsoft Sentinel следующим образом, в зависимости от типа ресурса, который необходимо защитить:
Правила аналитики и запросы охоты
Правила аналитики и запросы охоты содержатся в Microsoft Sentinel и поэтому не могут быть отделены от рабочей области Microsoft Sentinel.
Даже если пользователь имеет только Microsoft Sentinel разрешения читателя, он может просматривать запрос. В этом случае рекомендуется размещать правила аналитики и запросы охоты в собственном клиенте MSSP, а не в клиенте клиента.
Для этого вам потребуется рабочая область в вашем клиенте с включенным Microsoft Sentinel, а также просмотреть рабочую область клиента через Azure Lighthouse.
Чтобы создать правило аналитики или запрос охоты в клиенте MSSP, который ссылается на данные в клиенте клиента, необходимо использовать следующую workspace инструкцию:
workspace('<customer-workspace-explicit-identifier>').SecurityEvent
| where EventID == ‘4625’
При добавлении workspace оператора в правила аналитики учитывайте следующее:
Чтобы повысить производительность, используйте явный идентификатор рабочей области клиента в запросе между рабочими областями. Дополнительные сведения см. в разделе Форматы идентификаторов для запросов между рабочими областями.
В рабочей области клиента нет оповещений. Правила, созданные таким образом, не создают оповещения или инциденты в рабочей области клиента. Оповещения и инциденты существуют только в рабочей области MSSP.
Создание отдельных оповещений для каждого клиента. При использовании этого метода также рекомендуется использовать отдельные правила генерации оповещений для каждого клиента и обнаружения, так как инструкция рабочей области в каждом случае отличается.
Вы можете добавить имя клиента в имя правила генерации оповещений, чтобы легко определить клиента, на котором активируется оповещение. Отдельные оповещения могут привести к большому количеству правил, которыми может потребоваться управлять с помощью скриптов или Microsoft Sentinel как код.
Например, вы можете:
Создание отдельных рабочих областей MSSP для каждого клиента. Создание отдельных правил для каждого клиента и обнаружение может привести к достижению максимального количества правил аналитики для рабочей области (512). Если у вас много клиентов и вы планируете достичь этого ограничения, вы можете создать отдельную рабочую область MSSP для каждого клиента.
Например, вы можете:
Важно!
Ключом к успешному использованию этого метода является использование автоматизации для управления большим набором правил в рабочих областях.
Дополнительные сведения см. в статье Правила аналитики между рабочими областями.
Книги
Если вы разработали книгу Microsoft Sentinel, которую клиент не должен копировать, разместите ее в клиенте MSSP. Убедитесь, что у вас есть доступ к рабочим областям клиентов через Azure Lighthouse, а затем измените книгу, чтобы использовать эти рабочие области клиентов.
Например, вы можете:
Дополнительные сведения см. в разделе Книги между рабочими областями.
Если вы хотите, чтобы клиент мог просматривать визуализации книг, сохраняя при этом секрет кода, рекомендуется экспортировать книгу в Power BI.
Экспорт книги в Power BI:
- Упрощает совместное использование визуализаций книг. Вы можете отправить клиенту ссылку на панель мониторинга Power BI, где он может просматривать сообщаемые данные, не требуя Azure разрешений на доступ.
- Включает планирование. Настройте Power BI для периодической отправки сообщений электронной почты, содержащих snapshot панели мониторинга за это время.
Дополнительные сведения см. в статье Импорт данных журнала Azure Monitor в Power BI.
Сборники схем
Вы можете защитить сборники схем следующим образом в зависимости от того, где были созданы правила аналитики, которые активируют сборник схем.
Правила аналитики, созданные в рабочей области MSSP. Обязательно создайте сборники схем в клиенте MSSP и получите все данные об инцидентах и оповещениях из рабочей области MSSP. Сборники схем можно присоединять при создании нового правила в рабочей области.
Например, вы можете:
Правила аналитики, созданные в рабочей области клиента. Используйте Azure Lighthouse, чтобы присоединить правила аналитики из рабочей области клиента к сборнику схем, размещенной в рабочей области MSSP. В этом случае сборник схем получает данные об оповещениях и инцидентах, а также любые другие сведения о клиентах из рабочей области клиента.
Например, вы можете:
В обоих случаях, если сборнику схем требуется доступ к среде Azure клиента, используйте пользователя или субъекта-службы, который имеет доступ через Lighthouse.
Однако если сборнику схем требуется доступ к ресурсам, не Azure в клиенте клиента, например Microsoft Entra ID, Office 365 или Microsoft Defender XDR, создайте субъект-службу с соответствующими разрешениями в клиенте клиента, а затем добавьте это удостоверение в сборник схем.
Примечание.
Если вы используете правила автоматизации вместе с сборниками схем, необходимо задать разрешения правил автоматизации для группы ресурсов, в которой живут сборники схем. Дополнительные сведения см. в разделе Разрешения для правил автоматизации для запуска сборников схем.
Дальнейшие действия
Дополнительные сведения см. в указанных ниже статьях.
- Microsoft Sentinel технический сборник схем для MSSP
- Управление несколькими клиентами в Microsoft Sentinel в качестве MSSP
- Расширение Microsoft Sentinel между рабочими областями и клиентами
- Визуализация и мониторинг данных
- Руководство. Настройка автоматизированных ответов на угрозы в Microsoft Sentinel