Защита интеллектуальной собственности MSSP в Microsoft Sentinel

В этой статье описываются методы, которые управляемые поставщики служб безопасности (MSSP) могут использовать для защиты интеллектуальной собственности, разработанной в Microsoft Sentinel, например правила Microsoft Sentinel аналитики, запросы охоты, сборники схем и книги.

Выбранный метод зависит от того, как каждый из ваших клиентов покупает Azure; выступаете ли вы в качестве поставщика облачных решений (CSP) или у клиента есть учетная запись Соглашение Enterprise (EA) или pay-as-go (PAYG). В следующих разделах каждый из этих методов описывается отдельно.

Поставщики облачных решений (CSP)

Если вы перепродаете Azure в качестве поставщика облачных решений (CSP), вы управляете подпиской клиента на Azure. Благодаря Администратор-On-Behalf-Of (AOBO) пользователи в группе агентов Администратор из клиента MSSP получают доступ владельца к Azure подписке клиента, а клиент по умолчанию не имеет доступа.

Если другим пользователям из клиента MSSP за пределами группы агентов Администратор требуется доступ к клиентской среде, рекомендуется использовать Azure Lighthouse. Azure Lighthouse позволяет предоставлять пользователям или группам доступ к определенной область, например к группе ресурсов или подписке, используя одну из встроенных ролей.

Если вам нужно предоставить пользователям-клиентам доступ к Azure среде, рекомендуется предоставить им доступ на уровне группы ресурсов, а не всей подписки, чтобы при необходимости можно было отображать или скрывать части среды.

Например, вы можете:

  • Вы можете предоставить клиенту доступ к нескольким группам ресурсов, в которых находятся его приложения, но по-прежнему сохранить рабочую область Microsoft Sentinel в отдельной группе ресурсов, где у клиента нет доступа.

  • Этот метод позволяет клиентам просматривать выбранные книги и сборники схем, которые являются отдельными ресурсами, которые могут находиться в их собственной группе ресурсов.

Даже при предоставлении доступа на уровне группы ресурсов клиенты имеют доступ к данным журнала для ресурсов, к которым они могут получить доступ, например к журналам с виртуальной машины, даже без доступа к Microsoft Sentinel. Дополнительные сведения см. в статье Управление доступом к Microsoft Sentinel данным по ресурсу.

Совет

Если вам нужно предоставить клиентам доступ ко всей подписке, вы можете ознакомиться с рекомендациями в разделе Соглашения Enterprise (EA) или Pay-as-go (PAYG).

Пример архитектуры Microsoft Sentinel CSP

На следующем рисунке показано, как могут работать разрешения, описанные в предыдущем разделе , при предоставлении доступа клиентам CSP:

Защитите свою Microsoft Sentinel интеллектуальную собственность с помощью клиентов CSP.

На этом рисунке:

  • Пользователями, которым предоставлен доступ владельца к подписке CSP, являются пользователи в группе агентов Администратор в клиенте MSSP Microsoft Entra.

  • Другие группы из MSSP получают доступ к клиентской среде через Azure Lighthouse.

  • Доступ клиентов к Azure ресурсам управляется Azure RBAC на уровне группы ресурсов.

    Это позволяет MSSP при необходимости скрывать Microsoft Sentinel компоненты, такие как правила аналитики и запросы охоты.

Дополнительные сведения также см. в документации по Azure Lighthouse.

Соглашения Enterprise (EA) / оплата по мере использования (PAYG)

Если ваш клиент покупает напрямую у корпорации Майкрософт, у него уже есть полный доступ к среде Azure, и вы не можете скрыть ничего, что находится в подписке клиента Azure.

Вместо этого защитите интеллектуальную собственность, разработанную в Microsoft Sentinel следующим образом, в зависимости от типа ресурса, который необходимо защитить:

Правила аналитики и запросы охоты

Правила аналитики и запросы охоты содержатся в Microsoft Sentinel и поэтому не могут быть отделены от рабочей области Microsoft Sentinel.

Даже если пользователь имеет только Microsoft Sentinel разрешения читателя, он может просматривать запрос. В этом случае рекомендуется размещать правила аналитики и запросы охоты в собственном клиенте MSSP, а не в клиенте клиента.

Для этого вам потребуется рабочая область в вашем клиенте с включенным Microsoft Sentinel, а также просмотреть рабочую область клиента через Azure Lighthouse.

Чтобы создать правило аналитики или запрос охоты в клиенте MSSP, который ссылается на данные в клиенте клиента, необходимо использовать следующую workspace инструкцию:

workspace('<customer-workspace-explicit-identifier>').SecurityEvent
| where EventID == ‘4625’

При добавлении workspace оператора в правила аналитики учитывайте следующее:

  • Чтобы повысить производительность, используйте явный идентификатор рабочей области клиента в запросе между рабочими областями. Дополнительные сведения см. в разделе Форматы идентификаторов для запросов между рабочими областями.

  • В рабочей области клиента нет оповещений. Правила, созданные таким образом, не создают оповещения или инциденты в рабочей области клиента. Оповещения и инциденты существуют только в рабочей области MSSP.

  • Создание отдельных оповещений для каждого клиента. При использовании этого метода также рекомендуется использовать отдельные правила генерации оповещений для каждого клиента и обнаружения, так как инструкция рабочей области в каждом случае отличается.

    Вы можете добавить имя клиента в имя правила генерации оповещений, чтобы легко определить клиента, на котором активируется оповещение. Отдельные оповещения могут привести к большому количеству правил, которыми может потребоваться управлять с помощью скриптов или Microsoft Sentinel как код.

    Например, вы можете:

    Создайте отдельные правила в рабочей области MSSP для каждого клиента.

  • Создание отдельных рабочих областей MSSP для каждого клиента. Создание отдельных правил для каждого клиента и обнаружение может привести к достижению максимального количества правил аналитики для рабочей области (512). Если у вас много клиентов и вы планируете достичь этого ограничения, вы можете создать отдельную рабочую область MSSP для каждого клиента.

    Например, вы можете:

    Создайте рабочую область и правила в клиенте MSSP для каждого клиента.

Важно!

Ключом к успешному использованию этого метода является использование автоматизации для управления большим набором правил в рабочих областях.

Дополнительные сведения см. в статье Правила аналитики между рабочими областями.

Книги

Если вы разработали книгу Microsoft Sentinel, которую клиент не должен копировать, разместите ее в клиенте MSSP. Убедитесь, что у вас есть доступ к рабочим областям клиентов через Azure Lighthouse, а затем измените книгу, чтобы использовать эти рабочие области клиентов.

Например, вы можете:

Книги между рабочими областями

Дополнительные сведения см. в разделе Книги между рабочими областями.

Если вы хотите, чтобы клиент мог просматривать визуализации книг, сохраняя при этом секрет кода, рекомендуется экспортировать книгу в Power BI.

Экспорт книги в Power BI:

  • Упрощает совместное использование визуализаций книг. Вы можете отправить клиенту ссылку на панель мониторинга Power BI, где он может просматривать сообщаемые данные, не требуя Azure разрешений на доступ.
  • Включает планирование. Настройте Power BI для периодической отправки сообщений электронной почты, содержащих snapshot панели мониторинга за это время.

Дополнительные сведения см. в статье Импорт данных журнала Azure Monitor в Power BI.

Сборники схем

Вы можете защитить сборники схем следующим образом в зависимости от того, где были созданы правила аналитики, которые активируют сборник схем.

  • Правила аналитики, созданные в рабочей области MSSP. Обязательно создайте сборники схем в клиенте MSSP и получите все данные об инцидентах и оповещениях из рабочей области MSSP. Сборники схем можно присоединять при создании нового правила в рабочей области.

    Например, вы можете:

    Правила, созданные в рабочей области MSSP.

  • Правила аналитики, созданные в рабочей области клиента. Используйте Azure Lighthouse, чтобы присоединить правила аналитики из рабочей области клиента к сборнику схем, размещенной в рабочей области MSSP. В этом случае сборник схем получает данные об оповещениях и инцидентах, а также любые другие сведения о клиентах из рабочей области клиента.

    Например, вы можете:

    Правила, созданные в рабочей области клиента.

В обоих случаях, если сборнику схем требуется доступ к среде Azure клиента, используйте пользователя или субъекта-службы, который имеет доступ через Lighthouse.

Однако если сборнику схем требуется доступ к ресурсам, не Azure в клиенте клиента, например Microsoft Entra ID, Office 365 или Microsoft Defender XDR, создайте субъект-службу с соответствующими разрешениями в клиенте клиента, а затем добавьте это удостоверение в сборник схем.

Примечание.

Если вы используете правила автоматизации вместе с сборниками схем, необходимо задать разрешения правил автоматизации для группы ресурсов, в которой живут сборники схем. Дополнительные сведения см. в разделе Разрешения для правил автоматизации для запуска сборников схем.

Дальнейшие действия

Дополнительные сведения см. в указанных ниже статьях.