Microsoft Sentinel-werkruimten op schaal beheren
Met Azure Lighthouse kunnen serviceproviders bewerkingen op schaal uitvoeren in verschillende Microsoft Entra-tenants tegelijk, waardoor beheertaken efficiënter worden.
Microsoft Sentinel levert beveiligingsanalyses en bedreigingsinformatie en biedt één oplossing voor waarschuwingsdetectie, zichtbaarheid van bedreigingen, proactieve opsporing en reactie op bedreigingen. Met Azure Lighthouse kunt u meerdere Microsoft Sentinel-werkruimten op schaal beheren tussen tenants. Dit maakt het mogelijk scenario's zoals het uitvoeren van query's in meerdere werkruimten of het maken van werkmappen om gegevens uit uw verbonden gegevensbronnen te visualiseren en te bewaken om inzicht te krijgen. IP-adressen zoals query's en playbooks blijven aanwezig in uw beheertenant, maar kunnen worden gebruikt om beveiligingsbeheer uit te voeren in de tenants van de klant.
In dit onderwerp vindt u een overzicht van hoe u met Azure Lighthouse Microsoft Sentinel op een schaalbare manier kunt gebruiken voor zichtbaarheid van meerdere tenants en beheerde beveiligingsservices.
Tip
Hoewel we in dit onderwerp verwijzen naar serviceproviders en klanten, zijn deze richtlijnen ook van toepassing op ondernemingen die Azure Lighthouse gebruiken om meerdere tenants te beheren.
Notitie
U kunt gedelegeerde resources beheren die zich in verschillende regio's bevinden. U kunt echter geen resources delegeren in een nationale cloud en de openbare Azure-cloud, of in twee afzonderlijke nationale clouds.
Overwegingen voor architectuur
Voor een provider van beheerde beveiligingsservices (MSSP) die een Security-as-a-Service-aanbieding wil bouwen met behulp van Microsoft Sentinel, kan één SECURITY Operations Center (SOC) nodig zijn om meerdere Microsoft Sentinel-werkruimten centraal te bewaken, beheren en configureren die zijn geïmplementeerd in afzonderlijke klanttenants. Op dezelfde manier willen ondernemingen met meerdere Microsoft Entra-tenants mogelijk meerdere Microsoft Sentinel-werkruimten centraal beheren die in hun tenants zijn geïmplementeerd.
Dit model van gecentraliseerd beheer heeft de volgende voordelen:
- Het eigendom van gegevens blijft bij elke beheerde tenant.
- Ondersteunt vereisten voor het opslaan van gegevens binnen geografische grenzen.
- Zorgt voor gegevensisolatie, omdat gegevens voor meerdere klanten niet in dezelfde werkruimte worden opgeslagen.
- Hiermee voorkomt u dat gegevensexfiltratie van de beheerde tenants worden gebruikt om gegevenscompatibiliteit te garanderen.
- Gerelateerde kosten worden in rekening gebracht voor elke beheerde tenant, in plaats van aan de beherende tenant.
- Gegevens uit alle gegevensbronnen en gegevensconnectors die zijn geïntegreerd met Microsoft Sentinel (zoals Microsoft Entra-activiteitenlogboeken, Office 365-logboeken of Microsoft Threat Protection-waarschuwingen) blijven binnen elke klanttenant.
- Vermindert de netwerklatentie.
- Eenvoudig nieuwe dochterondernemingen of klanten toevoegen of verwijderen.
- Kan een weergave met meerdere werkruimten gebruiken bij het werken via Azure Lighthouse.
- Als u uw intellectuele eigendom wilt beschermen, kunt u playbooks en werkmappen gebruiken om tussen tenants te werken zonder code rechtstreeks met klanten te delen. Alleen analyse- en opsporingsregels moeten rechtstreeks in de tenant van elke klant worden opgeslagen.
Belangrijk
Als werkruimten alleen worden gemaakt in tenants van klanten, moeten de resourceproviders Microsoft.SecurityInsights & Microsoft.OperationalInsights ook worden geregistreerd in een abonnement in de beherende tenant.
Een alternatief implementatiemodel is het maken van één Microsoft Sentinel-werkruimte in de beherende tenant. In dit model maakt Azure Lighthouse het verzamelen van logboeken vanuit gegevensbronnen in beheerde tenants mogelijk. Er zijn echter enkele gegevensbronnen die niet kunnen worden verbonden tussen tenants, zoals Microsoft Defender XDR. Vanwege deze beperking is dit model niet geschikt voor veel scenario's van serviceproviders.
Gedetailleerd op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC)
Elk klantabonnement dat door een MSSP wordt beheerd, moet worden ge onboardd naar Azure Lighthouse. Hiermee kunnen aangewezen gebruikers in de beherende tenant toegang krijgen tot en beheerbewerkingen uitvoeren in Microsoft Sentinel-werkruimten die zijn geïmplementeerd in tenants van klanten.
Wanneer u uw autorisaties maakt, kunt u de ingebouwde Rollen van Microsoft Sentinel toewijzen aan gebruikers, groepen of service-principals in uw beherende tenant:
U kunt ook extra ingebouwde rollen toewijzen om extra functies uit te voeren. Zie Rollen en machtigingen in Microsoft Sentinel voor informatie over specifieke rollen die kunnen worden gebruikt met Microsoft Sentinel.
Zodra u uw klanten hebt toegevoegd, kunnen aangewezen gebruikers zich aanmelden bij uw beherende tenant en rechtstreeks toegang krijgen tot de Microsoft Sentinel-werkruimte van de klant met de rollen die zijn toegewezen.
Incidenten in werkruimten weergeven en beheren
Als u met Microsoft Sentinel-resources voor meerdere klanten werkt, kunt u incidenten in meerdere werkruimten in verschillende tenants tegelijk bekijken en beheren. Zie Werken met incidenten in veel werkruimten tegelijk en Microsoft Sentinel uitbreiden tussen werkruimten en tenants voor meer informatie.
Notitie
Zorg ervoor dat de gebruikers in uw beheertenant zowel lees- als schrijfmachtigingen voor alle beheerwerkruimten zijn toegewezen. Als een gebruiker alleen leesmachtigingen heeft voor sommige werkruimten, worden er mogelijk waarschuwingsberichten weergegeven bij het selecteren van incidenten in die werkruimten en kan de gebruiker deze incidenten of andere niet samen met hen wijzigen (zelfs als de gebruiker schrijfmachtigingen voor de andere heeft).
Playbooks configureren voor risicobeperking
Playbooks kunnen worden gebruikt voor automatische beperking wanneer een waarschuwing wordt geactiveerd. Deze playbooks kunnen handmatig worden uitgevoerd of automatisch worden uitgevoerd wanneer specifieke waarschuwingen worden geactiveerd. De playbooks kunnen worden geïmplementeerd in de beherende tenant of de tenant van de klant, waarbij de reactieprocedures zijn geconfigureerd op basis van welke gebruikers van de tenant actie moeten ondernemen als reactie op een beveiligingsrisico.
Werkmappen voor meerdere tenants maken
Met Azure Monitor-werkmappen in Microsoft Sentinel kunt u gegevens uit uw verbonden gegevensbronnen visualiseren en bewaken om inzicht te krijgen. U kunt de ingebouwde werkmapsjablonen in Microsoft Sentinel gebruiken of aangepaste werkmappen maken voor uw scenario's.
U kunt werkmappen in uw beherende tenant implementeren en dashboards op schaal maken om gegevens in tenants van klanten te bewaken en er query's op uit te voeren. Zie Werkmappen voor meerdere werkruimten voor meer informatie.
U kunt werkmappen ook rechtstreeks in een afzonderlijke beheerde tenant implementeren voor scenario's die specifiek zijn voor die klant.
Log Analytics en opsporingsquery's uitvoeren in Microsoft Sentinel-werkruimten
Log Analytics-query's maken en opslaan voor detectie van bedreigingen centraal in de beherende tenant, inclusief opsporingsquery's. Deze query's kunnen worden uitgevoerd in alle Microsoft Sentinel-werkruimten van uw klanten met behulp van de operator Union en de expressie workspace().
Zie Query's voor meerdere werkruimten voor meer informatie.
Automatisering gebruiken voor beheer tussen werkruimten
U kunt automatisering gebruiken om meerdere Microsoft Sentinel-werkruimten te beheren en opsporingsquery's, playbooks en werkmappen te configureren. Zie Beheer tussen werkruimten met automatisering voor meer informatie.
Beveiliging van Office 365-omgevingen bewaken
Gebruik Azure Lighthouse in combinatie met Microsoft Sentinel om de beveiliging van Office 365-omgevingen in tenants te bewaken. Schakel eerst out-of-the-box Office 365-gegevensconnectors in de beheerde tenant in. Informatie over activiteiten van gebruikers en beheerders in Exchange en SharePoint (inclusief OneDrive) kan vervolgens worden opgenomen in een Microsoft Sentinel-werkruimte in de beheerde tenant. Deze informatie bevat informatie over acties zoals bestandsdownloads, toegangsaanvragen die worden verzonden, wijzigingen in groepsevenementen en postvakbewerkingen, samen met details over de gebruikers die deze acties hebben uitgevoerd. Office 365 DLP-waarschuwingen worden ook ondersteund als onderdeel van de ingebouwde Office 365-connector.
U kunt de Microsoft Defender voor Cloud Apps-connector gebruiken om waarschuwingen en Cloud Discovery-logboeken te streamen naar Microsoft Sentinel. Deze connector biedt inzicht in cloud-apps, biedt geavanceerde analyses om cyberdreigingen te identificeren en te bestrijden, en helpt u om te bepalen hoe gegevens reizen. Activiteitenlogboeken voor Defender voor Cloud-apps kunnen worden gebruikt met behulp van de CEF (Common Event Format).
Nadat u Office 365-gegevensconnectors hebt ingesteld, kunt u microsoft Sentinel-mogelijkheden voor meerdere tenants gebruiken, zoals het weergeven en analyseren van de gegevens in werkmappen, het gebruik van query's om aangepaste waarschuwingen te maken en playbooks te configureren om te reageren op bedreigingen.
Intellectueel eigendom beschermen
Wanneer u met klanten werkt, wilt u mogelijk het intellectuele eigendom beschermen dat u hebt ontwikkeld in Microsoft Sentinel, zoals Microsoft Sentinel-analyseregels, opsporingsquery's, playbooks en werkmappen. Er zijn verschillende methoden die u kunt gebruiken om ervoor te zorgen dat klanten geen volledige toegang hebben tot de code die in deze resources wordt gebruikt.
Zie MsSP-intellectueel eigendom beveiligen in Microsoft Sentinel voor meer informatie.
Volgende stappen
- Meer informatie over Microsoft Sentinel.
- Bekijk de pagina met prijzen van Microsoft Sentinel.
- Verken MicrosoftSentinel All-in-One, een project om de implementatie en initiële configuratietaken van een Microsoft Sentinel-omgeving te versnellen.
- Meer informatie over beheerervaring in meerdere tenants.