Estendere Microsoft Sentinel tra più aree di lavoro e tenant

Quando si esegue l'onboarding di Microsoft Sentinel, il primo passaggio consiste nel selezionare l'area di lavoro Log Analytics. Sebbene sia possibile ottenere i vantaggi completi dell’esperienza Microsoft Sentinel usando una singola area di lavoro, in alcuni casi è possibile estendere l'area di lavoro per eseguire query e analizzare i dati tra aree di lavoro e tenant. Per altre informazioni, vedere Progettare l’architettura di un’area di lavoro Log Analytics e Preparare più aree di lavoro e tenant in Microsoft Sentinel.

Se si esegue l'onboarding di Microsoft Sentinel nel portale di Microsoft Defender, vedere Gestione multi-tenant di Microsoft Defender.

Gestire eventi imprevisti su più aree di lavoro

Microsoft Sentinel supporta una visualizzazione degli eventi imprevisti di più aree di lavoro in cui è possibile gestire e monitorare centralmente gli eventi imprevisti su più aree di lavoro. La visualizzazione centralizzata degli eventi imprevisti consente di gestirli direttamente o di eseguire il drill-down in modo trasparente sui dettagli dell'evento imprevisto nel contesto dell'area di lavoro di origine.

Eseguire query su più aree di lavoro

È possibile eseguire query su più aree di lavoro, consentendo di cercare e correlare i dati da più aree di lavoro in una singola query.

  • Usare l'espressione workspace( ), con l'identificatore dell'area di lavoro come argomento, per fare riferimento a una tabella in un'area di lavoro diversa.

    • Per garantire prestazioni appropriate, vedere informazioni importanti sull'uso dei formati dell’identificatore.
  • Usare l'operatore unione insieme all'espressione workspace( ) per applicare una query su tabelle in più aree di lavoro.

  • È possibile usare le funzioni salvate per semplificare le query tra aree di lavoro. Ad esempio, è possibile abbreviare un riferimento lungo alla tabella SecurityEvent nell'area di lavoro del cliente A salvando l'espressione

    workspace("/subscriptions/<customerA_subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName>").SecurityEvent
    

    come funzione denominata SecurityEventCustomerA. È quindi possibile eseguire una query sulla tabella SecurityEvent di Customer A con questa funzione: SecurityEventCustomerA | where ....

  • Una funzione può anche semplificare un'unione comunemente usata. Ad esempio, è possibile salvare l'espressione seguente come funzione denominata unionSecurityEvent:

    union 
    workspace("/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName1>").SecurityEvent, 
    workspace("/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName2>").SecurityEvent
    

    È quindi possibile scrivere una query su entrambe le aree di lavoro a partire da unionSecurityEvent | where ....

Includere query tra aree di lavoro nelle regole di analisi pianificata

È possibile includere query tra aree di lavoro nelle regole di analisi pianificata. È possibile usare regole di analisi tra aree di lavoro in un SOC centrale e tra tenant (usando Azure Lighthouse), adatti per i provider di servizi gestito. Questo utilizzo è soggetto alle limitazioni seguenti:

  • È possibile includere fino a 20 aree di lavoro in una singola query. Tuttavia, per buone prestazioni, è consigliabile non includerne più di 5.
  • È necessario implementare Microsoft Sentinel in ogni area di lavoro a cui viene fatto riferimento nella query.
  • Gli avvisi generati da una regola di analisi tra aree di lavoro e gli eventi imprevisti creati da essi esistono solo nell'area di lavoro in cui è stata definita la regola. Gli avvisi non verranno visualizzati in nessuna delle altre aree di lavoro a cui viene fatto riferimento nella query.
  • Una regola di analisi tra aree di lavoro, come qualsiasi regola di analisi, continuerà a essere eseguita anche se l'utente che ha creato la regola perde l'accesso alle aree di lavoro a cui si fa riferimento nella query della regola. L'unica eccezione è nel caso di aree di lavoro in sottoscrizioni e/o tenant diversi rispetto alla regola di analisi.

Gli avvisi e gli eventi imprevisti creati dalle regole di analisi tra aree di lavoro contengono tutte le entità correlate, incluse quelle di tutte le aree di lavoro a cui si fa riferimento e l'area di lavoro "home" (dove è stata definita la regola). In questo modo, gli analisti ottengono un quadro completo degli avvisi e degli eventi imprevisti.

Nota

L'esecuzione di query su più aree di lavoro nella stessa query potrebbe influire sulle prestazioni e pertanto è consigliabile solo quando la logica richiede questa funzionalità.

Usare cartelle di lavoro tra aree di lavoro

Le cartelle di lavoro forniscono dashboard e app a Microsoft Sentinel. Quando si usano più aree di lavoro, le cartelle di lavoro forniscono monitoraggio e azioni tra aree di lavoro.

Le cartelle di lavoro possono fornire query tra aree di lavoro in uno dei tre metodi, adatti a diversi livelli di esperienza dell'utente finale:

metodo Descrizione In quali casi usare ciascuna?
Scrivere query tra aree di lavoro L'autore della cartella di lavoro può scrivere query tra aree di lavoro (descritte in precedenza) nella cartella di lavoro. Si vuole che l'autore della cartella di lavoro crei una struttura dell'area di lavoro trasparente per l'utente.
Aggiungere un selettore dell'area di lavoro alla cartella di lavoro L'autore della cartella di lavoro può implementare un selettore dell'area di lavoro come parte della cartella di lavoro. Si vuole consentire all'utente di controllare le aree di lavoro visualizzate dalla cartella di lavoro, con una casella a discesa facile da usare.
Modificare la cartella di lavoro in modo interattivo Un utente avanzato che modifica una cartella di lavoro esistente può modificare le query in esso contenute, selezionando le aree di lavoro di destinazione usando il selettore dell'area di lavoro nell'editor. Si vuole consentire a un utente di modificare facilmente le cartelle di lavoro esistenti in modo che funzionino con più aree di lavoro.

Eseguire la ricerca in più aree di lavoro

Microsoft Sentinel offre esempi di query precaricati progettati per iniziare e acquisire familiarità con le tabelle e il linguaggio di query. I ricercatori di Microsoft Security aggiungono costantemente nuove query predefinite e ottimizzano le query esistenti. È possibile usare queste query per cercare nuovi rilevamenti e identificare i segni di intrusione che gli strumenti di sicurezza potrebbero aver perso.

Le funzionalità di ricerca tra aree di lavoro consentono ai rilevatori di minacce di creare nuove query di ricerca o adattarne di esistenti per coprire più aree di lavoro, usando l'operatore di unione e l'espressione workspace(), come illustrato sopra.

Gestire più aree di lavoro usando l'automazione

Per configurare e gestire più aree di lavoro Log Analytics abilitate per Microsoft Sentinel, è necessario automatizzare l’uso dell’API di gestione di Microsoft Sentinel.

Gestire le aree di lavoro tra i tenant tramite Azure Lighthouse

Come accennato in precedenza, in molti scenari le diverse aree di lavoro di Log Analytics abilitate per Microsoft Sentinel possono trovarsi in tenant di Microsoft Entra diversi. È possibile usare Azure Lighthouse per estendere tutte le attività tra aree di lavoro oltre i limiti del tenant, consentendo agli utenti del tenant gestito di lavorare in aree di lavoro tra tutti i tenant.

Dopo aver eseguito l'onboarding di Azure Lighthouse, usare il selettore directory e sottoscrizione nel portale di Azure per selezionare tutte le sottoscrizioni contenenti le aree di lavoro da gestire, per assicurarsi che siano tutti disponibili nei diversi selettori dell'area di lavoro nel portale.

Quando si usa Azure Lighthouse, è consigliabile creare un gruppo per ogni ruolo di Microsoft Sentinel e delegare le autorizzazioni da ogni tenant a tali gruppi.

Passaggi successivi

In questo articolo si è appreso come le funzionalità di Microsoft Sentinel possono essere estese su più aree di lavoro e tenant. Per materiale sussidiario pratico sull'implementazione dell'architettura tra aree di lavoro di Microsoft Sentinel, vedere gli articoli seguenti: