Passaggio 2. Progettare l'area di lavoro di Microsoft Sentinel
L'implementazione dell'ambiente di Microsoft Sentinel prevede la progettazione di una configurazione di aree di lavoro per soddisfare i requisiti di sicurezza e di conformità. Il processo di provisioning include la creazione di aree di lavoro Log Analytics e la configurazione delle opzioni appropriate di Microsoft Sentinel.
Questo articolo fornisce consigli su come progettare e implementare aree di lavoro di Microsoft Sentinel per i principi di Zero Trust.
Se l'organizzazione ha molte sottoscrizioni di Azure, potrebbe essere necessario un modo per gestire in modo efficiente l'accesso, i criteri e la conformità per tali sottoscrizioni. I gruppi di gestione forniscono un ambito di governance per le sottoscrizioni. Quando si organizzano le sottoscrizioni all'interno dei gruppi di gestione, le condizioni di governance configurate per un gruppo di gestione si applicano alle sottoscrizioni contenute. Per altre informazioni, vedere Organizzare le risorse con i gruppi di gestione.
Ad esempio, l'area di lavoro di Microsoft Sentinel nel diagramma seguente si trova nella sottoscrizione di sicurezza nel gruppo di gestione della piattaforma, che fa parte del tenant microsoft Entra ID.
La sottoscrizione di Sicurezza di Azure e l'area di lavoro di Microsoft Sentinel ereditano il controllo degli accessi in base al ruolo e i criteri di Azure applicati al gruppo di gestione della piattaforma.
Per usare Microsoft Sentinel, il primo passaggio consiste nel creare le aree di lavoro Log Analytics. Una singola area di lavoro Log Analytics potrebbe essere sufficiente per molti ambienti, ma molte organizzazioni creano più aree di lavoro per ottimizzare i costi e soddisfare meglio requisiti aziendali diversi.
È consigliabile creare aree di lavoro separate per i dati operativi e di sicurezza per la proprietà dei dati e la gestione dei costi per Microsoft Sentinel. Ad esempio, se sono presenti più persone che amministrano ruoli operativi e di sicurezza, la prima decisione per Zero Trust è se creare aree di lavoro separate per tali ruoli.
La piattaforma unificata per le operazioni di sicurezza, che fornisce l'accesso a Microsoft Sentinel nel portale di Defender, supporta solo una singola area di lavoro.
Per altre informazioni, vedere la soluzione di esempio di Contoso per aree di lavoro separate per i ruoli operativi e di sicurezza.
Per un singolo tenant, è possibile configurare le aree di lavoro di Microsoft Sentinel in due modi:
Tenant singolo con una singola area di lavoro Log Analytics. In questo caso, l'area di lavoro diventa il repository centrale per i log in tutte le risorse all'interno del tenant.
Vantaggi:
- Consolidamento centrale dei log.
- Più facile eseguire query sulle informazioni.
- Controllo degli accessi in base al ruolo di Azure per controllare l'accesso a Log Analytics e Microsoft Sentinel. Per altre informazioni, vedere Gestire l'accesso alle aree di lavoro Log Analytics - Monitoraggio di Azure e Ruoli e autorizzazioni in Microsoft Sentinel.
Svantaggi:
- Potrebbe non soddisfare i requisiti di governance.
- Tra le aree è previsto un costo di larghezza di banda.
Tenant singolo con aree di lavoro Log Analytics a livello di area.
Vantaggi:
- Nessun costo della larghezza di banda tra aree.
- Potrebbe essere necessario soddisfare la governance.
- Controllo granulare dell'accesso ai dati.
- Impostazioni di conservazione granulari.
- Suddivisione della fatturazione.
Svantaggi:
- Nessun pannello di controllo centrale:
- Analisi, cartelle di lavoro e altre configurazioni devono essere distribuite più volte.
Per altre informazioni, vedere Progettare un'architettura dell'area di lavoro Log Analytics.
L'onboarding di Microsoft Sentinel richiede la selezione di un'area di lavoro Log Analytics. Di seguito sono riportate alcune considerazioni per la configurazione di Log Analytics per Microsoft Sentinel:
Creare un gruppo di risorse di sicurezza per scopi di governance, che consente di isolare le risorse di Microsoft Sentinel e l'accesso basato sui ruoli alla raccolta. Per altre informazioni, vedere Progettare un'architettura dell'area di lavoro Log Analytics.
Creare un'area di lavoro Log Analytics nel gruppo di risorse Sicurezza ed eseguirne l'onboarding in Microsoft Sentinel. Questo offre automaticamente 31 giorni di inserimento dati fino a 10 Gb al giorno gratuito come parte di una versione di valutazione gratuita.
Impostare l'area di lavoro Log Analytics che supporta Microsoft Sentinel su un periodo minimo di conservazione di 90 giorni.
Dopo aver eseguito l'onboarding di Microsoft Sentinel in un'area di lavoro Log Analytics, si ottengono 90 giorni di conservazione dei dati senza costi aggiuntivi e si garantisce un rollover dei dati di log di 90 giorni. Verranno addebitati costi per la quantità totale di dati nell'area di lavoro dopo 90 giorni. È possibile conservare i dati di log per più tempo in base ai requisiti governativi. Per altre informazioni, vedere Creare aree di lavoro Log Analytics e Avvio rapido: Eseguire l'onboarding in Microsoft Sentinel.
Per implementare un'architettura senza attendibilità, è consigliabile estendere l'area di lavoro per eseguire query e analizzare i dati tra aree di lavoro e tenant. Usare le progettazioni di aree di lavoro di Microsoft Sentinel di esempio ed estendere Microsoft Sentinel tra aree di lavoro e tenant per determinare la progettazione ottimale dell'area di lavoro per l'organizzazione.
Usare inoltre le linee guida prescrittive per Ruoli cloud e Operations Management e il relativo foglio di calcolo di Excel (download). Da questa guida, le attività Zero Trust da considerare per Microsoft Sentinel sono:
- Definire i ruoli controllo degli accessi in base al ruolo di Microsoft Sentinel con i gruppi microsoft Entra associati.
- Verificare che le procedure di accesso implementate per Microsoft Sentinel soddisfino ancora i requisiti dell'organizzazione.
- Prendere in considerazione l'uso di chiavi gestite dal cliente.
Per rispettare Zero Trust, è consigliabile configurare il controllo degli accessi in base al ruolo di Azure in base alle risorse consentite agli utenti anziché fornire loro l'accesso all'intero ambiente di Microsoft Sentinel.
La tabella seguente elenca alcuni dei ruoli specifici di Microsoft Sentinel.
Nome ruolo | Descrizione |
---|---|
Lettore di Microsoft Sentinel | Visualizzare dati, eventi imprevisti, cartelle di lavoro e altre risorse di Microsoft Sentinel. |
Risponditore di Microsoft Sentinel | Oltre alle funzionalità del ruolo lettore di Microsoft Sentinel, gestire gli eventi imprevisti (assegnare, ignorare e così via). Questo ruolo è applicabile ai tipi di utenti di analisti della sicurezza. |
Operatore playbook di Microsoft Sentinel | Elencare, visualizzare ed eseguire manualmente playbook. Questo ruolo è applicabile anche ai tipi di utenti di analisti della sicurezza. Questo ruolo è per concedere a un risponditore di Microsoft Sentinel la possibilità di eseguire playbook di Microsoft Sentinel con il minor numero di privilegi. |
Collaboratore di Microsoft Sentinel | Oltre alle funzionalità del ruolo Operatore playbook di Microsoft Sentinel, creare e modificare cartelle di lavoro, regole di analisi e altre risorse di Microsoft Sentinel. Questo ruolo è applicabile ai tipi di utenti di tecnici della sicurezza. |
Collaboratore all'automazione di Microsoft Sentinel | Consente a Microsoft Sentinel di aggiungere playbook alle regole di automazione. Non è destinato agli account utente. |
Quando si assegnano ruoli di Azure specifici di Microsoft Sentinel, è possibile che vengano visualizzati altri ruoli di Azure e Log Analytics che potrebbero essere stati assegnati agli utenti per altri scopi. Ad esempio, i ruoli Collaboratore Log Analytics e Lettore Log Analytics concedono l'accesso a un'area di lavoro Log Analytics.
Per altre informazioni, vedere Ruoli e autorizzazioni in Microsoft Sentinel e Gestire l'accesso ai dati di Microsoft Sentinel per risorsa.
Azure Lighthouse consente una gestione multi-tenant, offrendo scalabilità, una maggiore automazione e una migliore governance tra risorse. Con Azure Lighthouse è possibile gestire più istanze di Microsoft Sentinel nei tenant di Microsoft Entra su larga scala. Ecco un esempio.
Con Azure Lighthouse è possibile eseguire query in più aree di lavoro o creare cartelle di lavoro per visualizzare e monitorare i dati dalle origini dati connesse e ottenere informazioni aggiuntive. È importante considerare i principi zero trust. Vedere Procedure di sicurezza consigliate per implementare i controlli di accesso con privilegi minimi per Azure Lighthouse.
Quando si implementano le procedure consigliate per la sicurezza per Azure Lighthouse, prendere in considerazione le domande seguenti:
- Chi è responsabile della proprietà dei dati?
- Quali sono i requisiti di isolamento e conformità dei dati?
- In che modo si implementeranno privilegi minimi tra i tenant?
- Come verranno gestiti più connettori dati in più aree di lavoro di Microsoft Sentinel?
- Come monitorare gli ambienti office 365?
- Come proteggere le proprietà intellettuali, ad esempio playbook, notebook, regole di analisi, tra tenant?
Vedere Gestire le aree di lavoro di Microsoft Sentinel su larga scala: Controllo degli accessi in base al ruolo di Azure granulare per le procedure consigliate per la sicurezza di Microsoft Sentinel e Azure Lighthouse.
Eseguire l'onboarding dell'area di lavoro nella piattaforma unificata per le operazioni di sicurezza
Se si usa una singola area di lavoro, è consigliabile eseguire l'onboarding dell'area di lavoro nella piattaforma unificata per le operazioni di sicurezza per visualizzare tutti i dati di Microsoft Sentinel insieme ai dati XDR nel portale di Microsoft Defender.
La piattaforma unificata per le operazioni di sicurezza offre anche funzionalità migliorate, ad esempio interruzioni automatiche degli attacchi per il sistema SAP, query unificate dalla pagina di ricerca avanzata di Defender e eventi imprevisti e entità unificate in Microsoft Defender e Microsoft Sentinel.
Per altre informazioni, vedi:
- Connettere Microsoft Sentinel a Microsoft Defender XDR
- Microsoft Sentinel nel portale di Microsoft Defender
Il contenuto di training non copre attualmente la piattaforma unificata per le operazioni di sicurezza.
Formazione | Introduzione a Microsoft Sentinel |
---|---|
Informazioni su come Microsoft Sentinel consente di iniziare a ottenere rapidamente informazioni dettagliate sulla sicurezza dal cloud e dai dati locali. |
Formazione | Configurare l'ambiente di Microsoft Sentinel |
---|---|
Iniziare a usare Microsoft Sentinel configurando correttamente l'area di lavoro di Microsoft Sentinel. |
Formazione | Creare e gestire le aree di lavoro di Microsoft Sentinel |
---|---|
Di seguito viene descritta l'architettura delle aree di lavoro di Microsoft Sentinel per consentire di configurare il sistema in conformità ai requisiti delle operazioni per la sicurezza di un'organizzazione. |
Continuare con il passaggio 3 per configurare Microsoft Sentinel per inserire origini dati e configurare il rilevamento degli eventi imprevisti.
Fare riferimento a questi collegamenti per informazioni sui servizi e sulle tecnologie menzionati in questo articolo.
Area di servizio | Altre informazioni |
---|---|
Microsoft Sentinel | - Avvio rapido: Eseguire l'onboarding in Microsoft Azure Sentinel - Gestire l'accesso ai dati di Microsoft Sentinel per risorsa |
Governance di Microsoft Sentinel | - Organizzare le risorse con i gruppi di gestione - Ruoli e autorizzazioni in Microsoft Sentinel |
Aree di lavoro di Log Analytics | - Progettare un'architettura dell'area di lavoro Log Analytics - Criteri di progettazione per le aree di lavoro Log Analytics - Soluzione di Contoso - Gestire l'accesso alle aree di lavoro Log Analytics - Monitoraggio di Azure - Progettare un'architettura dell'area di lavoro Log Analytics - Creare aree di lavoro Log Analytics |
Aree di lavoro di Microsoft Sentinel e Azure Lighthouse | - Gestire le aree di lavoro di Microsoft Sentinel su larga scala: Controllo degli accessi in base al ruolo granulare di Azure - Procedure di sicurezza consigliate |