跨工作區和租用戶擴充 Microsoft Sentinel
當您將 Microsoft Sentinel 上線時,您的第一個步驟是選取 Log Analytics 工作區。 雖然您可以使用單一工作區獲得 Microsoft Sentinel 體驗的完整優點,但在某些情況下,您可能想要擴充工作區來查詢和分析工作區和租用戶的資料。 深入瞭解 Microsoft Sentinel 如何跨越多個工作區延伸。
管理多個工作區上的事件
Microsoft Sentinel 支援多個工作區事件檢視,您可以在其中集中管理及監視多個工作區的事件。 集中式事件檢視可讓您直接管理事件,或以透明方式向下切入至原始工作區內容中的事件詳細資料。
查詢多個工作區
您可以查詢多個工作區,讓您在單一查詢中搜尋多個工作區的資料並相互關聯。
使用
workspace( )
運算式,並將工作區識別碼做為自變數,參考不同工作區中的資料表。- 請參閱識別碼格式的重要資訊,以確保適當的效能。
使用等位運算子與
workspace( )
運算式,可在多個工作區中的資料表之間套用查詢。您可以使用已儲存的函式來簡化跨工作區查詢。 例如,您可以縮短客戶 A 工作區中 SecurityEvent 資料表的長參考,方法是儲存運算式
workspace("/subscriptions/<customerA_subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName>").SecurityEvent
成為名稱為
SecurityEventCustomerA
的函式。 然後,您可以使用下列函式查詢客戶 A 的 SecurityEvent 資料表:SecurityEventCustomerA | where ...
。函式也可以簡化常用的等位。 例如,您可以將下列運算式儲存為稱為
unionSecurityEvent
的函式:union workspace("/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName1>").SecurityEvent, workspace("/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName2>").SecurityEvent
然後,您可以從
unionSecurityEvent | where ...
開始,跨這兩個工作區撰寫查詢。
將跨工作區查詢包含在排程的分析規則中
您可以將跨工作區查詢包含在排程的分析規則中。 您可以在中央 SOC 和跨租用戶 (使用 Azure Lighthouse) 中使用適用於 MSSP 的跨工作區分析規則。 這方面的使用有下列限制:
- 單一查詢中可包含最多 20 個工作區。 不過,為了達到良好的效能,我們建議包含不超過 5 個。
- 您必須將 Microsoft Sentinel 部署在查詢中所參考的每個工作區上。
- 跨工作區分析規則所產生的警示,以及從其建立的事件,只會存在於用來定義規則的工作區中。 警示不會顯示在查詢中參考的任何其他工作區中。
- 跨工作區分析規則,就像任何分析規則一樣,即使建立規則的使用者無法存取規則查詢中參考的工作區,仍會繼續執行。 唯一的例外狀況是不同訂用帳戶和/或租用戶中工作區與分析規則的情況。
跨工作區分析規則所建立的警示和事件將包含所有相關實體,包括來自所有參考工作區的警示和事件,以及「首頁」工作區 (用來定義規則)。 如此一來,分析師就能完整瞭解警示和事件。
注意
在相同查詢中查詢多個工作區可能會影響效能,因此只有在邏輯要求這項功能時才建議使用。
使用跨工作區活頁簿
活頁簿會將儀表板和應用程式提供給 Microsoft Sentinel。 使用多個工作區時,活頁簿會跨工作區提供監視和動作。
活頁簿可以透過三種方法其中之一提供跨工作區查詢,適用於不同層級的使用者專業知識:
方法 | 描述 | 使用時機為何? |
---|---|---|
撰寫跨工作區查詢 | 活頁簿建立者可以在活頁簿中撰寫跨工作區查詢 (如上所述)。 | 我想要活頁簿建立者建立對使用者透明的工作區結構。 |
將工作區選取器新增至活頁簿 | 活頁簿建立者可以將工作區選取器作為活頁簿的一部份實作。 | 我想要讓使用者可以使用易用的下拉式方塊,來控制活頁簿所顯示的工作區。 |
以互動方式編輯活頁簿 | 修改現有活頁簿的進階使用者可以在活頁簿中編輯查詢,以及在編輯器中使用工作區選取器選取目標工作區。 | 我想要讓使用者可以輕鬆地修改現有的活頁簿,以使用多個工作區。 |
跨越多個工作區搜捕
Microsoft Sentinel 提供預先載入的查詢範例,旨在讓您開始使用並熟悉資料表和查詢語言。 Microsoft 安全性研究人員會持續新增內建查詢,並微調現有的查詢。 您可以使用這些查詢來尋找新的偵測,並識別安全性工具可能遺漏的入侵徵兆。
跨工作區搜捕功能可讓您的威脅搜捕人員建立新的搜捕查詢,或調整現有的查詢,以使用等位運算子和 workspace () 運算式來涵蓋多個工作區,如上所示。
使用自動化管理多個工作區
若要設定和管理多個 Microsoft Sentinel 工作區,您必須將 Microsoft Sentinel 管理 API 的使用自動化。
- 瞭解如何自動化 Microsoft Sentinel 資源的部署,包括警示規則、搜捕查詢、活頁簿和劇本。
- 瞭解如何從您的存放庫部署自訂內容。 此資源提供管理 Microsoft Sentinel 即程式碼的合併方法,以及從私人 Azure DevOps 或 GitHub 存放庫部署和設定資源。
使用 Azure Lighthouse 跨租用戶管理工作區
如上所述,在許多情況下,不同的 Microsoft Sentinel 工作區可以位於不同的 Microsoft Entra 租用戶中。 您可以使用 Azure Lighthouse 跨租用戶界限延伸所有跨工作區活動,讓管理租用戶中的使用者可在所有租用戶的 Microsoft Sentinel 工作區上工作。
當 Azure Lighthouse 上線之後,請使用 Azure 入口網站上的目錄 + 訂用帳戶選取器,選取包含您要管理工作區的所有訂用帳戶,以確保這些訂用帳戶全都可在入口網站的不同工作區選取器中使用。
使用 Azure Lighthouse 時,建議為每個 Microsoft Sentinel 角色建立群組,並將每個租用戶的權限委派給這些群組。
下一步
在本文章中,您已瞭解 Microsoft Sentinel 的功能如何延伸至多個工作區和租用戶。 如需實作 Microsoft Sentinel 跨工作區架構的實用指導方針,請參閱下列文章:
- 瞭解如何使用 Azure Lighthouse 在 Microsoft Sentinel 中使用多個租用戶。
- 瞭解如何順暢地檢視和管理多個工作區中的事件。