Freigeben über


Schritt 2. Architektur Ihres Microsoft Sentinel-Arbeitsbereichs

Die Bereitstellung der Microsoft Sentinel-Umgebung umfasst das Entwerfen einer Arbeitsbereichskonfiguration, die Ihren Sicherheits- und Complianceanforderungen entspricht. Der Bereitstellungsprozess umfasst die Erstellung von Log Analytics-Arbeitsbereichen und die Konfiguration der entsprechenden Microsoft Sentinel-Optionen.

Dieser Artikel enthält Empfehlungen, wie Sie Microsoft Sentinel-Arbeitsbereiche nach den Prinzipien von Zero Trust gestalten und implementieren können.

Schritt 1: Entwerfen Sie eine Governance-Strategie

Wenn Ihre Organisation über viele Azure-Abonnements verfügt, benötigen Sie möglicherweise eine Möglichkeit zur effizienten Verwaltung von Zugriff, Richtlinien und Konformität für diese Abonnements. Verwaltungsgruppen bieten einen Governance-Bereich für Abonnements. Wenn Sie Ihre Abonnements in Verwaltungsgruppen organisieren, gelten die Governance-Bedingungen, die Sie für eine Verwaltungsgruppe konfigurieren, auch für die darin enthaltenen Abonnements. Für weitere Informationen, siehe Organisation Ihrer Ressourcen mit Verwaltungsgruppen.

Der Microsoft Sentinel-Arbeitsbereich befindet sich beispielsweise im folgenden Diagramm im Sicherheit-Abonnement unter der Verwaltungsgruppe Platform, die Teil des Microsoft Entra ID-Mandanten ist.

Diagramm eines beispielhaften Microsoft Sentinel-Arbeitsbereichs in einem Microsoft Entra ID-Mandanten.

Das Security Azure-Abonnement und der Microsoft Sentinel-Arbeitsbereich erben die rollenbasierte Zugriffskontrolle (RBAC) und die Azure-Richtlinien, die auf die Plattformverwaltungsgruppe angewendet werden.

Schritt 2: Log Analytics Arbeitsbereiche erstellen

Um Microsoft Sentinel zu verwenden, müssen Sie zunächst Ihre Log Analytics-Arbeitsbereiche erstellen. Ein einziger Log Analytics-Arbeitsbereich mag für viele Umgebungen ausreichen, aber viele Unternehmen richten mehrere Arbeitsbereiche ein, um die Kosten zu optimieren und unterschiedliche Geschäftsanforderungen besser zu erfüllen.

Es gilt als Best Practice, aus Gründen des Datenbesitzes und der Kostenverwaltung für Microsoft Sentinel separate Arbeitsbereiche für ihre operativen und sicherheitsrelevanten Daten zu erstellen. Wenn beispielsweise mehr als eine Person operative und sicherheitsrelevante Rollen verwaltet, ist Ihre erste Entscheidung für Zero Trust, ob Sie getrennte Arbeitsbereiche für diese Rollen erstellen.

Die einheitliche Sicherheitsoperationsplattform, die Zugriff auf Microsoft Sentinel im Defender-Portal bietet, unterstützt nur einen einzigen Arbeitsbereich.

Weitere Informationen finden Sie in der Beispiellösung von Contoso für separate Arbeitsbereiche für Vorgänge und Sicherheitsrollen.

Überlegungen zur Gestaltung des Log Analytics-Arbeitsbereichs

Für einen einzelnen Mandanten gibt es zwei Möglichkeiten, Microsoft Sentinel-Arbeitsbereiche zu konfigurieren:

  • Einzelner Tenant mit einem einzigen Log Analytics-Arbeitsbereich. In diesem Fall wird der Arbeitsbereich zum zentralen Aufbewahrungsort für Protokolle über alle Ressourcen innerhalb des Mandanten.

    Vorteile:

    Nachteile:

    • Erfüllt möglicherweise nicht die Governance-Anforderungen.
    • Es entstehen Bandbreitenkosten zwischen Regionen.
  • Einzelner Mandant mit regionalen Log Analytics-Arbeitsbereichen.

    Vorteile:

    • Keine regionsübergreifenden Bandwidth-Kosten.
    • Kann erforderlich sein, um die Governance zu erfüllen.
    • Granulare Datenzugriffskontrolle.
    • Granulare Einstellungen für die Speicherung.
    • Geteilte Rechnungsstellung.

    Nachteile:

    • Keine zentrale Oberfläche
    • Analysen, Arbeitsmappen und andere Konfigurationen müssen mehrfach bereitgestellt werden.

Für weitere Informationen, siehe Entwerfen Sie eine Log Analytics Arbeitsbereich-Architektur.

Schritt 3: Entwerfen des Microsoft Sentinel-Arbeitsbereichs

Für das Onboarding von Microsoft Sentinel müssen Sie einen Log Analytics-Arbeitsbereich auswählen. Im Folgenden finden Sie Überlegungen zur Einrichtung von Log Analytics für Microsoft Sentinel:

Sobald Sie Microsoft Sentinel in einen Log Analytics-Arbeitsbereich integriert haben, erhalten Sie 90 Tage Datenaufbewahrung ohne zusätzliche Kosten und stellen einen 90-tägigen Rollover von Protokolldaten sicher. Nach 90 Tagen entstehen Kosten für die Gesamtmenge der Daten im Arbeitsbereich. Möglicherweise sollten Sie Protokolldaten auf der Grundlage behördlicher Anforderungen länger aufbewahren. Weitere Informationen finden Sie unter Erstellen von Log Analytics-Arbeitsbereichen und Schnellstart: Onboarding in Microsoft Sentinel.

Zero Trust mit Microsoft Sentinel

Um eine Zero-Trust-Architektur zu implementieren, sollten Sie den Arbeitsbereich erweitern, um Ihre Daten über Arbeitsbereiche und Mandanten hinweg abzufragen und zu analysieren. Verwenden Sie Muster für Microsoft Sentinel-Arbeitsplatzdesigns und Erweitern von Microsoft Sentinel über Arbeitsbereiche und Tenants hinweg, um das beste Arbeitsplatzdesign für Ihr Unternehmen zu ermitteln.

Verwenden Sie außerdem die Richtlinie für Cloud Roles and Operations Management und die dazugehörige Excel-Tabelle (Download). Nach diesem Leitfaden sind die Zero Trust-Aufgaben, die Sie für Microsoft Sentinel in Betracht ziehen sollten, folgende:

  • Definition von Microsoft Sentinel RBAC-Rollen mit zugehörigen Microsoft Entra-Gruppen.
  • Überprüfung, ob die implementierten Zugriffspraktiken auf Microsoft Sentinel noch den Anforderungen Ihres Unternehmens entsprechen.
  • Erwägen Sie die Verwendung von kundenverwalteten Schlüsseln.

Zero Trust mit RBAC

Zur Einhaltung von Zero Trust empfehlen wir, Azure RBAC basierend auf den Ressourcen zu konfigurieren, die Ihren Benutzern erlaubt sind, anstatt ihnen Zugriff auf die gesamte Microsoft Sentinel-Umgebung zu gewähren.

In der folgenden Tabelle sind einige der Microsoft Sentinel-spezifischen Rollen aufgeführt.

Rollenname Beschreibung
Microsoft Sentinel Reader Anzeigen von Daten, Incidents, Arbeitsmappen und anderen Microsoft Sentinel-Ressourcen
Microsoft Sentinel-Antwortender Zusätzlich zu den Funktionen der Microsoft Sentinel Reader-Rolle können Sie Vorfälle verwalten (zuweisen, abweisen usw.). Diese Rolle ist auf Benutzer-Typen von Sicherheitsanalysten anwendbar.
Microsoft Sentinel-Playbookoperator Playbooks auflisten, anzeigen und manuell ausführen. Diese Rolle ist auch auf Benutzer-Typen von Sicherheitsanalysten anwendbar. Mit dieser Rolle können Sie einem Microsoft Sentinel-Beantworter die Möglichkeit geben, Microsoft Sentinel Playbooks mit den geringsten Berechtigungen auszuführen.
Microsoft Sentinel-Mitwirkender Zusätzlich zu den Funktionen der Rolle Microsoft Sentinel Playbook Operator können Sie Arbeitsmappen, Analyseregeln und andere Microsoft Sentinel-Ressourcen erstellen und bearbeiten. Diese Rolle ist auf Benutzer-Typen von Sicherheitsingenieuren anwendbar.
Microsoft Sentinel Automation-Mitarbeiter Ermöglicht es Microsoft Sentinel, Playbooks zu Automatisierungsregeln hinzuzufügen. Es ist nicht für Benutzerkonten gedacht.

Bei der Zuweisung von Microsoft Sentinel-spezifischen Azure-Rollen stoßen Sie möglicherweise auf andere Azure- und Log Analytics-Rollen, die Benutzer*innen für andere Zwecke zugewiesen wurden. Beispielsweise gewähren die Rollen Log Analytics-Mitwirkender und Log Analytics Reader Zugriff auf einen Log Analytics-Arbeitsbereich.

Weitere Informationen finden Sie unter Rollen und Berechtigungen in Microsoft Sentinel und Verwalten des Zugriffs auf Microsoft Sentinel-Daten nach Ressource.

Zero Trust in mehrinstanzenfähiger Architektur mit Azure Lighthouse

Azure Lighthouse ermöglicht die mehrinstanzenfähige Verwaltung mit hoher Skalierbarkeit, stärkerer Automatisierung und verbesserter Governance für alle Ressourcen. Mit Azure Lighthouse können Sie mehrere Microsoft Sentinel-Instanzen über Microsoft Entra-Tenants hinweg in großem Umfang verwalten. Hier ist ein Beispiel.

Diagramm einer beispielhaften Verwendung von Azure Lighthouse für mehrere Microsoft Entra-Mandanten.

Mit Azure Lighthouse können Sie Abfragen über mehrere Arbeitsbereiche hinweg ausführen oder Arbeitsmappen erstellen, um Daten aus Ihren verbundenen Datenquellen zu visualisieren und zu überwachen und zusätzliche Einblicke zu erhalten. Es ist wichtig, die Prinzipien von Zero Trust zu berücksichtigen. Siehe Empfohlene Sicherheitspraktiken zur Implementierung von Zugriffskontrollen mit geringsten Berechtigungen für Azure Lighthouse.

Beachten Sie die folgenden Fragen, wenn Sie bewährte Sicherheitsverfahren für Azure Lighthouse implementieren:

  • Wer ist für den Besitz der Daten verantwortlich?
  • Wie lauten die Anforderungen an die Datenisolierung und die Einhaltung von Vorschriften?
  • Wie implementieren Sie die geringsten Berechtigungen über Mandanten hinweg?
  • Wie werden mehrere Data Connectors in mehreren Microsoft Sentinel-Arbeitsbereichen verwaltet?
  • Wie überwacht man Office 365-Umgebungen?
  • Wie kann man geistiges Eigentum – zum Beispiel Playbooks, Notebooks, Analyseregeln – mieterübergreifend schützen?

Siehe Verwaltung von Microsoft Sentinel-Workspaces im großen Maßstab: Granulare Azure RBAC für die besten Sicherheitsverfahren von Microsoft Sentinel und Azure Lighthouse.

Integrieren Sie Ihren Arbeitsbereich in die einheitliche Sicherheitsbetriebsplattform

Wenn Sie mit einem einzigen Arbeitsbereich arbeiten, empfehlen wir Ihnen, Ihren Arbeitsbereich in die einheitliche Sicherheitsoperationsplattform zu integrieren, um alle Ihre Microsoft Sentinel-Daten zusammen mit XDR-Daten im Microsoft Defender-Portal anzuzeigen.

Die einheitliche Sicherheitsoperationsplattform bietet auch verbesserte Funktionen, z. B. automatische Angriffsunterbrechungen für SAP-System, einheitliche Abfragen von der Seite Defender erweiterte Bedrohungssuche sowie einheitliche Vorfälle und Entitäten in Microsoft Defender und Microsoft Sentinel.

Weitere Informationen finden Sie unter:

Schulungsinhalte decken derzeit nicht die einheitliche Plattform für Sicherheitsvorgänge ab.

Einführung in Microsoft Sentinel

Training Einführung in Microsoft Sentinel
Erfahren Sie, wie Sie mit Microsoft Sentinel in kürzester Zeit wertvolle Sicherheitsinformationen aus Ihren Cloud- und lokalen Daten gewinnen können.

Konfigurieren Ihrer Microsoft Sentinel-Umgebung

Training Konfigurieren Ihrer Microsoft Sentinel-Umgebung
Erste Schritte mit Microsoft Sentinel durch ordnungsgemäßes Konfigurieren des Microsoft Sentinel-Arbeitsbereichs.

Erstellen und Verwalten von Microsoft Sentinel-Arbeitsbereichen

Training Erstellen und Verwalten von Microsoft Sentinel-Arbeitsbereichen
Im Folgenden finden Sie Informationen darüber, wie Sie mit der Architektur von Microsoft Sentinel-Arbeitsbereichen Ihr System so konfigurieren, dass die Anforderungen an die Sicherheitsanforderungen Ihrer Organisation erfüllt werden.

Nächster Schritt

Fahren Sie mit Schritt 3 fort, um Microsoft Sentinel für die Aufnahme von Datenquellen und die Erkennung von Vorfällen zu konfigurieren.

Abbildung der Schritte zur Microsoft Sentinel- und XDR-Lösung. Schritt 3 ist hervorgehoben.

References

Unter diesen Links erfahren Sie mehr über die in diesem Artikel erwähnten Dienste und Technologien.

Dienstbereich Weitere Informationen
Microsoft Sentinel - Schnellstart: Durchführen des Onboardings in Microsoft Sentinel
- Verwalten des Zugriffs auf Microsoft Sentinel-Daten nach Ressource
Microsoft Sentinel-Governance - Organisieren Sie Ihre Ressourcen mit Verwaltungsgruppen
- Rollen und Berechtigungen in Microsoft Sentinel
Log Analytics-Arbeitsbereiche - Entwerfen einer Log Analytics-Arbeitsbereichsarchitektur
- Gestaltungskriterien für Log Analytics Arbeitsbereiche
- Die Lösung von Contoso
- Verwaltung des Zugriffs auf Log Analytics Arbeitsbereiche – Azure Monitor
- Entwerfen einer Log Analytics-Arbeitsbereichsarchitektur
- Erstellen von Log Analytics-Arbeitsbereichen
Microsoft Sentinel-Arbeitsbereiche und Azure Lighthouse - Verwaltung von Microsoft Sentinel-Arbeitsbereichen im großen Maßstab: Granulare Azure RBAC
- Empfohlene Sicherheitsmaßnahmen