Schritt 2. Architektur Ihres Microsoft Sentinel-Arbeitsbereichs
Die Bereitstellung der Microsoft Sentinel-Umgebung umfasst das Entwerfen einer Arbeitsbereichskonfiguration, die Ihren Sicherheits- und Complianceanforderungen entspricht. Der Bereitstellungsprozess umfasst die Erstellung von Log Analytics-Arbeitsbereichen und die Konfiguration der entsprechenden Microsoft Sentinel-Optionen.
Dieser Artikel enthält Empfehlungen, wie Sie Microsoft Sentinel-Arbeitsbereiche nach den Prinzipien von Zero Trust gestalten und implementieren können.
Schritt 1: Entwerfen Sie eine Governance-Strategie
Wenn Ihre Organisation über viele Azure-Abonnements verfügt, benötigen Sie möglicherweise eine Möglichkeit zur effizienten Verwaltung von Zugriff, Richtlinien und Konformität für diese Abonnements. Verwaltungsgruppen bieten einen Governance-Bereich für Abonnements. Wenn Sie Ihre Abonnements in Verwaltungsgruppen organisieren, gelten die Governance-Bedingungen, die Sie für eine Verwaltungsgruppe konfigurieren, auch für die darin enthaltenen Abonnements. Für weitere Informationen, siehe Organisation Ihrer Ressourcen mit Verwaltungsgruppen.
Der Microsoft Sentinel-Arbeitsbereich befindet sich beispielsweise im folgenden Diagramm im Sicherheit-Abonnement unter der Verwaltungsgruppe Platform, die Teil des Microsoft Entra ID-Mandanten ist.
Das Security Azure-Abonnement und der Microsoft Sentinel-Arbeitsbereich erben die rollenbasierte Zugriffskontrolle (RBAC) und die Azure-Richtlinien, die auf die Plattformverwaltungsgruppe angewendet werden.
Schritt 2: Log Analytics Arbeitsbereiche erstellen
Um Microsoft Sentinel zu verwenden, müssen Sie zunächst Ihre Log Analytics-Arbeitsbereiche erstellen. Ein einziger Log Analytics-Arbeitsbereich mag für viele Umgebungen ausreichen, aber viele Unternehmen richten mehrere Arbeitsbereiche ein, um die Kosten zu optimieren und unterschiedliche Geschäftsanforderungen besser zu erfüllen.
Es gilt als Best Practice, aus Gründen des Datenbesitzes und der Kostenverwaltung für Microsoft Sentinel separate Arbeitsbereiche für ihre operativen und sicherheitsrelevanten Daten zu erstellen. Wenn beispielsweise mehr als eine Person operative und sicherheitsrelevante Rollen verwaltet, ist Ihre erste Entscheidung für Zero Trust, ob Sie getrennte Arbeitsbereiche für diese Rollen erstellen.
Die einheitliche Sicherheitsoperationsplattform, die Zugriff auf Microsoft Sentinel im Defender-Portal bietet, unterstützt nur einen einzigen Arbeitsbereich.
Weitere Informationen finden Sie in der Beispiellösung von Contoso für separate Arbeitsbereiche für Vorgänge und Sicherheitsrollen.
Überlegungen zur Gestaltung des Log Analytics-Arbeitsbereichs
Für einen einzelnen Mandanten gibt es zwei Möglichkeiten, Microsoft Sentinel-Arbeitsbereiche zu konfigurieren:
Einzelner Tenant mit einem einzigen Log Analytics-Arbeitsbereich. In diesem Fall wird der Arbeitsbereich zum zentralen Aufbewahrungsort für Protokolle über alle Ressourcen innerhalb des Mandanten.
Vorteile:
- Zentrale Konsolidierung von Protokollen.
- Einfachere Abfrage von Informationen.
- Azure-rollenbasierte Zugriffssteuerung (Azure RBAC), um den Zugriff auf Log Analytics und Microsoft Sentinel zu steuern. Weitere Informationen finden Sie unter Verwalten des Zugriffs auf Log Analytics-Arbeitsbereiche – Azure Monitor und Rollen und Berechtigungen in Microsoft Sentinel.
Nachteile:
- Erfüllt möglicherweise nicht die Governance-Anforderungen.
- Es entstehen Bandbreitenkosten zwischen Regionen.
Einzelner Mandant mit regionalen Log Analytics-Arbeitsbereichen.
Vorteile:
- Keine regionsübergreifenden Bandwidth-Kosten.
- Kann erforderlich sein, um die Governance zu erfüllen.
- Granulare Datenzugriffskontrolle.
- Granulare Einstellungen für die Speicherung.
- Geteilte Rechnungsstellung.
Nachteile:
- Keine zentrale Oberfläche
- Analysen, Arbeitsmappen und andere Konfigurationen müssen mehrfach bereitgestellt werden.
Für weitere Informationen, siehe Entwerfen Sie eine Log Analytics Arbeitsbereich-Architektur.
Schritt 3: Entwerfen des Microsoft Sentinel-Arbeitsbereichs
Für das Onboarding von Microsoft Sentinel müssen Sie einen Log Analytics-Arbeitsbereich auswählen. Im Folgenden finden Sie Überlegungen zur Einrichtung von Log Analytics für Microsoft Sentinel:
Erstellen Sie eine Sicherheitsressourcengruppe für Governance-Zwecke, mit der Sie Microsoft Sentinel-Ressourcen und rollenbasierten Zugriff auf die Sammlung isolieren können. Für weitere Informationen, siehe Entwerfen Sie eine Log Analytics Arbeitsbereich-Architektur.
Erstellen Sie einen Log Analytics-Arbeitsbereich in der Sicherheitsressourcengruppe, und integrieren Sie Microsoft Sentinel darin. Damit haben Sie automatisch 31 Tage lang die Möglichkeit, bis zu 10 GB pro Tag im Rahmen einer kostenlosen Testphase zu nutzen.
Stellen Sie Ihren Log Analytics Workspace, der Microsoft Sentinel unterstützt, auf eine Aufbewahrungsfrist von mindestens 90 Tagen ein.
Sobald Sie Microsoft Sentinel in einen Log Analytics-Arbeitsbereich integriert haben, erhalten Sie 90 Tage Datenaufbewahrung ohne zusätzliche Kosten und stellen einen 90-tägigen Rollover von Protokolldaten sicher. Nach 90 Tagen entstehen Kosten für die Gesamtmenge der Daten im Arbeitsbereich. Möglicherweise sollten Sie Protokolldaten auf der Grundlage behördlicher Anforderungen länger aufbewahren. Weitere Informationen finden Sie unter Erstellen von Log Analytics-Arbeitsbereichen und Schnellstart: Onboarding in Microsoft Sentinel.
Zero Trust mit Microsoft Sentinel
Um eine Zero-Trust-Architektur zu implementieren, sollten Sie den Arbeitsbereich erweitern, um Ihre Daten über Arbeitsbereiche und Mandanten hinweg abzufragen und zu analysieren. Verwenden Sie Muster für Microsoft Sentinel-Arbeitsplatzdesigns und Erweitern von Microsoft Sentinel über Arbeitsbereiche und Tenants hinweg, um das beste Arbeitsplatzdesign für Ihr Unternehmen zu ermitteln.
Verwenden Sie außerdem die Richtlinie für Cloud Roles and Operations Management und die dazugehörige Excel-Tabelle (Download). Nach diesem Leitfaden sind die Zero Trust-Aufgaben, die Sie für Microsoft Sentinel in Betracht ziehen sollten, folgende:
- Definition von Microsoft Sentinel RBAC-Rollen mit zugehörigen Microsoft Entra-Gruppen.
- Überprüfung, ob die implementierten Zugriffspraktiken auf Microsoft Sentinel noch den Anforderungen Ihres Unternehmens entsprechen.
- Erwägen Sie die Verwendung von kundenverwalteten Schlüsseln.
Zero Trust mit RBAC
Zur Einhaltung von Zero Trust empfehlen wir, Azure RBAC basierend auf den Ressourcen zu konfigurieren, die Ihren Benutzern erlaubt sind, anstatt ihnen Zugriff auf die gesamte Microsoft Sentinel-Umgebung zu gewähren.
In der folgenden Tabelle sind einige der Microsoft Sentinel-spezifischen Rollen aufgeführt.
| Rollenname | Beschreibung |
|---|---|
| Microsoft Sentinel Reader | Anzeigen von Daten, Incidents, Arbeitsmappen und anderen Microsoft Sentinel-Ressourcen |
| Microsoft Sentinel-Antwortender | Zusätzlich zu den Funktionen der Microsoft Sentinel Reader-Rolle können Sie Vorfälle verwalten (zuweisen, abweisen usw.). Diese Rolle ist auf Benutzer-Typen von Sicherheitsanalysten anwendbar. |
| Microsoft Sentinel-Playbookoperator | Playbooks auflisten, anzeigen und manuell ausführen. Diese Rolle ist auch auf Benutzer-Typen von Sicherheitsanalysten anwendbar. Mit dieser Rolle können Sie einem Microsoft Sentinel-Beantworter die Möglichkeit geben, Microsoft Sentinel Playbooks mit den geringsten Berechtigungen auszuführen. |
| Microsoft Sentinel-Mitwirkender | Zusätzlich zu den Funktionen der Rolle Microsoft Sentinel Playbook Operator können Sie Arbeitsmappen, Analyseregeln und andere Microsoft Sentinel-Ressourcen erstellen und bearbeiten. Diese Rolle ist auf Benutzer-Typen von Sicherheitsingenieuren anwendbar. |
| Microsoft Sentinel Automation-Mitarbeiter | Ermöglicht es Microsoft Sentinel, Playbooks zu Automatisierungsregeln hinzuzufügen. Es ist nicht für Benutzerkonten gedacht. |
Bei der Zuweisung von Microsoft Sentinel-spezifischen Azure-Rollen stoßen Sie möglicherweise auf andere Azure- und Log Analytics-Rollen, die Benutzer*innen für andere Zwecke zugewiesen wurden. Beispielsweise gewähren die Rollen Log Analytics-Mitwirkender und Log Analytics Reader Zugriff auf einen Log Analytics-Arbeitsbereich.
Weitere Informationen finden Sie unter Rollen und Berechtigungen in Microsoft Sentinel und Verwalten des Zugriffs auf Microsoft Sentinel-Daten nach Ressource.
Zero Trust in mehrinstanzenfähiger Architektur mit Azure Lighthouse
Azure Lighthouse ermöglicht die mehrinstanzenfähige Verwaltung mit hoher Skalierbarkeit, stärkerer Automatisierung und verbesserter Governance für alle Ressourcen. Mit Azure Lighthouse können Sie mehrere Microsoft Sentinel-Instanzen über Microsoft Entra-Tenants hinweg in großem Umfang verwalten. Hier ist ein Beispiel.
Mit Azure Lighthouse können Sie Abfragen über mehrere Arbeitsbereiche hinweg ausführen oder Arbeitsmappen erstellen, um Daten aus Ihren verbundenen Datenquellen zu visualisieren und zu überwachen und zusätzliche Einblicke zu erhalten. Es ist wichtig, die Prinzipien von Zero Trust zu berücksichtigen. Siehe Empfohlene Sicherheitspraktiken zur Implementierung von Zugriffskontrollen mit geringsten Berechtigungen für Azure Lighthouse.
Beachten Sie die folgenden Fragen, wenn Sie bewährte Sicherheitsverfahren für Azure Lighthouse implementieren:
- Wer ist für den Besitz der Daten verantwortlich?
- Wie lauten die Anforderungen an die Datenisolierung und die Einhaltung von Vorschriften?
- Wie implementieren Sie die geringsten Berechtigungen über Mandanten hinweg?
- Wie werden mehrere Data Connectors in mehreren Microsoft Sentinel-Arbeitsbereichen verwaltet?
- Wie überwacht man Office 365-Umgebungen?
- Wie kann man geistiges Eigentum – zum Beispiel Playbooks, Notebooks, Analyseregeln – mieterübergreifend schützen?
Siehe Verwaltung von Microsoft Sentinel-Workspaces im großen Maßstab: Granulare Azure RBAC für die besten Sicherheitsverfahren von Microsoft Sentinel und Azure Lighthouse.
Integrieren Sie Ihren Arbeitsbereich in die einheitliche Sicherheitsbetriebsplattform
Wenn Sie mit einem einzigen Arbeitsbereich arbeiten, empfehlen wir Ihnen, Ihren Arbeitsbereich in die einheitliche Sicherheitsoperationsplattform zu integrieren, um alle Ihre Microsoft Sentinel-Daten zusammen mit XDR-Daten im Microsoft Defender-Portal anzuzeigen.
Die einheitliche Sicherheitsoperationsplattform bietet auch verbesserte Funktionen, z. B. automatische Angriffsunterbrechungen für SAP-System, einheitliche Abfragen von der Seite Defender erweiterte Bedrohungssuche sowie einheitliche Vorfälle und Entitäten in Microsoft Defender und Microsoft Sentinel.
Weitere Informationen finden Sie unter:
- Verbinden von Microsoft Sentinel mit Microsoft Defender XDR
- Microsoft Sentinel im Microsoft Defender-Portal
Empfohlene Schulung
Schulungsinhalte decken derzeit nicht die einheitliche Plattform für Sicherheitsvorgänge ab.
Einführung in Microsoft Sentinel
| Training | Einführung in Microsoft Sentinel |
|---|---|
|
Erfahren Sie, wie Sie mit Microsoft Sentinel in kürzester Zeit wertvolle Sicherheitsinformationen aus Ihren Cloud- und lokalen Daten gewinnen können. |
Konfigurieren Ihrer Microsoft Sentinel-Umgebung
| Training | Konfigurieren Ihrer Microsoft Sentinel-Umgebung |
|---|---|
|
Erste Schritte mit Microsoft Sentinel durch ordnungsgemäßes Konfigurieren des Microsoft Sentinel-Arbeitsbereichs. |
Erstellen und Verwalten von Microsoft Sentinel-Arbeitsbereichen
| Training | Erstellen und Verwalten von Microsoft Sentinel-Arbeitsbereichen |
|---|---|
|
Im Folgenden finden Sie Informationen darüber, wie Sie mit der Architektur von Microsoft Sentinel-Arbeitsbereichen Ihr System so konfigurieren, dass die Anforderungen an die Sicherheitsanforderungen Ihrer Organisation erfüllt werden. |
Nächster Schritt
Fahren Sie mit Schritt 3 fort, um Microsoft Sentinel für die Aufnahme von Datenquellen und die Erkennung von Vorfällen zu konfigurieren.
References
Unter diesen Links erfahren Sie mehr über die in diesem Artikel erwähnten Dienste und Technologien.
| Dienstbereich | Weitere Informationen |
|---|---|
| Microsoft Sentinel | - Schnellstart: Durchführen des Onboardings in Microsoft Sentinel - Verwalten des Zugriffs auf Microsoft Sentinel-Daten nach Ressource |
| Microsoft Sentinel-Governance | - Organisieren Sie Ihre Ressourcen mit Verwaltungsgruppen - Rollen und Berechtigungen in Microsoft Sentinel |
| Log Analytics-Arbeitsbereiche | - Entwerfen einer Log Analytics-Arbeitsbereichsarchitektur - Gestaltungskriterien für Log Analytics Arbeitsbereiche - Die Lösung von Contoso - Verwaltung des Zugriffs auf Log Analytics Arbeitsbereiche – Azure Monitor - Entwerfen einer Log Analytics-Arbeitsbereichsarchitektur - Erstellen von Log Analytics-Arbeitsbereichen |
| Microsoft Sentinel-Arbeitsbereiche und Azure Lighthouse | - Verwaltung von Microsoft Sentinel-Arbeitsbereichen im großen Maßstab: Granulare Azure RBAC - Empfohlene Sicherheitsmaßnahmen |