วันจันทร์ที่ 12 มิถุนายน พ.ศ. 2566

แนะนำฟีเจอร์ใหม่ใน Microsoft Sentinel (Workspace Manager)

      สวัสดีครับทุกท่านกลับมาพบกันเหมือนเช่นเคยครับ สำหรับบทความนี้ของผมจะเป็นเรื่องราวของฟีเจอร์ใหม่ใน Microsoft Sentinel ที่มีชื่อว่า "Workspace Manager" ซึ่ง ณ วันที่ผมเขียนบทความนี้ยังเป็น Preview อยู่นะครับ  สำหรับท่านใดที่คุ้นเคยหรือใช้งาน Microsoft Sentinel กันอยู่แล้ว น่าจะทราบว่า Microsoft Sentinel เองนั้นต้องการอีกหนึ่ง Service ใน Microsoft Azure มาช่วยทำงานและ Service ที่ว่านี้ถือว่าเป็น Service ที่สำคัญมาก Service หนึ่ง สำหรับเรื่องของการทำ Security Operations โดยใช้ Solutions ของทาง Microsoft ครับ Service ที่ผมกำลังพูดถึงนี้มีชื่อว่า "Azure Log Analytics Workspace" ครับ










โดยตัวของ Azure Log Analytics Workspace เองมีความสามารถในการเก็บข้อมูล (Ingested Data) ที่ทำการรวบรวมมาจาก IT Environment ขององค์กร ข้อมูลดังกล่าวจะถูกเก็บไว้ที่นี่ครับ และนอกจากนี้แล้ว SOC หรือ Security Teams ยังสามารถทำการค้นหาหรือ Query ข้อมูลที่เก็บอยู่ใน Azure Log Analytics ได้อีกด้วย โดยใช้ Query Language ที่ชื่อว่า "Kusto Query Language" หรือเรียกสั้นๆ ว่า KQL ครับ เพราะฉะนั้นถ้าเราต้องการที่จะใช้งาน Microsoft Sentinel ทำหน้าทีเป็น SIEM และ SOAR เรื่องนึงที่ควรจะต้องนำมาพิจารณาในขั้นตอนของการวางแผนและออกแบบ คือ การเรื่องของ Azure Log Analytics Workspace ที่จะนำมาใช้งานร่วมกับ Microsoft Sentinel นั้นจะมี Azure Log Analytics จำนวนกี่ Workspaces ? ทั้งนี้ขึ้นอยู่กับความต้องการของแต่ละองค์กร แต่ที่แน่ๆ คือ เราจะต้องมีอย่างน้อย 1 Azure Log Analytics Workspace ใช้งานกับ Microsoft Sentinel แน่นอนครับ


ทำความรู้จักกับ Workspace Manager (Preview)


อย่างที่ผมเกริ่นไว้ตอนต้นของบทความนี้ว่า ผมจะพาทุกท่านมารู้จักกับฟีเจอร์ใหม่ฟีเจอร์หนึ่งใน Microsoft Sentinel ครับ นั่นก็คือฟีเจอร์นี้นั่นเองครับ โดย Workspace Manager ฟีเจอร์ดังกล่าวนี้ ถือว่าเป็นฟีเจอร์ที่น่าสนใจอย่างมากครับ โดยเฉพาะในกรณีที่องค์กรนั้นๆ มีหลายๆ Workspaces หรือหลายๆ Azure Log Analytics Workspaces ครับ 











ด้วยความสามารถของ Workspace Manager จะเข้ามาช่วย SOC หรือ Security Teams ตลอดจนผู้ที่เกี่ยวข้องในการบริหารจัดการใน Environment ที่มีหลาย Workspaces ให้มีความยืดหยุ่นและมีประสิทธิภาพมากขึ้นครับ ยกตัวอย่างเช่น สมมติว่ามีออฟฟิศของท่านผู้อ่านมีการใช้งาน Microsoft Sentinel อยู่แล้ว และมี 2 Azure Log Analytics Workspaces (สมมติชื่อว่า LAW1 กับ LAW2) เราสามารถใช้ Workspace Manager ในการเอา Content จาก LAW1 ไปใส่ที่อีก Azure Log Analytics Workspace หนึ่งซึ่งจากตัวอย่างนี้คือ LAW2 ครับ โดยมีวัตถุประสงค์คือ ต้องการบังคับหรือควบคุมให้ทุกๆ Azure Log Analytics มี Baselines เดียวกัน หรืออาจจะใช้ในอีกวัตถุประสงค์หนึ่งคือ สำหรับใน Environment ที่มีการออกแบบ Microsoft Sentinel ในรูปแบบที่เรียกว่า "MSSP" (ย่อมาจาก Managed Security Service Provider) SOC หรือ Security Teams ต้องการที่จะเอา Content บางส่วน (เช่น Analytic Rules และอื่นๆ) จาก Azure Log Analytics Workspace ของ MSSP หรือของผู้ให้บริการ (LAW1) ไปยัง Azure Log Analytics Workspace ของลูกค้า (LAW2) ครับ


โดยคอนเซปของ Workspace Manager เราจะต้องทำการกำหนดว่า Azure Log Analytics Workspace ใดจะเป็น "Central" หรือ Master จากนั้นท่านผู้อ่านสามารถทำการ Add หรือเพิ่ม Azure Log Analytics อื่นๆ เข้าไปโดยจะอยู่ใน Azure AD Tenant เดียวกันหรืออยู่คนละ Azure AD Tenants ก็ได้ครับ 









จากนั้นทำการพิจารณาและสร้าง "Workspace Manager Group" ขึ้นมา จากนั้นทำการกำหนดว่า Azure Log Analytics Workspaces ใดบ้าง จะอยู่ใน Workspace Manager Group ดังกล่าวนี้ หลังจากนั้น SOC หรือ Security Teams สามารถกำหนดว่าจะทำการส่งหรือ Push Contents (Analytic Rules, Workbooks, และอื่นๆ) ใดจาก Central Workspace ไปยัง Group (Azure Log Analytics Workspace อื่นๆ) และจากคอนเซปดังกล่าวนี้ ถ้าเรามองในแง่หรือประเด็นของประโยชน์หรือ Benefits ที่ได้จากฟีเจอร์ดังกล่าวนี้ คือ Workspace Manager ทำให้การบริหารจัดการใน Environment ที่มีหลายๆ Workspaces มีความยืดหยุ่นและจัดการได้สะดวกและง่ายมากขึ้น


รายละเอียดเพิ่มเติมเกี่ยวกับ Workspace Manager สามารถไปที่ Link นี้ได้เลยครับ, Manage multiple Microsoft Sentinel workspaces with workspace manager | Microsoft Learn













และทั้งหมดนี้คือเรื่องราวของฟีเจอร์ใหม่ใน Microsoft Sentinel ที่มีชื่อว่า Workspace Manager ที่ผมอยากแนะนำให้ทุกท่านรู้จักครับผม.....

ไม่มีความคิดเห็น:

แสดงความคิดเห็น