إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
Important
يتوفر Microsoft Sentinel بشكل عام في مدخل Microsoft Defender، بما في ذلك للعملاء الذين ليس لديهم Microsoft Defender XDR أو ترخيص E5.
Starting in July 2026, all customers using Microsoft Sentinel in the Azure portal will be redirected to the Defender portal and will use Microsoft Sentinel in the Defender portal only. Starting in July 2025, many new customers are automatically onboarded and redirected to the Defender portal.
إذا كنت لا تزال تستخدم Microsoft Sentinel في مدخل Microsoft Azure، نوصيك بالبدء في التخطيط للانتقال إلى مدخل Defender لضمان انتقال سلس والاستفادة الكاملة من تجربة عمليات الأمان الموحدة التي يقدمها Microsoft Defender. لمزيد من المعلومات، راجع حان الوقت للنقل: إيقاف مدخل Microsoft Sentinel Azure لمزيد من الأمان.
للتحضير للنشر الخاص بك، تحتاج إلى تحديد ما إذا كانت بنية مساحة العمل المتعددة ذات صلة بالبيئة الخاصة بك. في هذه المقالة، ستتعرف على كيفية توسيع Microsoft Sentinel عبر مساحات عمل ومستأجرين متعددين حتى تتمكن من تحديد ما إذا كانت هذه الإمكانية تناسب احتياجات مؤسستك. هذه المقالة هي جزء من دليل النشر ل Microsoft Sentinel.
استخدم إحدى المجموعات التالية من إرشادات الإعداد، استنادا إلى المدخل الذي تستخدمه لتوسيع Microsoft Sentinel عبر مساحات العمل:
| Portal | References |
|---|---|
| مدخل Microsoft Defender |
-
مساحات عمل Microsoft Sentinel متعددة في مدخل Defender - إدارة متعددة المستأجرين في Microsoft Defender |
| Azure portal |
-
توسيع Microsoft Sentinel عبر مساحات العمل والمستأجرين - إدارة مساحات عمل Log Analytics المتعددة الممكنة ل Microsoft Sentinel مركزيا باستخدام مدير مساحة العمل |
الحاجة إلى استخدام مساحات عمل متعددة
عند إلحاق Microsoft Sentinel، فإن خطوتك الأولى عبارة عن تحديد مساحة عمل Log Analytics الخاصة بك. بينما يمكنك الحصول على الفائدة الكاملة من تجربة Microsoft Sentinel مع مساحة عمل واحدة، في بعض الحالات، قد ترغب في توسيع مساحة العمل للاستعلام عن بياناتك وتحليلها عبر مساحات العمل والمستأجرين.
يسرد هذا الجدول بعض هذه السيناريوهات، وعندما يكون ذلك ممكنا، يقترح كيفية استخدام مساحة عمل واحدة للسيناريو.
| Requirement | Description | طرق تقليل عدد مساحات العمل |
|---|---|---|
| السيادة والامتثال التنظيمي | ترتبط مساحة العمل بمنطقة معينة. To keep data in different Azure geographies to satisfy regulatory requirements, split up the data into separate workspaces. في Microsoft Sentinel، يتم تخزين البيانات ومعالجتها في نفس المنطقة الجغرافية أو المنطقة، مع بعض الاستثناءات، مثل عند استخدام قواعد الكشف التي تستفيد من التعلم الآلي من Microsoft. في مثل هذه الحالات، قد يتم نسخ البيانات خارج جغرافية مساحة العمل للمعالجة. |
|
| Data ownership | يتم تحديد حدود ملكية البيانات، على سبيل المثال من قبل الشركات الفرعية أو الشركات التابعة لها، بشكل أفضل باستخدام مساحات عمل منفصلة. | |
| مستأجرو Azure متعددون | يدعم Microsoft Sentinel جمع البيانات من موارد Microsoft وAzure SaaS فقط ضمن حدود مستأجر Microsoft Entra الخاصة به. لذلك، يتطلب كل مستأجر Microsoft Entra مساحة عمل منفصلة. | |
| التحكم في الوصول إلى البيانات الدقيقة | قد تحتاج المؤسسة إلى السماح لمجموعات مختلفة، داخل المؤسسة أو خارجها، بالوصول إلى بعض البيانات التي تم جمعها بواسطة Microsoft Sentinel. For example:
|
استخدام المورد Azure RBAC أو مستوى الجدول Azure RBAC |
| إعدادات الاستبقاء متعدد المستويات | تاريخيًا، كانت مساحات العمل المتعددة هي الطريقة الوحيدة لتعيين فترات استبقاء مختلفة لبعض أنواع البيانات المختلفة. لم تعد هناك حاجة إلى ذلك في العديد من الحالات، وذلك بفضل إدخال إعدادات استبقاء مستوى الجدول. | استخدام إعدادات استبقاء مستوى الجدول أو أتمتة حذف البيانات |
| Split billing | من خلال وضع مساحات العمل في اشتراكات منفصلة، يمكن إصدار فواتير لها إلى أطراف مختلفة. | تقارير الاستخدام والتكلفة المشتركة |
| Legacy architecture | قد ينبع استخدام مساحات عمل متعددة من تصميم تاريخي أخذ في الاعتبار القيود أو أفضل الممارسات التي لم تعد صحيحة. قد يقع الاختيار أيضًا على تصميم عشوائي يمكن تعديله ليتناسب مع Microsoft Sentinel بصورة أفضل. Examples include:
|
Re-architect workspaces |
عند تحديد عدد المستأجرين ومساحات العمل التي يجب استخدامها، ضع في اعتبارك أن معظم ميزات Microsoft Sentinel تعمل باستخدام مساحة عمل واحدة أو مثيل Microsoft Sentinel، ويتناول Microsoft Sentinel جميع السجلات الموجودة داخل مساحة العمل.
موفر خدمة الأمان المدار (MSSP)
في حالة MSSP، تنطبق العديد من المتطلبات المذكورة أعلاه إن لم تكن كلها، مما يجعل مساحات عمل متعددة، عبر المستأجرين، أفضل الممارسات. على وجه التحديد، نوصي بإنشاء مساحة عمل واحدة على الأقل لكل مستأجر Microsoft Entra لدعم موصلات بيانات الخدمة المضمنة لخدمة موصلات البيانات التي تعمل فقط ضمن مستأجر Microsoft Entra الخاص بها.
لا يمكن توصيل الموصلات التي تستند إلى إعدادات التشخيص بمساحة عمل غير موجودة في نفس المستأجر حيث يوجد المورد. This applies to connectors such as Azure Firewall, Azure Storage, Azure Activity or Microsoft Entra ID.
غالبا ما تستند موصلات بيانات الشريك إلى API أو مجموعات الوكلاء، وبالتالي لا يتم إرفاقها بمستأجر Microsoft Entra محدد.
Use Azure Lighthouse to help manage multiple Microsoft Sentinel instances in different tenants.u
تصميم مساحات العمل المتعددة في Microsoft Sentinel
كما هو مضمن في المتطلبات أعلاه، هناك حالات يحتاج فيها SOC واحد إلى إدارة ومراقبة مساحات عمل Log Analytics متعددة ممكنة ل Microsoft Sentinel، من المحتمل أن تكون عبر مستأجري Microsoft Entra.
- خدمة MSSP Microsoft Sentinel.
- SOC عالمية تخدم شركات فرعية متعددة، ولكل منها SOC محلي خاص بها.
- تراقب SOC العديد من مستأجري Microsoft Entra داخل المؤسسة.
لمعالجة هذه الحالات، يوفر Microsoft Sentinel قدرات مساحة عمل متعددة تمكن المراقبة المركزية والتكوين والإدارة، ما يوفر جزءًا واحدًا من الزجاج عبر كل ما يغطيه SOC. يوضح هذا الرسم التخطيطي مثالًا على البنية لحالات الاستخدام هذه.
يوفر هذا النموذج مزايا كبيرة مقارنة بنموذج مركزي بالكامل يتم فيه نسخ جميع البيانات إلى مساحة عمل واحدة:
- تعيين دور مرن لـ SOCs العالمية والمحلية، أو إلى MSSP وعملائه.
- تحديات أقل فيما يتعلق بملكية البيانات وخصوصيتها والامتثال التنظيمي.
- تقليل زمن الانتقال في الشبكة ورسومها.
- سهولة إعداد الشركات الفرعية والعملاء الجدد وإلغاء إعدادهم.
Next steps
في هذه المقالة، تعرفت على كيفية توسيع Microsoft Sentinel عبر مساحات عمل ومستأجرين متعددين.