تصمم بنية مساحة عمل Microsoft Sentinel الخاصة بك
توفر هذه المقالة شجرة قرارات لمساعدتك في اتخاذ القرارات الرئيسية حول كيفية تصميم بنية مساحة عمل Microsoft Sentinel. لمزيد من المعلومات، راجع نماذج تصميمات مساحة عمل Microsoft Sentinelوأفضل ممارسة بنية مساحة عمل Microsoft Sentinel. هذه المقالة هي جزء من دليل النشر ل Microsoft Sentinel.
المتطلبات الأساسية
قبل العمل من خلال شجرة القرار، تأكد من أن لديك المعلومات التالية:
| المتطلب الأساسي | الوصف |
|---|---|
| المتطلبات التنظيمية المتعلقة بموقع بيانات Azure | يمكن تشغيل Microsoft Sentinel على مساحات العمل في معظم المناطق، ولكن ليس جميع المناطق المدعومة في التوفر العام لـ Log Analytics. قد تستغرق مناطق Log Analytics المدعومة حديثا بعض الوقت لإلحاق خدمة Microsoft Sentinel. قد تحتوي البيانات التي تم إنشاؤها بواسطة Microsoft Sentinel، مثل الحوادث والإشارات المرجعية وقواعد التحليلات، على بعض بيانات العملاء التي تم الحصول عليها من مساحات عمل Log Analytics الخاصة بالعميل. لمزيد من المعلومات، راجع التوفر الجغرافي وإقامة البيانات. |
| مصادر البيانات | تعرف على مصادر البيانات التي تحتاج إلى الاتصال بها، بما في ذلك الموصلات المضمنة لكل من حلول Microsoft وغير Microsoft. يمكنك أيضاً استخدام تنسيق الأحداث الشائعة (CEF) أو Syslog أو واجهة برمجة تطبيقات REST لتوصيل مصادر البيانات الخاصة بك بـ Microsoft Sentinel. إذا كانت لديك أجهزة Azure الظاهرية في مواقع Azure متعددة تحتاج إلى جمع السجلات منها وكان التوفير في تكلفة خروج البيانات مهماً بالنسبة لك، فأنت بحاجة إلى حساب تكلفة خروج البيانات باستخدام حاسبة أسعار النطاق الترددي لكل موقع Azure. |
| أدوار المستخدم ومستويات/أذونات الوصول إلى البيانات | يستخدم Microsoft Sentinel التحكم في الوصول استنادًا إلى الدور في Azure (Azure RBAC) لتوفير أدوار مضمنة يمكن تعيينها للمستخدمين والمجموعات والخدمات في Azure. تمنح جميع الأدوار المضمنة في Microsoft Sentinel حق الوصول للقراءة فقط إلى البيانات الموجودة في مساحة عمل Microsoft Sentinel. لذلك، تحتاج إلى معرفة ما إذا كانت هناك حاجة للتحكم في الوصول إلى البيانات لكل مصدر بيانات أو على مستوى الصف لأن ذلك سيؤثر على قرار تصميم مساحة العمل. لمزيد من المعلومات، راجع الأدوار المخصصة وAzure RBAC المتقدمة. |
| معدل الاستيعاب اليومي | معدل الاستيعاب اليومي، عادة بالغيغابايت/اليوم، هو أحد العوامل الرئيسية في اعتبارات إدارة التكاليف والتخطيط وتصميم مساحة العمل لـ Microsoft Sentinel. في معظم البيئات السحابية والمختلطة، تنتج أجهزة الشبكات، مثل جدران الحماية أو الوكلاء، وخوادم Windows وLinux البيانات الأكثر استيعاباً. للحصول على النتائج الأكثر دقة، توصي Microsoft بمخزون شامل لمصادر البيانات. بدلاً من ذلك، تتضمن حاسبة تكلفة Microsoft Sentinel جداول مفيدة في تقدير آثار مصادر البيانات. هام: هذه التقديرات هي نقطة بداية، وستؤدي إعدادات إسهاب السجل وأحمال العمل إلى وجود تباينات. نوصي بمراقبة النظام بانتظام لتعقب أي تغييرات. يوصى بالمراقبة المنتظمة استناداً إلى السيناريو الخاص بك. لمزيد من المعلومات، راجع تفاصيل أسعار سجلات مراقبة Azure. |
شجرة القرارات
تعرض الصورة التالية مخططاً كاملاً لتدفق شجرة القرارات لمساعدتك في فهم أفضل طريقة لتصميم مساحة العمل الخاصة بك.
توفر الأقسام التالية نسخة نصية كاملة من شجرة القرارات هذه، بما في ذلك الملاحظات التالية المشار إليها من الصورة:
ملاحظة رقم 1 | ملاحظة رقم 2 | ملاحظة رقم 3 | ملاحظة رقم 4 | ملاحظة رقم 5 | ملاحظة رقم 6 | ملاحظة رقم 7 | ملاحظة رقم 8 | ملاحظة رقم 9 | ملاحظة رقم 10
الخطوة 1: مساحة عمل جديدة أو موجودة؟
هل لديك مساحة عمل موجودة يمكنك استخدامها لـ Microsoft Sentinel؟
إذا لم يكن الأمر كذلك، وستنشئ مساحة عمل جديدة في أي حال، فتابع مباشرة مع الخطوة 2.
إذا كانت لديك مساحة عمل موجودة قد تستخدمها، ففكر في مقدار البيانات التي ستتناولها.
الخطوة 2: هل تحتفظ بالبيانات في مناطق جغرافية مختلفة في Azure؟
إذا كانت لديك متطلبات تنظيمية للاحتفاظ بالبيانات في مناطق جغرافية Azure مختلفة، فاستخدم مساحة عمل Microsoft Sentinel منفصلة لكل منطقة Azure لديها متطلبات التوافق. لمزيد من المعلومات، راجع اعتبارات المنطقة.
إذا لم تكن بحاجة إلى الاحتفاظ بالبيانات في مناطق جغرافية مختلفة من Azure، فتابع مع الخطوة 3.
الخطوة 3: هل لديك العديد من مستأجري Azure؟
إذا كان لديك مستأجر واحد فقط، فتابع مباشرة إلى الخطوة 4.
إذا كان لديك العديد من مستأجري Azure، ففكر فيما إذا كنت تجمع سجلات خاصة بحد المستأجر، مثل Office 365 أو Microsoft Defender XDR.
إذا لم يكن لديك أي سجلات خاصة بالمستأجر، فتابع مباشرة إلى الخطوة 4.
إذا كنت تجمع سجلات خاصة المستأجر، فاستخدم مساحة عمل Microsoft Sentinel منفصلة لكل مستأجر Microsoft Entra. تابع الخطوة 4 لاعتبارات أخرى.
ملاحظة شجرة القرارات رقم 1: لا يمكن تخزين السجلات الخاصة بحدود المستأجر، مثل من Office 365 وMicrosoft Defender for Cloud، إلا في مساحة العمل داخل نفس المستأجر.
على الرغم من أنه من الممكن استخدام مجمعات مخصصة لجمع سجلات خاصة بالمستأجر من مساحة عمل في مستأجر آخر، فإننا لا نوصي بذلك بسبب العيوب التالية:
- سيتم استيعاب البيانات التي تم جمعها بواسطة الموصلات المخصصة في جداول مخصصة. لذلك، لن تتمكن من استخدام جميع القواعد والمصنفات المضمنة.
- لا يتم النظر في الجداول المخصصة من قبل بعض الميزات المضمنة، مثل UEBA وقواعد التعلم الآلي.
- تكلفة وجهد إضافيان مطلوبان للموصلات المخصصة، مثل استخدام وظائف Azure وLogic Apps.
إذا لم تكن هذه العيوب مصدر قلق لمؤسستك، فتابع الخطوة 4 بدلا من استخدام مساحات عمل Microsoft Sentinel منفصلة.
الخطوة 4: تقسيم الفوترة / إعادة الرسوم؟
إذا كنت بحاجة إلى تقسيم الفوترة أو إعادة الرسوم، ففكر فيما إذا كانت تقارير الاستخدام أو الرسوم التبادلية اليدوية تناسبك.
إذا لم تكن بحاجة إلى تقسيم الفوترة أو إعادة الرسوم، فتابع الخطوة 5.
إذا كنت بحاجة إلى تقسيم الفوترة أو استرداد الرسوم، ففكر في استخدام الرسوم التبادلية اليدوية. للحصول على تكاليف دقيقة لكل كيان، يمكنك استخدام إصدار معدل من مصنف تكلفة Microsoft Sentinel الذي يقسم التكلفة حسب الكيان.
إذا كان إعداد تقارير الاستخدام أو الشحن التبادلي اليدوي مناسباً، فتابع إلى الخطوة 5.
إذا لم يعمل أيًا من تقارير الاستخدام أو الشحن التبادلي اليدوي لصالحك، فاستخدم مساحة عمل Microsoft Sentinel منفصلة لكل مالك تكلفة.
ملاحظة شجرة القرارات رقم 2: لمزيد من المعلومات، راجع تكاليف Microsoft Sentinel والفوترة.
الخطوة 5: جمع أي بيانات غير SOC؟
إذا كنت لا تجمع أي بيانات غير SOC، مثل البيانات التشغيلية، يمكنك التخطي مباشرة إلى الخطوة 6.
إذا كنت تقوم بجمع بيانات غير SOC، ففكر فيما إذا كان هناك أي تداخل، حيث يكون نفس مصدر البيانات مطلوباً لكل من بيانات SOC وغير SOC.
إذا كانت لديك تداخلات بين بيانات SOC وبيانات غير SOC، فتعامل مع البيانات المتراكبة كبيانات SOC فقط. بعد ذلك، ضع في اعتبارك ما إذا كان عرض كل من بيانات SOC وغير التابعة لـ SOC بشكل فردي أقل من 100 غيغابايت / اليوم، ولكن أكثر من 100 غيغابايت / اليوم عند جمعها:
- نعم: تابع إلى الخطوة 6 لمزيد من التقييم.
- لا: لا نوصي باستخدام نفس مساحة العمل من أجل كفاءة التكلفة. المضي قدماً في الخطوة 6 لمزيد من التقييم.
في كلتا الحالتين، لمزيد من المعلومات، راجع الملاحظة 10.
إذا لم يكن لديك بيانات متداخلة، ففكر فيما إذا كان استيعاب بيانات SOC وغير SOC على حدة أقل من 100 غيغابايت / يوم، ولكن أكثر من 100 غيغابايت / يوم عند دمجها:
- نعم: تابع إلى الخطوة 6 لمزيد من التقييم. لمزيدٍ من المعلومات، راجع الملاحظة 3.
- لا: لا نوصي باستخدام نفس مساحة العمل من أجل كفاءة التكلفة. المضي قدماً في الخطوة 6 لمزيد من التقييم.
الجمع بين بيانات SOC وبيانات غير SOC
ملاحظة شجرة القرار رقم 3: بينما نوصي عموما بأن يحتفظ العملاء بمساحة عمل منفصلة لبياناتهم غير SOC بحيث لا تخضع البيانات غير SOC لتكاليف Microsoft Sentinel، فقد تكون هناك حالات يكون فيها الجمع بين بيانات SOC وبيانات غير SOC أقل تكلفة من فصلها.
على سبيل المثال، ضع في اعتبارك مؤسسة لديها سجلات أمان يتم استيعابها بمعدل 50 غيغابايت في اليوم، وسجلات العمليات التي يتم استيعابها بسعة 50 غيغابايت في اليوم، ومساحة عمل في منطقة شرق الولايات المتحدة.
يقارن الجدول التالي خيارات مساحة العمل بمساحات عمل منفصلة وبدونها.
إشعار
التكاليف والمصطلحات المدرجة في الجدول التالي غير حقيقية، وتستخدم لأغراض توضيحية فقط. للحصول على معلومات محدثة حول التكلفة، راجع حاسبة أسعار Microsoft Sentinel.
| تصميم مساحة العمل | الوصف |
|---|---|
| يتوفر لدى فريق SOC مساحة عمل خاصة به، مع تمكين Microsoft Sentinel. يمتلك لدى فريق Ops مساحة عمل خاصة به، بدون تمكين Microsoft Sentinel. |
فريق SOC: تكلفة Microsoft Sentinel لـ 50 غيغابايت في اليوم هي 6500 دولار شهرياً. الأشهر الثلاثة الأولى من الاستبقاء مجانية. فريق العمليات: - تكلفة Log Analytics بمعدل 50 غيغابايت في اليوم حوالي 3500 دولار شهرياً. - أول 31 يوماً من الاستبقاء مجانية. وتبلغ التكلفة الإجمالية لكليهما 10000 دولار شهرياً. |
| تشترك فرق SOC وOps في نفس مساحة العمل مع تمكين Microsoft Sentinel. | من خلال الجمع بين كلا السجلين، سيكون الاستيعاب 100 غيغابايت / اليوم، مؤهلًا للأهلية لمستوى الالتزام (50% لـ Sentinel و15% لـ LA). تكلفة Microsoft Sentinel لـ 100 غيغابايت / يوم تساوي 9000 دولار شهرياً. |
في هذا المثال، سيكون لديك توفير في التكلفة قدره 1000 دولار شهرياً من خلال الجمع بين مساحات العمل، وسيستمتع فريق العمليات أيضاً بمدة 3 أشهر من الاحتفاظ المجاني بدلاً من 31 يوماً فقط.
هذا المثال ذو صلة فقط عندما يكون لكل من بيانات SOC وغير SOC حجم استيعاب >=50 غيغابايت/يوم و<100 غيغابايت/يوم.
ملاحظة شجرة القرارات رقم 10: نوصي باستخدام مساحة عمل منفصلة للبيانات غير SOC بحيث لا تخضع البيانات غير SOC لتكاليف Microsoft Sentinel.
ومع ذلك، تأتي هذه التوصية لمساحات عمل منفصلة للبيانات غير SOC من منظور قائم على التكلفة فقط، وهناك عوامل تصميم رئيسية أخرى لفحصها عند تحديد ما إذا كنت تريد استخدام مساحات عمل واحدة أو متعددة. لتجنب تكاليف الاستيعاب المزدوجة، ضع في اعتبارك جمع البيانات المتداخلة على مساحة عمل واحدة فقط مع Azure RBAC على مستوى الجدول.
الخطوة 6: مناطق متعددة؟
إذا كنت تجمع سجلات من أجهزة Azure الظاهرية في منطقة واحدة فقط، فتابع مباشرة مع الخطوة 7.
إذا كنت تجمع سجلات من أجهزة Azure الظاهرية في مناطق متعددة، ما مدى قلقك بشأن تكلفة خروج البيانات؟
ملاحظة شجرة القرار رقم 4: يشير خروج البيانات إلى تكلفة النطاق الترددي لنقل البيانات من مراكز بيانات Azure. لمزيد من المعلومات، راجع اعتبارات المنطقة.
إذا كان تقليل مقدار الجهد المطلوب للحفاظ على مساحات عمل منفصلة يمثل أولوية، فتابع إلى الخطوة 7.
إذا كانت تكلفة خروج البيانات مصدر قلق كافٍ لجعل الاحتفاظ بمساحات عمل منفصلة أمرًا مفيدًا، فاستخدم مساحة عمل Microsoft Sentinel منفصلة لكل منطقة تحتاج فيها إلى تقليل تكلفة خروج البيانات.
ملاحظة شجرة القرارات رقم 5: نوصي بأن يكون لديك أقل عدد ممكن من مساحات العمل. استخدم حاسبة أسعار Azure لتقدير التكلفة وتحديد المناطق التي تحتاج إليها بالفعل، ودمج مساحات العمل للمناطق ذات تكاليف الخروج المنخفضة. قد تكون تكاليف النطاق الترددي جزءا صغيرا فقط من فاتورة Azure عند مقارنتها بتكاليف استيعاب Microsoft Sentinel وLog Analytics منفصلة.
على سبيل المثال، قد يتم تقدير التكلفة على النحو التالي:
- 1000 جهاز ظاهري، كل منها يولد 1 غيغابايت / يوم
- إرسال البيانات من منطقة أمريكية إلى منطقة في الاتحاد الأوروبي
- استخدام معدل ضغط 2:1 في العامل
سيكون حساب هذه التكلفة المقدرة:
1000 VMs * (1GB/day ÷ 2) * 30 days/month * $0.05/GB = $750/month bandwidth costستكون تكلفة العينة هذه أقل تكلفة بكثير مقارنة بالتكاليف الشهرية لمساحة عمل منفصلة من Microsoft Sentinel وLog Analytics.
إشعار
التكاليف المدرجة مزيفة وتستخدم لأغراض توضيحية فقط. للحصول على معلومات محدثة حول التكلفة، راجع حاسبة أسعار Microsoft Sentinel.
الخطوة 7: فصل البيانات أو تحديد الحدود حسب الملكية؟
إذا لم تكن بحاجة إلى فصل البيانات أو تحديد أي حدود للملكية، فتابع مباشرة إلى الخطوة 8.
إذا كنت بحاجة إلى فصل البيانات أو تحديد الحدود استناداً إلى الملكية، فهل يحتاج كل مالك بيانات إلى استخدام مدخل Microsoft Sentinel؟
إذا كان يجب أن يكون لكل مالك بيانات حق الوصول إلى مدخل Microsoft Sentinel، فاستخدم مساحة عمل Microsoft Sentinel منفصلة لكل مالك.
ملاحظة شجرة القرارات رقم 6: يتطلب الوصول إلى مدخل Microsoft Sentinel أن يكون لكل مستخدم دور ما لا يقل عن Microsoft Sentinel Reader، مع أذونات القارئ في جميع الجداول في مساحة العمل. إذا لم يكن لدى المستخدم حق الوصول إلى جميع الجداول في مساحة العمل، فسيحتاج إلى استخدام Log Analytics للوصول إلى السجلات في استعلامات البحث.
إذا كان الوصول إلى السجلات عبر Log Analytics كافياً لأي مالكين لا يملكون حق الوصول إلى مدخل Microsoft Sentinel، فتابع الخطوة 8.
لمزيد من المعلومات، راجعالأذونات في Microsoft Azure Sentinel.
الخطوة 8: التحكم في الوصول إلى البيانات حسب مصدر البيانات / الجدول؟
إذا لم تكن بحاجة إلى التحكم في الوصول إلى البيانات حسب المصدر أو الجدول، فاستخدم مساحة عمل Microsoft Sentinel واحدة.
إذا كنت بحاجة إلى التحكم في الوصول إلى البيانات حسب المصدر أو الجدول، ففكر في استخدام التحكم في الوصول استناداً إلى الدور في سياق الموارد في الحالات التالية:
إذا كنت بحاجة إلى التحكم في الوصول على مستوى الصف، مثل توفير مالكين متعددين على كل مصدر بيانات أو جدول
إذا كانت لديك عدة مصادر/جداول مخصصة للبيانات، حيث يحتاج كل واحد منها إلى أذونات منفصلة
في حالات أخرى، عندما لا تحتاج إلى التحكم في الوصول على مستوى الصف، قم بتوفير مصادر/جداول بيانات مخصصة متعددة بأذونات منفصلة، استخدم مساحة عمل Microsoft Sentinel واحدة، مع التحكم في الوصول استنادا إلى الدور على مستوى الجدول للتحكم في الوصول إلى البيانات.
اعتبارات سياق الموارد أو التحكم في الوصول استناداً إلى الدور على مستوى الجدول
عند التخطيط لاستخدام سياق الموارد أو التحكم في الوصول استناداً إلى الدور على مستوى الجدول، ضع في اعتبارك المعلومات التالية:
ملاحظة شجرة القرار رقم 7: لتكوين التحكم في الوصول استنادا إلى الدور لسياق الموارد للموارد غير التابعة ل Azure، قد تحتاج إلى إقران معرف مورد بالبيانات عند الإرسال إلى Microsoft Sentinel، بحيث يمكن تحديد نطاق الإذن باستخدام التحكم في الوصول استنادا إلى الدور في سياق المورد. لمزيد من المعلومات، راجع تكوين أوضاع التحكم في الوصول استناداً إلى الدور لسياق الموارد والوصول بشكل صريح عن طريق التوزيع.
ملاحظة شجرة القرارات رقم 8: تسمح أذونات الموارد أو سياق الموارد للمستخدمين بعرض السجلات فقط للموارد التي لديهم حق الوصول إليها. يجب تعيين وضع الوصول إلى مساحة العمل إلى أذونات موارد المستخدم أو مساحة العمل. سيتم تضمين الجداول ذات الصلة بالموارد التي يمتلك فيها المستخدم أذونات فقط في نتائج البحث من صفحة السجلات في Microsoft Sentinel.
ملاحظة شجرة القرارات رقم 9: يتيح لك التحكم في الوصول استناداً إلى الدور على مستوى الجدول تحديد المزيد من التحكم الدقيق في البيانات الموجودة في مساحة عمل Log Analytics، بالإضافة إلى الأذونات الأخرى. يتيح لك عنصر التحكم هذا تحديد أنواع بيانات معينة لا يمكن الوصول إليها إلا لمجموعة محددة من المستخدمين. لمزيد من المعلومات، راجع التحكم في الوصول استناداً إلى الدور على مستوى الجدول في Microsoft Sentinel.
الخطوات التالية
في هذه المقالة، راجعت شجرة قرارات لمساعدتك في اتخاذ القرارات الرئيسية حول كيفية تصميم بنية مساحة عمل Microsoft Sentinel.
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ