الاستعداد لمساحات عمل ومستأجرين متعددين في Microsoft Sentinel
للتحضير للنشر الخاص بك، تحتاج إلى تحديد ما إذا كانت بنية مساحة العمل المتعددة ذات صلة بالبيئة الخاصة بك. في هذه المقالة، ستتعرف على كيفية توسيع Microsoft Sentinel عبر مساحات عمل ومستأجرين متعددين حتى تتمكن من تحديد ما إذا كانت هذه الإمكانية تناسب احتياجات مؤسستك. هذه المقالة هي جزء من دليل النشر ل Microsoft Sentinel.
إذا قررت إعداد بيئتك للتوسع عبر مساحات العمل، فشاهد توسيع Microsoft Sentinel عبر مساحات العمل والمستأجرين وإدارة مساحات عمل Log Analytics المتعددة الممكنة ل Microsoft Sentinel مركزيا باستخدام مدير مساحة العمل. إذا كانت مؤسستك تخطط للإلحاق بالنظام الأساسي لعمليات الأمان الموحدة من Microsoft في مدخل Defender، فشاهد إدارة Microsoft Defender متعددة المستأجرين.
الحاجة إلى استخدام مساحات عمل متعددة
عند إلحاق Microsoft Sentinel، فإن خطوتك الأولى عبارة عن تحديد مساحة عمل Log Analytics الخاصة بك. بينما يمكنك الحصول على الفائدة الكاملة من تجربة Microsoft Sentinel مع مساحة عمل واحدة، في بعض الحالات، قد ترغب في توسيع مساحة العمل للاستعلام عن بياناتك وتحليلها عبر مساحات العمل والمستأجرين.
يسرد هذا الجدول بعض هذه السيناريوهات، وعندما يكون ذلك ممكنا، يقترح كيفية استخدام مساحة عمل واحدة للسيناريو.
| المتطلبات | الوصف | طرق تقليل عدد مساحات العمل |
|---|---|---|
| السيادة والامتثال التنظيمي | ترتبط مساحة العمل بمنطقة معينة. للاحتفاظ بالبيانات في مناطق جغرافية Azure مختلفة لتلبية المتطلبات التنظيمية، قم بتقسيم البيانات إلى مساحات عمل منفصلة. في Microsoft Sentinel، يتم تخزين البيانات ومعالجتها في نفس المنطقة الجغرافية أو المنطقة، مع بعض الاستثناءات، مثل عند استخدام قواعد الكشف التي تستفيد من التعلم الآلي من Microsoft. في مثل هذه الحالات، قد يتم نسخ البيانات خارج جغرافية مساحة العمل للمعالجة. |
|
| ملكية البيانات | يتم تحديد حدود ملكية البيانات، على سبيل المثال من قبل الشركات الفرعية أو الشركات التابعة لها، بشكل أفضل باستخدام مساحات عمل منفصلة. | |
| مستأجرو Azure متعددون | يدعم Microsoft Sentinel جمع البيانات من موارد Microsoft وAzure SaaS فقط ضمن حدود مستأجر Microsoft Entra الخاصة به. لذلك، يتطلب كل مستأجر Microsoft Entra مساحة عمل منفصلة. | |
| التحكم في الوصول إلى البيانات الدقيقة | قد تحتاج المؤسسة إلى السماح لمجموعات مختلفة، داخل المؤسسة أو خارجها، بالوصول إلى بعض البيانات التي تم جمعها بواسطة Microsoft Sentinel. على سبيل المثال:
|
استخدام المورد Azure RBAC أو مستوى الجدول Azure RBAC |
| إعدادات الاستبقاء متعدد المستويات | تاريخيًا، كانت مساحات العمل المتعددة هي الطريقة الوحيدة لتعيين فترات استبقاء مختلفة لبعض أنواع البيانات المختلفة. لم تعد هناك حاجة إلى ذلك في العديد من الحالات، وذلك بفضل إدخال إعدادات استبقاء مستوى الجدول. | استخدام إعدادات استبقاء مستوى الجدول أو أتمتة حذف البيانات |
| تقسيم الفوترة | من خلال وضع مساحات العمل في اشتراكات منفصلة، يمكن إصدار فواتير لها إلى أطراف مختلفة. | تقارير الاستخدام والتكلفة المشتركة |
| البنية القديمة | قد ينبع استخدام مساحات عمل متعددة من تصميم تاريخي أخذ في الاعتبار القيود أو أفضل الممارسات التي لم تعد صحيحة. قد يقع الاختيار أيضًا على تصميم عشوائي يمكن تعديله ليتناسب مع Microsoft Sentinel بصورة أفضل. تتضمن الأمثلة ما يلي:
|
إعادة تصميم مساحات العمل |
عند تحديد عدد المستأجرين ومساحات العمل التي يجب استخدامها، ضع في اعتبارك أن معظم ميزات Microsoft Sentinel تعمل باستخدام مساحة عمل واحدة أو مثيل Microsoft Sentinel، ويتناول Microsoft Sentinel جميع السجلات الموجودة داخل مساحة العمل.
موفر خدمة الأمان المدار (MSSP)
في حالة MSSP، تنطبق العديد من المتطلبات المذكورة أعلاه إن لم تكن كلها، مما يجعل مساحات عمل متعددة، عبر المستأجرين، أفضل الممارسات. على وجه التحديد، نوصي بإنشاء مساحة عمل واحدة على الأقل لكل مستأجر Microsoft Entra لدعم موصلات بيانات الخدمة المضمنة لخدمة موصلات البيانات التي تعمل فقط ضمن مستأجر Microsoft Entra الخاص بها.
لا يمكن توصيل الموصلات التي تستند إلى إعدادات التشخيص بمساحة عمل غير موجودة في نفس المستأجر حيث يوجد المورد. ينطبق هذا على الموصلات مثل Azure Firewall أو Azure Storage أو Azure Activity أو Microsoft Entra ID.
غالبا ما تستند موصلات بيانات الشريك إلى API أو مجموعات الوكلاء، وبالتالي لا يتم إرفاقها بمستأجر Microsoft Entra محدد.
استخدام Azure Lighthouse للمساعدة في إدارة مثيلات Microsoft Sentinel متعددة في مستأجرين مختلفين.u
تصميم مساحات العمل المتعددة في Microsoft Sentinel
كما هو مضمن في المتطلبات أعلاه، هناك حالات يحتاج فيها SOC واحد إلى إدارة ومراقبة مساحات عمل Log Analytics متعددة ممكنة ل Microsoft Sentinel، من المحتمل أن تكون عبر مستأجري Microsoft Entra.
- خدمة MSSP Microsoft Sentinel.
- SOC عالمية تخدم شركات فرعية متعددة، ولكل منها SOC محلي خاص بها.
- تراقب SOC العديد من مستأجري Microsoft Entra داخل المؤسسة.
لمعالجة هذه الحالات، يوفر Microsoft Sentinel قدرات مساحة عمل متعددة تمكن المراقبة المركزية والتكوين والإدارة، ما يوفر جزءًا واحدًا من الزجاج عبر كل ما يغطيه SOC. يوضح هذا الرسم التخطيطي مثالًا على البنية لحالات الاستخدام هذه.
يوفر هذا النموذج مزايا كبيرة مقارنة بنموذج مركزي بالكامل يتم فيه نسخ جميع البيانات إلى مساحة عمل واحدة:
- تعيين دور مرن لـ SOCs العالمية والمحلية، أو إلى MSSP وعملائه.
- تحديات أقل فيما يتعلق بملكية البيانات وخصوصيتها والامتثال التنظيمي.
- تقليل زمن الانتقال في الشبكة ورسومها.
- سهولة إعداد الشركات الفرعية والعملاء الجدد وإلغاء إعدادهم.
الخطوات التالية
في هذه المقالة، تعرفت على كيفية توسيع Microsoft Sentinel عبر مساحات عمل ومستأجرين متعددين.