إدارة السجلات
وأخيرًا، عليك فهم كيفية توزيع بيانات السجلات التي تجمعها Microsoft Sentinel وإدارتها.
إدارة سجل Azure Monitor
تعد Azure Monitor وميزة Log Analytics التي توفرها بمثابة منصة لإدارة السجلات الأساسية التي تعمل على تشغيل Microsoft Sentinel. تعد مساحة العمل التي تستخدمها Microsoft Sentinel في الأساس حاوية تُجمع فيها بيانات السجلات من مجموعة متنوعة من المصادر. قد تكون لديك مساحة عمل Log Analytics واحدة لجميع بيانات المراقبة الخاصة بك، أو قد تكون لديك متطلبات لمساحات عمل متعددة.
أي مصدر يرسل السجلات إلى Monitor أو Log Analytics يدعم بطبيعته أيضًا Microsoft Sentinel. تدعم معظم حلول Azure وMicrosoft إرسال تتبع الاستخدام إلى Monitor.
نموذج الأسعار
تستند فواتير Microsoft Sentinel إلى كمية البيانات التي يجري استيعابها لتحليلها في Microsoft Sentinel والتي تُخزَن في مساحة عمل Log Analytics. توجد طريقتان لدفع تكاليف خدمة Microsoft Sentinel: حجوزات السعة والدفع أولًا بأول.
مساحة عمل Azure Monitor Log Analytics هي المكان الذي يتم إرسال البيانات إليه. يتم تنظيم البيانات في مساحة العمل في جداول. يخزن كل جدول أنواعاً مختلفة من البيانات ويتضمن مجموعة مميزة من الخصائص. تستند الخصائص إلى المورد الذي يُنشئ البيانات. تكتب معظم مصادر البيانات إلى جداولها الخاصة في مساحة عمل Log Analytics.
يمكنك الاستفادة من تجربة Microsoft Sentinel بالكامل عند استخدام مساحة عمل واحدة. ومع ذلك، قد تتطلب منك بعض الظروف أن تمتلك العديد من مساحات العمل، مثل:
- السيادة والامتثال التنظيمي: ترتبط مساحة العمل بمنطقة معينة. إذا تعين الاحتفاظ بالبيانات في مناطق جغرافية مختلفة في Azure لتلبية المتطلبات التنظيمية، يجب تقسيمها إلى مساحات عمل منفصلة.
- ملكية البيانات: تُرسم حدود ملكية البيانات، على سبيل المثال من قبل الشركات الفرعية أو التابعة، بشكل أفضل باستخدام مساحات عمل منفصلة.
- مستأجرو Azure المتعددون: يدعم Microsoft Sentinel جمع البيانات من Microsoft وموارد برنامج Azure كخدمة (SaaS) فقط ضمن حدود مستأجر Microsoft Entra الخاصة به. لذلك، يتطلب كل مستأجر Microsoft Entra مساحة عمل منفصلة.
قد تكون لديك متطلبات، مثل الحاجة إلى التحكم في الوصول إلى البيانات بصورة دقيقة. تُلبى احتياجات هذه المواقف على أكمل وجه باستخدام مساحة عمل واحدة. يسرد الجدول التالي بعض المواقف والطرق التي يمكنك من خلالها تقليل عدد مساحات العمل.
| المتطلبات | الوصف | طرق تقليل عدد مساحات العمل |
|---|---|---|
| التحكم في الوصول إلى البيانات بصورة دقيقة | قد تحتاج المؤسسة إلى السماح لمجموعات مختلفة، داخل المؤسسة أو خارجها، بالوصول إلى بعض البيانات التي تجمعها Microsoft Sentinel. | استخدام المورد Azure RBAC أو Azure RBAC على مستوى الجدول |
| تقسيم الفواتير | من خلال وضع مساحات العمل في اشتراكات منفصلة، يمكنهم إرسال فاتورة إلى أطراف مختلفة. | تقارير الاستخدام والتكلفة المشتركة |
| التصميم القديم | قد ينشأ استخدام مساحات عمل متعددة من تصميم قديم يُراعي القيود أو أفضل الممارسات التي لم تعد تُستخدم. قد يقع الاختيار أيضًا على تصميم عشوائي يمكن تعديله ليتناسب مع Microsoft Sentinel بصورة أفضل. | إعادة تصميم مساحات العمل |
تصميم مساحات العمل المتعددة في Microsoft Sentinel
هناك حالات يجب فيها مراقبة مساحات عمل Microsoft Sentinel متعددة، يحتمل أن تكون عبر مستأجري Microsoft Entra، وإدارتها مركزيا بواسطة مركز عمليات أمان واحد، مثل:
- خدمة Microsoft Sentinel لموفر خدمة أمان مُدارة
- مركز عمليات أمان يراقب العديد من مستأجري Microsoft Entra في مؤسسة
- مركز عمليات أمان عالمي يخدم العديد من الشركات الفرعية ولكل منها مركز عمليات أمان محلي خاص بها
لتلبية هذا المطلب، تقدم Microsoft Sentinel إمكانات مساحات عمل متعددة تتيح إمكانية المراقبة والتهيئة والإدارة المركزية. وهي توفر وحدة التحكم في العرض ذات الإدارة الواحدة عبر كل شيء يغطيه مركز عمليات الأمان.
يوفر نموذج مساحات العمل المتعددة هذا مزايا كبيرة مقارنة بنموذج مركزي بالكامل يتم فيه نسخ جميع البيانات إلى مساحة عمل واحدة مثل:
- تعيين دور أكثر مرونة لفرق مركز عمليات الأمان العالمية أو المحلية أو لموفر خدمة الأمان المُدارة لعملائه
- تحديات أقل فيما يتعلق بملكية البيانات وخصوصيتها والامتثال التنظيمي
- تقليل زمن الانتقال في الشبكة ورسومها
- سهولة إعداد الشركات الفرعية والعملاء الجدد وإلغاء إعدادهم