Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Důležité
Po 31. březnu 2027 už Microsoft Sentinel nebude podporován na webu Azure Portal a bude dostupný jenom na portálu Microsoft Defender. Všichni zákazníci používající Microsoft Sentinel na webu Azure Portal budou přesměrováni na portál Defender a budou používat Microsoft Sentinel jenom na portálu Defender.
Pokud na webu Azure Portal stále používáte Microsoft Sentinel, doporučujeme začít plánovat přechod na portál Defender , abyste zajistili hladký přechod a plně využili sjednoceného prostředí operací zabezpečení, které nabízí Microsoft Defender.
Pokud chcete připravit nasazení, musíte určit, jestli je pro vaše prostředí relevantní více architektur pracovního prostoru. V tomto článku se dozvíte, jak microsoft Sentinel může rozšířit více pracovních prostorů a tenantů, abyste mohli zjistit, jestli tato funkce vyhovuje potřebám vaší organizace. Tento článek je součástí průvodce nasazením pro Microsoft Sentinel.
V závislosti na tom, který portál používáte k rozšíření služby Microsoft Sentinel mezi pracovní prostory, použijte jednu z následujících sad pokynů k nastavení:
Potřeba použít více pracovních prostorů
Při onboardingu služby Microsoft Sentinel je vaším prvním krokem výběr pracovního prostoru služby Log Analytics. Ačkoli můžete plně využívat Microsoft Sentinel již s jediným pracovním prostorem, v některých případech můžete chtít rozšířit pracovní prostor, abyste mohli provádět dotazy a analyzovat data napříč pracovními prostory a nájemníky.
Tato tabulka uvádí některé z těchto scénářů a pokud je to možné, navrhuje, jak pro scénář použít jeden pracovní prostor.
| Požadavek | Popis | Způsoby snížení počtu pracovních prostorů |
|---|---|---|
| Suverenita a dodržování právních předpisů | Pracovní prostor je vázaný na konkrétní oblast. Pokud chcete zachovat data v různých geografických oblastech Azure, aby splňovala zákonné požadavky, rozdělte data do samostatných pracovních prostorů. Ve službě Microsoft Sentinel se data většinou ukládají a zpracovávají ve stejné zeměpisné oblasti nebo oblasti, s některými výjimkami, například při použití pravidel detekce, která využívají strojové učení Microsoftu. V takových případech se data můžou zkopírovat mimo geografickou oblast pracovního prostoru ke zpracování. |
|
| Vlastnictví dat | Hranice vlastnictví dat, například dceřinými společnostmi nebo přidruženými společnostmi, jsou lépe vymezeny pomocí samostatných pracovních prostorů. | |
| Více tenantů Azure | Microsoft Sentinel podporuje shromažďování dat z prostředků Microsoft a Azure SaaS pouze v rámci vlastní hranice tenanta Microsoft Entra. Každý tenant Microsoft Entra proto vyžaduje samostatný pracovní prostor. | |
| Podrobné řízení přístupu k datům | Organizace může potřebovat povolit různým skupinám v rámci organizace nebo mimo ni přístup k některým datům shromážděným službou Microsoft Sentinel. Příklad:
|
Použijte Azure RBAC nebo Azure RBAC na úrovni tabulky |
| Nastavení granulární retence | V minulosti bylo více pracovních prostorů jediným způsobem, jak nastavit různá období uchovávání pro různé datové typy. V mnoha případech už to není potřeba, a to díky zavedení nastavení uchovávání na úrovni tabulky. | Použití nastavení uchovávání informací na úrovni tabulky nebo automatizace odstraňování dat |
| Rozdělení fakturace | Umístěním pracovních prostorů do samostatných předplatných je možné je fakturovat různým stranám. | Vykazování použití a přeúčtování. |
| Zastaralá architektura | Použití více pracovních prostorů může vycházet z historického návrhu, který zohlednil omezení nebo osvědčené postupy, které už nejsou pravdivé. Může to být také libovolná volba návrhu, kterou je možné upravit tak, aby lépe vyhovovala službě Microsoft Sentinel. Příkladem může být:
|
Změňte architekturu pracovních prostorů. |
Při rozhodování, kolik tenantů a pracovních prostorů použít, vezměte v úvahu, že většina funkcí Microsoft Sentinelu funguje pomocí jednoho pracovního prostoru nebo instance a Microsoft Sentinel ingestuje všechny protokoly uložené v pracovním prostoru.
Poskytovatel spravované služby zabezpečení (MSSP)
V případě MSSP platí mnoho z výše uvedených požadavků, což z vytváření více pracovních prostorů napříč tenanty dělá nejlepší praktiku. Konkrétně doporučujeme vytvořit alespoň jeden pracovní prostor pro každého tenanta Microsoft Entra, který podporuje integrované datové konektory service to service, které fungují jenom v rámci vlastního tenanta Microsoft Entra.
Konektory založené na nastavení diagnostiky se nedají připojit k pracovnímu prostoru, který není umístěný ve stejném tenantovi, kde se prostředek nachází. To platí pro konektory, jako Azure Firewall, Azure Storage, Azure Activity nebo Microsoft Entra ID.
Partnerské datové konektory jsou často založené na rozhraní API nebo kolekcích agentů, a proto nejsou připojené ke konkrétnímu tenantovi Microsoft Entra.
Použití služby Azure Lighthouse ke správě více instancí Služby Microsoft Sentinel v různých tenantech
Architektura více pracovních prostorů v Microsoft Sentinelu
Jak vyplývá z výše uvedených požadavků, existují případy, kdy jeden SOC musí centrálně spravovat a monitorovat více pracovních prostorů log Analytics povolených pro Microsoft Sentinel, potenciálně napříč tenanty Microsoft Entra.
- Služba MSSP Microsoft Sentinel.
- Globální SOC obsluhující více dceřiných společností, z nichž každá má vlastní místní SOC.
- SOC monitoruje více tenantů Microsoft Entra v rámci organizace.
Pro řešení těchto případů nabízí Microsoft Sentinel schopnosti pro více pracovních prostorů, které umožňují centrální monitorování, konfiguraci a správu a poskytují jednotné rozhraní pro všechny oblasti pokryté SOC. Tento diagram znázorňuje ukázkovou architekturu pro takové případy použití.
Tento model nabízí významné výhody oproti plně centralizovaného modelu, ve kterém se všechna data kopírují do jednoho pracovního prostoru:
- Flexibilní přiřazení role ke globálním a místním socům nebo k mssp jeho zákazníkům.
- Méně problémů týkajících se vlastnictví dat, ochrany osobních údajů a dodržování právních předpisů
- Minimální latence sítě a poplatky
- Snadné onboarding a odpojování nových poboček nebo zákazníků.
Další kroky
V tomto článku jste zjistili, jak může Microsoft Sentinel rozšířit více pracovních prostorů a tenantů.