Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Důležité
Po 31. březnu 2027 už se Microsoft Sentinel nebudou v Azure Portal podporovat a budou dostupné jenom na portálu Microsoft Defender. Všichni zákazníci používající Microsoft Sentinel v Azure Portal budou přesměrováni na portál Defender a budou používat Microsoft Sentinel jenom na portálu Defender.
Pokud v Azure Portal stále používáte Microsoft Sentinel, doporučujeme začít plánovat přechod na portál Defender, abyste zajistili hladký přechod a plně využili jednotné prostředí operací zabezpečení, které nabízí Microsoft Defender.
Abyste se mohli připravit na nasazení, musíte určit, jestli je pro vaše prostředí relevantní architektura více pracovních prostorů. V tomto článku se dozvíte, jak se Microsoft Sentinel rozšířit do více pracovních prostorů a tenantů, abyste mohli určit, jestli tato funkce vyhovuje potřebám vaší organizace. Tento článek je součástí průvodce nasazením pro Microsoft Sentinel.
V závislosti na portálu, který používáte k rozšíření Microsoft Sentinel napříč pracovními prostory, použijte jednu z následujících sad pokynů k nastavení:
Potřeba používat více pracovních prostorů
Při onboardingu Microsoft Sentinel je prvním krokem výběr pracovního prostoru služby Log Analytics. I když můžete získat plnou výhodu Microsoft Sentinel prostředí s jedním pracovním prostorem, v některých případech můžete chtít rozšířit pracovní prostor tak, aby dotazovat a analyzovat data napříč pracovními prostory a tenanty.
Tato tabulka uvádí některé z těchto scénářů, a pokud je to možné, navrhuje, jak pro tento scénář použít jeden pracovní prostor.
| Požadavek | Popis | Způsoby snížení počtu pracovních prostorů |
|---|---|---|
| Suverenita a dodržování právních předpisů | Pracovní prostor je svázaný s konkrétní oblastí. Pokud chcete data uchovávat v různých Azure zeměpisných oblastech, aby splňovala zákonné požadavky, rozdělte je do samostatných pracovních prostorů. V Microsoft Sentinel se data většinou ukládají a zpracovávají ve stejné zeměpisné oblasti nebo oblasti, s některými výjimkami, například při použití pravidel detekce, která využívají strojové učení Microsoftu. V takových případech se data můžou ke zpracování zkopírovat mimo geografickou oblast pracovního prostoru. |
|
| Vlastnictví dat | Hranice vlastnictví dat, například dceřinými nebo přidruženými společnostmi, jsou lépe vymezené pomocí samostatných pracovních prostorů. | |
| Několik tenantů Azure | Microsoft Sentinel podporuje shromažďování dat z Prostředků SaaS a Azure Microsoftu pouze v rámci vlastních Microsoft Entra hranic tenanta. Proto každý Microsoft Entra tenant vyžaduje samostatný pracovní prostor. | |
| Podrobné řízení přístupu k datům | Organizace může potřebovat povolit přístup k některým datům shromážděným Microsoft Sentinel různými skupinami v rámci organizace i mimo ni. Příklady:
|
Použití řízení přístupu na základě role na úrovni Azure prostředků nebo tabulky Azure řízení přístupu na základě role |
| Nastavení podrobného uchovávání informací | V minulosti bylo jediným způsobem, jak nastavit různé doby uchovávání pro různé datové typy, více pracovních prostorů. Díky zavedení nastavení uchovávání na úrovni tabulky už to v mnoha případech není potřeba. | Použití nastavení uchovávání na úrovni tabulky nebo automatizace odstraňování dat |
| Rozdělení fakturace | Když pracovní prostory umístíte do samostatných předplatných, můžou se fakturovat různým stranám. | Generování sestav využití a křížové účtování |
| Starší verze architektury | Použití více pracovních prostorů může vycházet z historického návrhu, který zohledňuje omezení nebo osvědčené postupy, které už neplatí. Může se také jednat o libovolnou volbu návrhu, kterou je možné upravit tak, aby lépe vyhovovala Microsoft Sentinel. Mezi příklady patří:
|
Změna návrhu pracovních prostorů |
Při určování počtu tenantů a pracovních prostorů, které se mají použít, vezměte v úvahu, že většina Microsoft Sentinel funkcí funguje pomocí jednoho pracovního prostoru nebo Microsoft Sentinel instance a Microsoft Sentinel ingestuje všechny protokoly, které jsou v pracovním prostoru.
Zprostředkovatel spravované služby zabezpečení (MSSP)
V případě mssp platí mnoho, ne-li všechny výše uvedené požadavky, takže osvědčeným postupem je více pracovních prostorů napříč tenanty. Konkrétně doporučujeme vytvořit alespoň jeden pracovní prostor pro každého Microsoft Entra tenanta, abyste podporovali integrované datové konektory mezi službami, které fungují pouze v rámci vlastního Microsoft Entra tenanta.
Konektory založené na nastavení diagnostiky se nedají připojit k pracovnímu prostoru, který se nenachází ve stejném tenantovi, ve kterém se nachází prostředek. To platí pro konektory, jako jsou Azure Firewall, Azure Storage, Azure Activity nebo Microsoft Entra ID.
Datové konektory partnerů jsou často založené na rozhraní API nebo kolekcích agentů, a proto nejsou připojené ke konkrétnímu Microsoft Entra tenantovi.
Použití Azure Lighthouse ke správě více instancí Microsoft Sentinel v různých tenantech.u
Microsoft Sentinel více architektur pracovních prostorů
Jak vyplývá z výše uvedených požadavků, existují případy, kdy jeden soc potřebuje centrálně spravovat a monitorovat několik pracovních prostorů služby Log Analytics s povoleným Microsoft Sentinel, potenciálně napříč Microsoft Entra tenanty.
- Služba mssp Microsoft Sentinel.
- Globální SOC obsluhující více dceřiných společností, z nichž každá má vlastní místní SOC.
- SOC monitoruje několik tenantů Microsoft Entra v rámci organizace.
Pro řešení těchto případů nabízí Microsoft Sentinel funkce s několika pracovními prostory, které umožňují centrální monitorování, konfiguraci a správu a poskytují jediné podokno napříč všemi oblastmi, na které se vztahuje SOC. Tento diagram znázorňuje ukázkovou architekturu pro takové případy použití.
Tento model nabízí významné výhody oproti plně centralizovanému modelu, ve kterém se všechna data kopírují do jednoho pracovního prostoru:
- Flexibilní přiřazení role ke globálním a místním soc nebo k mssp jeho zákazníkům.
- Méně problémů týkajících se vlastnictví dat, ochrany osobních údajů a dodržování právních předpisů
- Minimální latence sítě a poplatky.
- Snadná onboarding a offboarding nových poboček nebo zákazníků.
Další kroky
V tomto článku jste zjistili, jak Microsoft Sentinel rozšířit napříč několika pracovními prostory a tenanty.