Ukázkové návrhy pracovních prostorů služby Log Analytics pro Microsoft Sentinel

Tento článek popisuje navrhované návrhy pracovních prostorů služby Log Analytics pro organizace s následujícími ukázkovými požadavky:

  • Několik tenantů a oblastí s požadavky na evropskou suverenitu dat
  • Jeden tenant s více cloudy
  • Více tenantů s několika oblastmi a centralizovaným zabezpečením

Další informace najdete v tématu Návrh architektury pracovního prostoru služby Log Analytics.

Tento článek je součástí průvodce nasazením pro Microsoft Sentinel.

Ukázka 1: Několik tenantů a oblastí

Contoso Corporation je nadnárodní firma se sídlem v Londýně. Contoso má pobočky po celém světě a má důležitá centra v New Yorku a Tokiu. Společnost Contoso nedávno migrovala svoji sadu pro zvýšení produktivity do Office 365 s mnoha úlohami migrovanými do Azure.

Tenanti Contoso

Kvůli akvizici před několika lety má Společnost Contoso dva Microsoft Entra tenanty: contoso.onmicrosoft.com a wingtip.onmicrosoft.com. Každý tenant má vlastní instanci Office 365 a několik předplatných Azure, jak je znázorněno na následujícím obrázku:

Diagram tenantů Contoso, každý se samostatnými sadami předplatných

Dodržování předpisů a regionální nasazení společnosti Contoso

Společnost Contoso má v současné době Azure prostředky hostované ve třech různých oblastech: USA – východ, EVROPA – sever a Japonsko – západ a striktní požadavek na uchovávání všech dat generovaných v Evropě v rámci oblastí Evropy.

Oba tenanti Microsoft Entra společnosti Contoso mají prostředky ve všech třech oblastech: USA – východ, EU – sever a Západní Japonsko

Požadavky na typy prostředků a kolekce contoso

Společnost Contoso potřebuje shromažďovat události z následujících zdrojů dat:

  • Office 365
  • Microsoft Entra protokolů přihlášení a auditu
  • aktivita Azure
  • Zabezpečení Windows Události z místních i Azure zdrojů virtuálních počítačů
  • Syslog z místních i Azure zdrojů virtuálních počítačů
  • CEF, z několika místních síťových zařízení, jako jsou Palo Alto, Cisco ASA a Cisco Meraki
  • Několik prostředků Azure PaaS, jako jsou Azure Firewall, AKS, Key Vault, Azure Storage a Azure SQL
  • Cisco Umbrella

Azure virtuálních počítačů se většinou nacházejí v oblasti EU – sever, jen několik virtuálních počítačů v oblasti USA – východ a Západní Japonsko. Společnost Contoso používá Microsoft Defender pro servery na všech svých Azure virtuálních počítačích.

Společnost Contoso očekává, že ze všech svých zdrojů dat bude ingestovat přibližně 300 GB/den.

Požadavky na přístup společnosti Contoso

Prostředí Azure společnosti Contoso už má jeden existující pracovní prostor služby Log Analytics, který provozní tým používá k monitorování infrastruktury. Tento pracovní prostor se nachází v tenantovi Contoso Microsoft Entra v oblasti EU – sever a používá se ke shromažďování protokolů z Azure virtuálních počítačů ve všech oblastech. V současné době ingestují přibližně 50 GB/den.

Provozní tým Společnosti Contoso musí mít přístup ke všem protokolům, které aktuálně v pracovním prostoru má, které zahrnují několik datových typů, které soc nepotřebuje, jako je výkon, InsightsMetrics, ContainerLog a další. Provozní tým nesmí mít přístup k novým protokolům shromažďovaným v Microsoft Sentinel.

Řešení společnosti Contoso

Řešení constoso zahrnuje následující aspekty:

  • Společnost Contoso už má existující pracovní prostor a chtěla by prozkoumat povolení Microsoft Sentinel ve stejném pracovním prostoru.
  • Společnost Contoso má zákonné požadavky, takže potřebujeme alespoň jeden pracovní prostor služby Log Analytics povolený pro Microsoft Sentinel v Evropě.
  • Většina virtuálních počítačů společnosti Contoso je oblast EU – sever, kde už mají pracovní prostor. Proto v tomto případě náklady na šířku pásma nejsou problém.
  • Contoso má dva různé Microsoft Entra tenanty a shromažďuje data ze zdrojů dat na úrovni tenanta, jako jsou Office 365 a Microsoft Entra protokoly přihlášení a auditu, a pro každého tenanta potřebujeme alespoň jeden pracovní prostor.
  • Společnost Contoso potřebuje shromažďovat data mimo SOC, i když se data soc nepřekrývají. Data SOC také představují přibližně 250 GB/den, takže by kvůli efektivitě nákladů měla používat samostatné pracovní prostory.
  • Contoso má jeden tým SOC, který bude používat Microsoft Sentinel, takže žádné další oddělení není potřeba.
  • Všichni členové týmu SOC společnosti Contoso budou mít přístup ke všem datům, takže není potřeba žádné další oddělení.

Výsledný návrh pracovního prostoru pro Contoso je znázorněn na následujícím obrázku:

Diagram řešení společnosti Contoso se samostatným pracovním prostorem pro provozní tým

Navrhované řešení zahrnuje:

  • Samostatný pracovní prostor služby Log Analytics pro provozní tým Contoso. Tento pracovní prostor bude obsahovat jenom data, která tým SOC společnosti Contoso nepotřebuje, například tabulky Perf, InsightsMetrics nebo ContainerLog .
  • Dva pracovní prostory Služby Log Analytics povolené pro Microsoft Sentinel ( jeden v každém Microsoft Entra tenantovi) k ingestování dat z Office 365, aktivity Azure, Microsoft Entra ID a všech služeb PaaS Azure.
  • Všechna ostatní data, která pocházejí z místních zdrojů dat, je možné směrovat do jednoho ze dvou pracovních prostorů.

Ukázka 2: Jeden tenant s více cloudy

Fabrikam je organizace se sídlem v New Yorku a pobočkami po celém USA. Společnost Fabrikam začíná svou cestu ke cloudu a stále potřebuje nasadit svoji první cílovou zónu Azure a migrovat první úlohy. Společnost Fabrikam už má v AWS několik úloh, které hodlá monitorovat pomocí Microsoft Sentinel.

Požadavky na tenanty Fabrikam

Fabrikam má jednoho tenanta Microsoft Entra.

Dodržování předpisů a regionální nasazení Fabrikam

Společnost Fabrikam nemá žádné požadavky na dodržování předpisů. Společnost Fabrikam má prostředky v několika Azure oblastech v USA, ale náklady na šířku pásma napříč oblastmi nejsou hlavním problémem.

Požadavky na kolekce a typy prostředků Fabrikam

Společnost Fabrikam potřebuje shromažďovat události z následujících zdrojů dat:

  • Microsoft Entra protokolů přihlášení a auditu
  • aktivita Azure
  • Události zabezpečení z místních i Azure zdrojů virtuálních počítačů
  • Události Windows z místních i Azure zdrojů virtuálních počítačů
  • Data o výkonu z místních i Azure zdrojů virtuálních počítačů
  • AWS CloudTrail
  • Protokoly auditu a výkonu AKS

Požadavky na přístup ke službě Fabrikam

Provozní tým Fabrikam potřebuje přístup k:

  • Události zabezpečení a události Windows z místních i Azure zdrojů virtuálních počítačů
  • Data o výkonu z místních i Azure zdrojů virtuálních počítačů
  • Výkon AKS (Container Insights) a protokoly auditu
  • Všechna data aktivity Azure

Tým SOC společnosti Fabrikam potřebuje přístup k:

  • Microsoft Entra protokolů přihlášení a auditu
  • Všechna data aktivity Azure
  • Události zabezpečení z místních i Azure zdrojů virtuálních počítačů
  • Protokoly AWS CloudTrail
  • Protokoly auditu AKS
  • Úplný portál Microsoft Sentinel

Řešení společnosti Fabrikam

Řešení společnosti Fabrikam zahrnuje následující aspekty:

  • Fabrikam nemá žádný existující pracovní prostor, takže bude automaticky potřebovat nový pracovní prostor.

  • Společnost Fabrikam nemá žádné zákonné požadavky, které vyžadují, aby data udržovala odděleně.

  • Fabrikam má prostředí s jedním tenantem a nepotřebuje samostatné pracovní prostory pro každého tenanta.

  • Společnost Fabrikam ale bude pro své týmy SOC a Operations potřebovat samostatné pracovní prostory.

    Provozní tým Fabrikam potřebuje shromažďovat údaje o výkonu z virtuálních počítačů i Z AKS. Vzhledem k tomu, že služba AKS je založená na nastavení diagnostiky, může vybrat konkrétní protokoly, které se mají odesílat do konkrétních pracovních prostorů. Společnost Fabrikam se může rozhodnout odesílat protokoly auditu AKS do pracovního prostoru služby Log Analytics s povoleným Microsoft Sentinel a všechny protokoly AKS do samostatného pracovního prostoru, kde není povolená Microsoft Sentinel. V pracovním prostoru, ve kterém není povolená Microsoft Sentinel, Fabrikam povolí řešení Container Insights.

    U virtuálních počítačů s Windows může Fabrikam pomocí agenta Azure Monitoring Agent (AMA) rozdělit protokoly a odesílat události zabezpečení do pracovního prostoru a události výkonu a Windows do pracovního prostoru bez Microsoft Sentinel.

    Společnost Fabrikam se rozhodne zvážit překrývající se data, jako jsou události zabezpečení a události Azure aktivit, pouze jako data SOC, a odešle tato data do pracovního prostoru s Microsoft Sentinel.

  • Společnost Fabrikam potřebuje řídit přístup k překrývajícím se datům, včetně událostí zabezpečení a událostí Azure aktivit, ale nevyžaduje se to na úrovni řádků. Vzhledem k tomu, že události zabezpečení a události Azure aktivit nejsou vlastní protokoly, může Fabrikam pomocí řízení přístupu na úrovni tabulky udělit provoznímu týmu přístup k těmto dvěma tabulkám.

Výsledný návrh pracovního prostoru pro Fabrikam je znázorněn na následujícím obrázku, který obsahuje pouze zdroje protokolů klíčů kvůli jednoduchosti návrhu:

Diagram řešení společnosti Fabrikam se samostatným pracovním prostorem pro tým ops

Navrhované řešení zahrnuje:

  • Dva samostatné pracovní prostory v oblasti USA: jeden pro tým SOC s povoleným Microsoft Sentinel a druhý pro provozní tým bez Microsoft Sentinel.
  • Azure Monitoring Agent (AMA) slouží k určení protokolů odesílaných do jednotlivých pracovních prostorů z Azure a místních virtuálních počítačů.
  • Nastavení diagnostiky, které slouží k určení, které protokoly se do jednotlivých pracovních prostorů odesílají z Azure prostředků, jako je AKS.
  • Překrývající se data odesílaná do pracovního prostoru služby Log Analytics povolená pro Microsoft Sentinel s řízením přístupu na úrovni tabulky pro udělení přístupu provoznímu týmu podle potřeby.

Ukázka 3: Více tenantů a oblastí a centralizované zabezpečení

Adventure Works je nadnárodní společnost se sídlem v Tokiu. Adventure Works má 10 různých dílčích entit založených v různých zemích nebo oblastech po celém světě.

Adventure Works je Microsoft 365 E5 zákazníkem a už má úlohy v Azure.

Požadavky na tenanty Adventure Works

Adventure Works má tři různé Microsoft Entra tenanty, jednoho pro každý kontinent, kde mají dílčí entity: Asie, Evropa a Afrika. Země nebo oblasti různých dílčích entit mají své identity v tenantovi kontinentu, do který patří. Například japonští uživatelé jsou v tenantovi Asie , němečtí uživatelé jsou v tenantovi Evropa a egyptští uživatelé jsou v tenantovi Afrika .

Dodržování předpisů a regionální požadavky společnosti Adventure Works

Adventure Works v současné době používá tři Azure oblasti, z nichž každá je v souladu s kontinentem, na kterém se dílčí entity nacházejí. Adventure Works nemá přísné požadavky na dodržování předpisů.

Typy prostředků a požadavky na kolekci adventure Works

Adventure Works potřebuje pro každou dílčí entitu shromáždit následující zdroje dat:

  • Microsoft Entra protokolů přihlášení a auditu
  • Office 365 protokolů
  • Microsoft Defender XDR pro nezpracované protokoly koncového bodu
  • aktivita Azure
  • Microsoft Defender for Cloud
  • Azure prostředků PaaS, například z Azure Firewall, Azure Storage, Azure SQL a Azure WAF
  • Události zabezpečení a windows z virtuálních počítačů Azure
  • Protokoly CEF z místních síťových zařízení

Azure virtuální počítače jsou rozptýlené na třech kontinentech, ale náklady na šířku pásma se neúčtují.

Požadavky na přístup k Adventure Works

Adventure Works má jeden centralizovaný tým SOC, který dohlíží na operace zabezpečení pro všechny různé dílčí entity.

Adventure Works má také tři nezávislé týmy SOC, jeden pro každý kontinent. Tým SOC každého kontinentu by měl mít přístup pouze k datům vygenerovaným v rámci jeho oblasti, aniž by viděl data z jiných kontinentů. Například tým SOC asie by měl přistupovat pouze k datům z Azure prostředků nasazených v Asii, Microsoft Entra přihlášení z tenanta Asie a protokoly Defenderu for Endpoint z tenanta Asie.

Tým SOC každého kontinentu musí mít přístup k úplnému prostředí portálu Microsoft Sentinel.

Provozní tým společnosti Adventure Works běží nezávisle a má vlastní pracovní prostory bez Microsoft Sentinel.

Řešení Adventure Works

Řešení Adventure Works zahrnuje následující aspekty:

  • Provozní tým společnosti Adventure Works už má své vlastní pracovní prostory, takže není potřeba vytvářet nové.

  • Adventure Works nemá žádné zákonné požadavky, které by vyžadovaly, aby data udržovala odděleně.

  • Adventure Works má tři Microsoft Entra tenanty a potřebuje shromažďovat zdroje dat na úrovni tenanta, jako jsou Office 365 protokoly. Proto by adventure Works měla v každém tenantovi vytvořit alespoň jeden pracovní prostor služby Log Analytics s povoleným Microsoft Sentinel.

  • I když všechna data zvažovaná v tomto rozhodnutí bude používat tým SOC společnosti Adventure Works, musí data oddělit podle vlastnictví, protože každý tým SOC potřebuje přístup pouze k datům, která jsou pro daný tým relevantní. Každý tým SOC také potřebuje přístup k úplnému portálu Microsoft Sentinel. Adventure Works nemusí řídit přístup k datům podle tabulky.

Výsledný návrh pracovního prostoru pro Adventure Works je znázorněn na následujícím obrázku, který kvůli jednoduchosti návrhu obsahuje pouze zdroje protokolů klíčů:

Diagram řešení společnosti Adventure Works se samostatnými pracovními prostory pro každý Azure AD tenanta

Navrhované řešení zahrnuje:

  • Samostatný pracovní prostor služby Log Analytics povolený pro Microsoft Sentinel pro každého tenanta Microsoft Entra. Každý pracovní prostor shromažďuje data související se svým tenantem pro všechny zdroje dat.
  • Tým SOC na každém kontinentu má přístup pouze k pracovnímu prostoru ve svém vlastním tenantovi a zajišťuje, aby každý tým SOC měl přístup jenom k protokolům vygenerovaným v rámci hranice tenanta.
  • Centrální tým SOC stále může pracovat ze samostatného Microsoft Entra tenanta a používat Azure Lighthouse pro přístup ke každému z různých Microsoft Sentinel prostředí. Pokud neexistuje žádný jiný tenant, může centrální tým SOC nadále používat Azure Lighthouse pro přístup ke vzdáleným pracovním prostorům.
  • Centrální tým SOC může také vytvořit další pracovní prostor, pokud potřebuje ukládat artefakty, které zůstávají skryté týmům SOC na kontinentu, nebo pokud chce ingestovat jiná data, která nejsou relevantní pro týmy SOC na kontinentu.

Další kroky

V tomto článku jste si prostudovali sadu návrhů pracovních prostorů pro organizace.

Příprava na více pracovních prostorů

  • Last updated on