Plánování pracovního prostoru Služby Microsoft Sentinel

Dokončeno

Před nasazením služby Microsoft Sentinel je důležité porozumět možnostem pracovního prostoru. Řešení Microsoft Sentinel je nainstalované v pracovním prostoru služby Log Analytics a většina aspektů implementace se zaměřuje na vytvoření pracovního prostoru služby Log Analytics. Jednou z nejdůležitějších možností při vytváření nového pracovního prostoru služby Log Analytics je oblast. Oblast určuje umístění, kam se budou data protokolu nacházet.

Tři možnosti implementace:

  • Jeden tenant s jedním pracovním prostorem Služby Microsoft Sentinel

  • Jeden tenant s regionálními pracovními prostory Služby Microsoft Sentinel

  • Více tenantů

Jeden pracovní prostor s jedním tenantem

Jednoklient s jedním pracovním prostorem Microsoft Sentinelu bude centrálním úložištěm pro protokoly napříč všemi prostředky v rámci stejného tenanta.

Tento pracovní prostor přijímá protokoly z prostředků v jiných oblastech ve stejném tenantovi. Vzhledem k tomu, že data protokolu (při shromažďování) budou cestovat mezi oblastmi a uložená v jiné oblasti, vytvoří se dvě možné obavy. Za prvé může vzniknout náklady na šířku pásma. Za druhé, pokud existuje požadavek na zásady správného řízení dat, aby data zůstala v konkrétní oblasti, nebyla by jedinou možností pracovního prostoru možnost implementace.

Diagram of a Single Tenant Sentinel Workspace.

Mezi klienty s jedním kompromisem mezi pracovními prostory patří:

Výhody Nevýhody
Centrální podokno skla Nemusí splňovat požadavky na zásady správného řízení dat
Konsoliduje všechny protokoly zabezpečení a informace. Může vzniknout náklady na šířku pásma pro různé oblasti.
Snadnější dotazování na všechny informace
Řízení přístupu k datům pomocí RBAC v Azure Log Analytics
Řízení přístupu na základě role služby v Microsoft Sentinelu pro řízení přístupu na základě role služby

Jeden tenant s regionálními pracovními prostory Microsoft Sentinelu

Jeden tenant s regionálními pracovními prostory Služby Microsoft Sentinel bude obsahovat několik pracovních prostorů služby Sentinel vyžadujících vytvoření a konfiguraci více pracovních prostorů Microsoft Sentinel a Log Analytics.

Diagram of a Sentinel Single Tenant Regional Workspace.

Výhody Nevýhody
Žádné náklady na šířku pásma napříč oblastmi Žádné centrální podokno skla. Nehledáte na jednom místě, abyste viděli všechna data.
Může se vyžadovat splnění požadavků na zásady správného řízení dat. Analýzy, sešity atd. musí být nasazeny vícekrát.
Odstupňované řízení přístupu k datům
Nastavení podrobného uchovávání informací
Rozdělená fakturace

Pokud chcete dotazovat data napříč pracovními prostory, použijte funkci workspace() před názvem tabulky.

TableName

| union workspace("WorkspaceName").TableName

Pracovní prostory s více tenanty

Pokud potřebujete spravovat pracovní prostor Microsoft Sentinelu, ne ve vašem tenantovi, implementujete pracovní prostory s více tenanty pomocí Služby Azure Lighthouse. Tato konfigurace zabezpečení vám uděluje přístup k tenantům. Konfigurace tenanta v rámci tenanta (regionální nebo více oblastí) je stejná jako předtím.

Diagram of Sentinel Multi-Tenant Workspaces.

Použijte stejný pracovní prostor služby Log Analytics jako Microsoft Defender for Cloud.

Použijte stejný pracovní prostor pro Microsoft Sentinel i Microsoft Defender for Cloud, aby se všechny protokoly shromážděné v programu Microsoft Defender for Cloud mohly také ingestovat a používat ve službě Microsoft Sentinel. Výchozí pracovní prostor vytvořený v programu Microsoft Defender for Cloud se nezobrazí jako dostupný pracovní prostor pro Microsoft Sentinel.