Plánování pracovního prostoru Služby Microsoft Sentinel
Před nasazením služby Microsoft Sentinel je důležité porozumět možnostem pracovního prostoru. Řešení Microsoft Sentinel je nainstalované v pracovním prostoru služby Log Analytics a většina aspektů implementace se zaměřuje na vytvoření pracovního prostoru služby Log Analytics. Jednou z nejdůležitějších možností při vytváření nového pracovního prostoru služby Log Analytics je oblast. Oblast určuje umístění, kam se budou data protokolu nacházet.
Tři možnosti implementace:
Jeden tenant s jedním pracovním prostorem Služby Microsoft Sentinel
Jeden tenant s regionálními pracovními prostory Služby Microsoft Sentinel
Více tenantů
Jeden pracovní prostor s jedním tenantem
Jednoklient s jedním pracovním prostorem Microsoft Sentinelu bude centrálním úložištěm pro protokoly napříč všemi prostředky v rámci stejného tenanta.
Tento pracovní prostor přijímá protokoly z prostředků v jiných oblastech ve stejném tenantovi. Vzhledem k tomu, že data protokolu (při shromažďování) budou cestovat mezi oblastmi a uložená v jiné oblasti, vytvoří se dvě možné obavy. Za prvé může vzniknout náklady na šířku pásma. Za druhé, pokud existuje požadavek na zásady správného řízení dat, aby data zůstala v konkrétní oblasti, nebyla by jedinou možností pracovního prostoru možnost implementace.
Mezi klienty s jedním kompromisem mezi pracovními prostory patří:
| Výhody | Nevýhody |
|---|---|
| Centrální podokno skla | Nemusí splňovat požadavky na zásady správného řízení dat |
| Konsoliduje všechny protokoly zabezpečení a informace. | Může vzniknout náklady na šířku pásma pro různé oblasti. |
| Snadnější dotazování na všechny informace | |
| Řízení přístupu k datům pomocí RBAC v Azure Log Analytics | |
| Řízení přístupu na základě role služby v Microsoft Sentinelu pro řízení přístupu na základě role služby |
Jeden tenant s regionálními pracovními prostory Microsoft Sentinelu
Jeden tenant s regionálními pracovními prostory Služby Microsoft Sentinel bude obsahovat několik pracovních prostorů služby Sentinel vyžadujících vytvoření a konfiguraci více pracovních prostorů Microsoft Sentinel a Log Analytics.
| Výhody | Nevýhody |
|---|---|
| Žádné náklady na šířku pásma napříč oblastmi | Žádné centrální podokno skla. Nehledáte na jednom místě, abyste viděli všechna data. |
| Může se vyžadovat splnění požadavků na zásady správného řízení dat. | Analýzy, sešity atd. musí být nasazeny vícekrát. |
| Odstupňované řízení přístupu k datům | |
| Nastavení podrobného uchovávání informací | |
| Rozdělená fakturace |
Pokud chcete dotazovat data napříč pracovními prostory, použijte funkci workspace() před názvem tabulky.
TableName
| union workspace("WorkspaceName").TableName
Pracovní prostory s více tenanty
Pokud potřebujete spravovat pracovní prostor Microsoft Sentinelu, ne ve vašem tenantovi, implementujete pracovní prostory s více tenanty pomocí Služby Azure Lighthouse. Tato konfigurace zabezpečení vám uděluje přístup k tenantům. Konfigurace tenanta v rámci tenanta (regionální nebo více oblastí) je stejná jako předtím.
Použijte stejný pracovní prostor služby Log Analytics jako Microsoft Defender for Cloud.
Použijte stejný pracovní prostor pro Microsoft Sentinel i Microsoft Defender for Cloud, aby se všechny protokoly shromážděné v programu Microsoft Defender for Cloud mohly také ingestovat a používat ve službě Microsoft Sentinel. Výchozí pracovní prostor vytvořený v programu Microsoft Defender for Cloud se nezobrazí jako dostupný pracovní prostor pro Microsoft Sentinel.