Ereignisse
17. März, 21 Uhr - 21. März, 10 Uhr
Nehmen Sie an der Meetup-Serie teil, um skalierbare KI-Lösungen basierend auf realen Anwendungsfällen mit Mitentwicklern und Experten zu erstellen.
Jetzt registrierenDieser Browser wird nicht mehr unterstützt.
Führen Sie ein Upgrade auf Microsoft Edge aus, um die neuesten Funktionen, Sicherheitsupdates und technischen Support zu nutzen.
Für viele Umgebungen, in denen Azure Monitor und Microsoft Sentinel verwendet wird, dürfte ein einzelner Log Analytics-Arbeitsbereich ausreichend sein. Viele Unternehmen richten jedoch mehrere Arbeitsbereiche ein, um die Kosten zu optimieren und den verschiedenen Geschäftsanforderungen besser gerecht zu werden. In diesem Artikel werden verschiedene Kriterien vorgestellt, anhand derer Sie entscheiden können, ob Sie einen einzelnen Arbeitsbereich oder mehrere Arbeitsbereiche verwenden sollten. Außerdem wird die Konfiguration und Platzierung dieser Arbeitsbereiche erläutert, um Ihre Anforderungen zu erfüllen und gleichzeitig die Kosten zu optimieren.
Hinweis
In diesem Artikel werden Azure Monitor und Microsoft Sentinel beschrieben, da viele Kunden beide Dienste in ihre Entwurfsüberlegungen einbeziehen müssen. Die meisten Entscheidungskriterien gelten für beide Dienste. Wenn Sie nur einen dieser Dienste verwenden, können Sie den anderen in Ihrer Auswertung einfach ignorieren.
In diesem Video werden die Grundlagen von Azure Monitor-Protokollen, bewährte Methoden und Entwurfsüberlegungen zum Entwickeln einer Bereitstellung der Azure Monitor-Protokolle behandelt:
Sie sollten Ihren Entwurf immer mit einem einzelnen Arbeitsbereich beginnen, da sich die Verwaltung mehrerer Arbeitsbereiche und die Datenabfrage von diesen Bereichen so weniger komplex gestaltet. Hinsichtlich der Datenmenge in Ihrem Arbeitsbereich bestehen keine Leistungseinschränkungen. Mehrere Dienste und Datenquellen können Daten an denselben Arbeitsbereich senden. Wenn Kriterien für das Erstellen zusätzlicher Arbeitsbereiche sprechen, sollte Ihr Entwurf von der geringsten Anzahl von Arbeitsbereichen ausgehen, die zur Erfüllung Ihrer Anforderungen ausreicht.
Beim Entwerfen einer Arbeitsbereichskonfiguration müssen mehrere Kriterien berücksichtigt werden. Einige Kriterien können jedoch miteinander in Konflikt stehen. Beispielsweise können Sie Gebühren für ausgehenden Datenverkehr reduzieren, indem Sie in jeder Azure-Region einen separaten Arbeitsbereich erstellen. Durch die Konsolidierung in einem einzelnen Arbeitsbereich können Sie die Gebühren durch eine Mindestabnahme möglicherweise noch weiter senken. Sie sollten alle Kriterien unabhängig voneinander bewerten. Berücksichtigen Sie Ihre Anforderungen und Prioritäten, um festzustellen, welcher Entwurf für Ihre Umgebung am effektivsten ist.
Die folgende Tabelle enthält Kriterien, die beim Entwerfen ihrer Arbeitsbereichsarchitektur berücksichtigt werden sollten. In den nachfolgenden Abschnitten werden die Kriterien beschrieben.
Kriterien | BESCHREIBUNG |
---|---|
Operative und sicherheitsrelevante Daten | Sie können operative Daten aus Azure Monitor in einem Arbeitsbereich mit den sicherheitsbezogenen Daten aus Microsoft Sentinel kombinieren oder sie jeweils in einem eigenen Arbeitsbereich speichern. Durch eine Kombination der beiden Datentypen erhalten Sie einen besseren Überblick über sämtliche Daten, aber Ihre Sicherheitsstandards sehen möglicherweise eine Trennung vor, damit Ihr Sicherheitsteam über einen dedizierten Arbeitsbereich verfügt. Außerdem könnten Kostenfaktoren für die jeweilige Strategie eine Rolle spielen. |
Azure-Mandanten | Wenn Sie über mehrere Azure-Mandanten verfügen, erstellen Sie normalerweise einen Arbeitsbereich für jeden Mandanten. Einige Datenquellen können nur Überwachungsdaten an einen Arbeitsbereich in demselben Azure-Mandanten senden. |
Azure-Regionen | Jeder Arbeitsbereich befindet sich in einer bestimmten Azure-Region. Möglicherweise gibt es gesetzliche Vorschriften oder Complianceanforderungen, die die Speicherung von Daten an bestimmten Orten regeln. |
Datenbesitz | Sie können separate Arbeitsbereiche erstellen, um den Datenbesitz zu definieren. Beispielsweise können Sie Arbeitsbereiche nach Tochtergesellschaften oder verbundenen Unternehmen erstellen. |
Getrennte Abrechnung | Durch die Zuordnung von Arbeitsbereichen zu separaten Abonnements können diese verschiedenen Parteien in Rechnung gestellt werden. |
Datenaufbewahrung | Sie können für jeden Arbeitsbereich und jede Tabelle in einem Arbeitsbereich unterschiedliche Aufbewahrungseinstellungen festlegen. Wenn Sie verschiedene Aufbewahrungseinstellungen für unterschiedliche Ressourcen benötigen, aus denen Daten an dieselben Tabellen gesendet werden, benötigen Sie einen separaten Arbeitsbereich. |
Mindestabnahmen | Mithilfe von Mindestabnahmen können Sie Ihre Erfassungskosten reduzieren, indem Sie sich zur Abnahme einer Mindestmenge an täglichen Daten in einem einzigen Arbeitsbereich verpflichten. |
Einschränkungen des Legacy-Agents | Bei älteren virtuellen Computer-Agents gibt es Einschränkungen hinsichtlich der Anzahl der Arbeitsbereiche, zu denen sie eine Verbindung herstellen können. |
Zugriffssteuerung für Daten | Konfigurieren Sie den Zugriff auf den Arbeitsbereich und auf verschiedene Tabellen und Daten aus unterschiedlichen Ressourcen. |
Resilienz | Um sicherzustellen, dass Daten in Ihrem Arbeitsbereich im Falle eines Regionsausfalls verfügbar sind, können Sie Daten in mehrere Arbeitsbereiche in verschiedenen Regionen aufnehmen. |
Die Entscheidung, ob Sie die operativen Daten aus Azure Monitor im selben Arbeitsbereich wie die sicherheitsrelevanten Daten aus Microsoft Sentinel kombinieren oder jeweils einen eigenen Arbeitsbereich einrichten, hängt von Ihren Sicherheitsanforderungen und den potenziellen Kosten für Ihre Umgebung ab.
Dedizierte Arbeitsbereiche: Die Einrichtung dedizierter Arbeitsbereiche für Azure Monitor und Microsoft Sentinel ermöglicht es Ihnen, die Verantwortung für die Daten auf das Betriebs- und das Sicherheitsteam aufzuteilen. Dieser Ansatz kann auch dazu beitragen, die Kosten zu optimieren: Wenn Microsoft Sentinel in einem Arbeitsbereich aktiviert ist, unterliegen alle Daten in diesem Arbeitsbereich den Microsoft Sentinel-Preisen – selbst dann, wenn es sich um operative Daten handelt, die mit Azure Monitor erfasst wurden.
Ein Arbeitsbereich mit Microsoft Sentinel erhält drei Monate kostenlose Datenaufbewahrung anstelle von 31 Tagen. Dieses Szenario führt in der Regel zu höheren Kosten für operative Daten in einem Arbeitsbereich ohne Microsoft Sentinel. Siehe Azure Monitor-Protokolle: Preisdetails.
Kombinierter Arbeitsbereich: Wenn Sie Ihre Daten aus Azure Monitor und Microsoft Sentinel im selben Arbeitsbereich zusammenfassen, erhalten Sie einen besseren Überblick über alle Ihre Daten und können beide Datentypen in Abfragen und Arbeitsmappen problemlos kombinieren. Wenn der Zugriff auf sicherheitsrelevante Daten auf ein bestimmtes Team beschränkt werden soll, können Sie mithilfe von RBAC auf Tabellenebene bestimmte Benutzer*innen für Tabellen mit sicherheitsrelevanten Daten sperren oder über den Ressourcenkontext den Zugriff von Benutzer*innen auf den Arbeitsbereich beschränken.
Diese Konfiguration kann zu Kosteneinsparungen führen, wenn Sie eine Mindestabnahme erreichen, die einen Rabatt für Ihre Datenerfassungsgebühren bietet. Schauen Sie sich beispielsweise eine Organisation an, die operative Daten und Sicherheitsdaten hat, von denen jeweils etwa 50 GB pro Tag erfasst werden. Die Kombination der Daten im selben Arbeitsbereich würde eine Mindestabnahme von 100 GB pro Tag ermöglichen. In diesem Szenario würde ein Rabatt von 15 % für Azure Monitor und ein Rabatt von 50 % für Microsoft Sentinel angeboten.
Wenn Sie separate Arbeitsbereiche nach anderen Kriterien erstellen, richten Sie in der Regel weitere Arbeitsbereichspaare ein. Wenn Sie z. B. über zwei Azure-Mandanten verfügen, können Sie vier Arbeitsbereiche erstellen, wobei jeder Mandant einen Arbeitsbereich für operative und Daten und einen Arbeitsbereich für sicherheitsrelevante Daten enthält.
Die meisten Ressourcen können nur Überwachungsdaten an einen Arbeitsbereich in demselben Azure-Mandanten senden. Virtuelle Computer, die den Azure Monitor-Agent oder die Log Analytics-Agents verwenden, können Daten an Arbeitsbereiche in separaten Azure-Mandanten senden. Sie können dieses Szenario als Dienstanbieter in Betracht ziehen.
Jeder Log Analytics-Arbeitsbereich befindet sich in einer bestimmten Azure-Region. Möglicherweise müssen Daten aufgrund von gesetzlichen Vorschriften oder Complianceanforderungen in einer bestimmten Region gespeichert werden. Ein internationales Unternehmen könnte z. B. einen Arbeitsbereich in jeder großen geografischen Region wie etwa den USA und Europa einrichten.
Sie sollten auch potenzielle Bandbreitengebühren berücksichtigen, die anfallen können, wenn Sie Daten von einer Ressource in einer anderen Region an einen Arbeitsbereich senden. Für die meisten Kunden sind diese Gebühren im Vergleich zu den Kosten für die Datenerfassung gering. Die Gebühren entstehen in der Regel durch die Übermittlung von Daten von einem virtuellen Computer an den Arbeitsbereich. Durch die Überwachung von Daten von anderen Azure-Ressourcen mithilfe von Diagnoseeinstellungen entstehen keine Gebühren für ausgehenden Datenverkehr.
Verwenden Sie den Azure-Preisrechner, um die Kosten zu schätzen und zu entscheiden, welche Regionen Sie benötigen. Ziehen Sie Arbeitsbereiche in mehreren Regionen in Betracht, wenn die Bandbreitengebühren erheblich sind.
Möglicherweise müssen Sie je nach Besitzverhältnissen Daten trennen oder Grenzen definieren. Beispielsweise könnten Sie über unterschiedliche Tochtergesellschaften oder verbundene Unternehmen verfügen, die eine Abgrenzung ihrer Überwachungsdaten erforderlich machen.
Möglicherweise müssen Sie die Abrechnung auf verschiedene Parteien aufteilen oder eine Rückbuchung an einen Kunden oder eine interne Geschäftseinheit durchführen. Mit Azure Cost Management + Billing können Sie Gebühren nach Arbeitsbereich einsehen. Sie können auch eine Protokollabfrage verwenden, um abrechenbare Datenmengen nach Azure-Ressource, -Ressourcengruppe oder -Abonnement anzuzeigen. Dieser Ansatz reicht für Ihre Abrechnungsanforderungen möglicherweise aus.
Sie können Standardeinstellungen für die Datenaufbewahrung für einen Arbeitsbereich oder verschiedene Einstellungen für jede Tabelle konfigurieren. Möglicherweise benötigen Sie unterschiedliche Einstellungen für verschiedene Datasets in einer bestimmten Tabelle. In diesem Fall müssen Sie diese Daten auf verschiedene Arbeitsbereiche aufteilen, und zwar jeweils mit eindeutigen Aufbewahrungseinstellungen.
Mindestabnahmen sorgen für einen Rabatt auf Ihre Arbeitsbereichserfassungskosten, wenn Sie sich für eine bestimmte Menge an täglichen Daten verpflichten. Sie können Daten in einem einzelnen Arbeitsbereich konsolidieren, um eine bestimmten Abnahmestufe zu erreichen. Wenn dieselbe Datenmenge auf mehrere Arbeitsbereiche aufgeteilt ist, würden sie nicht für dieselbe Stufe infrage kommen, es sei denn, Sie verfügen über einen dedizierten Cluster.
Wenn Sie sich zur Erfassung von mindestens 100 GB pro Tag verpflichten können, sollten Sie einen dedizierten Cluster implementieren, der zusätzliche Funktionen und Leistung bietet. Dedizierte Cluster ermöglichen es Ihnen auch, die Daten aus mehreren Arbeitsbereichen im Cluster zu kombinieren, um eine bestimmte Mindestabnahmestufe zu erreichen.
Auch wenn Sie es aufgrund der zusätzlichen Gebühren vermeiden sollten, doppelte Daten an mehrere Arbeitsbereiche zu senden, sind virtuelle Computer möglicherweise mit mehreren Arbeitsbereichen verbunden. Das häufigste Szenario ist ein Agent, der mit separaten Arbeitsbereichen für Azure Monitor und Microsoft Sentinel verbunden ist.
Der Azure Monitor-Agent und der Log Analytics-Agent für Windows können eine Verbindung mit mehreren Arbeitsbereichen herstellen. Der Log Analytics-Agent für Linux kann nur eine Verbindung mit einem einzigen Arbeitsbereich herstellen.
Wenn Sie einem Benutzer Zugriff auf einen Arbeitsbereich gewähren, hat er Zugriff auf alle Daten in diesem Arbeitsbereich. Diese Zugriffsart ist für Mitglieder einer zentralen Verwaltung oder eines Sicherheitsteams geeignet, die auf Daten für alle Ressourcen zugreifen müssen. Der Zugriff auf den Arbeitsbereich wird auch durch RBAC (Role-Based Access Control, rollenbasierte Zugriffssteuerung) nach Ressourcenkontext und RBAC auf Tabellenebene bestimmt.
RBAC nach Ressourcenkontext: Wenn ein Benutzer Lesezugriff auf eine Azure-Ressource hat, erbt er standardmäßig die Zugriffsberechtigungen für alle Überwachungsdaten dieser Ressource, die an den Arbeitsbereich gesendet wurden. Durch diese Zugriffsebene können Benutzer auf Informationen zu Ressourcen zugreifen, die sie verwalten, ohne dass sie explizit Zugriff auf den Arbeitsbereich erhalten. Wenn Sie diesen Zugriff blockieren müssen, können Sie den Zugriffssteuerungsmodus ändern, um explizite Arbeitsbereichsberechtigungen anzufordern.
RBAC auf Tabellenebene: Mit RBAC auf Tabellenebene können Sie Zugriffsberechtigungen für bestimmte Tabellen im Arbeitsbereich gewähren oder verweigern. Auf diese Weise können Sie präzise Berechtigungen implementieren, die für bestimmte Situationen in Ihrer Umgebung erforderlich sind.
Beispielsweise können Sie nur Zugriff auf bestimmte Tabellen gewähren, die von Microsoft Sentinel für ein internes Überwachungsteam erfasst wurden. Alternativ können Sie Ressourcenbesitzern, die operative Daten im Zusammenhang mit ihren Ressourcen benötigen, den Zugriff auf sicherheitsrelevante Tabellen verweigern.
Weitere Informationen finden Sie unter Verwalten des Zugriffs auf Microsoft Sentinel-Daten nach Ressource.
Um sicherzustellen, dass wichtige Daten in Ihrem Arbeitsbereich im Falle eines Regionsausfalls verfügbar sind, können Sie einige oder alle Ihre Daten in mehrere Arbeitsbereiche in verschiedenen Regionen aufnehmen.
Diese Option erfordert die Verwaltung der Integration mit anderen Diensten und Produkten separat für jeden Arbeitsbereich. Obwohl die Daten im Falle eines Fehlers im alternativen Arbeitsbereich verfügbar sind, wechseln Ressourcen, die auf die Daten angewiesen sind, z. B. auf Warnungen und Arbeitsmappen, nicht automatisch zu diesem alternativen Arbeitsbereich. Erwägen Sie das Speichern von ARM-Vorlagen für kritische Ressourcen mit einer Konfiguration für den alternativen Arbeitsbereich in Azure DevOps oder als deaktivierte Richtlinien, die in einem Failoverszenario schnell aktiviert werden können.
Viele Entwürfe umfassen mehrere Arbeitsbereiche. Ein zentrales SecOps-Team kann beispielsweise eigene Microsoft Sentinel-Arbeitsbereiche verwenden, um zentralisierte Artefakte wie Analyseregeln oder Arbeitsmappen zu verwalten.
Azure Monitor und Microsoft Sentinel enthalten Features, mit denen Sie diese Daten arbeitsbereichsübergreifend analysieren können. Weitere Informationen finden Sie unter:
Beim Benennen der einzelnen Arbeitsbereiche wird empfohlen, einen aussagekräftigen Indikator in den Namen einzuschließen, damit Sie den Zweck der einzelnen Arbeitsbereiche leicht identifizieren können.
Umgebungen mit mehreren Azure-Mandanten, einschließlich Anbietern von Microsoft-Diensten (MSPs), unabhängigen Softwareanbietern (ISVs) und großen Unternehmen, erfordern häufig eine Strategie, in der ein zentrales Administratorteam auf Arbeitsbereiche in anderen Mandanten zugreifen und diese verwalten kann. Jeder der Mandanten kann für separate Kunden oder unterschiedliche Geschäftseinheiten stehen.
Hinweis
Für Partner und Dienstanbieter, die Teil des Cloud Solution Provider-(CSP-)Programms sind, ist Log Analytics in Azure Monitor einer der Azure-Dienste, die in Azure CSP-Abonnements zur Verfügung stehen.
In den folgenden Abschnitten werden zwei grundlegende Strategien für diese Funktionalität beschrieben.
In einer verteilten Architektur wird in jedem Azure-Mandanten ein Log Analytics-Arbeitsbereich erstellt. Dies ist die einzige Option, die Sie nutzen können, wenn Sie andere Azure-Dienste als virtuelle Computer überwachen.
Es gibt zwei Optionen, mit denen Dienstanbieteradministratoren auf die Arbeitsbereiche in den Kundenmandanten zugreifen können.
Vorteile dieser Strategie:
Nachteile dieser Strategie:
Ein einzelner Arbeitsbereich wird im Abonnement des Dienstanbieters erstellt. Diese Option kann Daten von virtuellen Kundencomputern und Azure PaaS-Diensten basierend auf Diagnoseeinstellungen sammeln. Agents, die auf den virtuellen Computern installiert sind, und PaaS-Dienste können so konfiguriert werden, dass ihre Protokolle an diesen zentralen Arbeitsbereich gesendet werden.
Vorteile dieser Strategie:
Nachteile dieser Strategie:
In einem Hybridmodell verfügt jeder Mandant über einen eigenen Arbeitsbereich. Zum Erstellen von Berichten und Analysen wird ein Mechanismus verwendet, mit dem Daten an einen zentralen Speicherort gepullt werden. Diese Daten könnten wenige Datentypen oder eine Zusammenfassung der Aktivitäten enthalten, wie z. B. eine tägliche Statistik.
Es bestehen verschiedene Optionen zum Implementieren von Protokollen an einem zentralen Speicherort:
Ereignisse
17. März, 21 Uhr - 21. März, 10 Uhr
Nehmen Sie an der Meetup-Serie teil, um skalierbare KI-Lösungen basierend auf realen Anwendungsfällen mit Mitentwicklern und Experten zu erstellen.
Jetzt registrierenSchulung
Modul
Erstellen eines Log Analytics-Arbeitsbereichs - Training
Hier erfahren Sie, wie Sie einen Log Analytics-Arbeitsbereich innerhalb des Azure-Portals erstellen, um eine robuste Datenerfassung und -analyse für Microsoft Defender for Cloud zur Verbesserung Ihres Sicherheitsstatus zu ermöglichen.
Zertifizierung
Microsoft Certified: Azure Virtual Desktop Specialty - Certifications
Planen, Bereitstellen, Verwalten und Überwachen virtueller Desktopumgebungen und von Remote-Apps in Microsoft Azure für beliebige Geräte