Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wichtig
Nach dem 31. März 2027 werden Microsoft Sentinel im Azure-Portal nicht mehr unterstützt und sind nur im Microsoft Defender-Portal verfügbar. Alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, werden zum Defender-Portal umgeleitet und verwenden Microsoft Sentinel nur im Defender-Portal.
Wenn Sie weiterhin Microsoft Sentinel im Azure-Portal verwenden, empfehlen wir Ihnen, den Übergang zum Defender-Portal zu planen, um einen reibungslosen Übergang zu gewährleisten und die von Microsoft Defender angebotenen einheitlichen Sicherheitsvorgänge in vollem Umfang zu nutzen.
Zur Vorbereitung Ihrer Bereitstellung müssen Sie ermitteln, ob eine Architektur mit mehreren Arbeitsbereichen für Ihre Umgebung relevant ist. In diesem Artikel erfahren Sie, wie Microsoft Sentinel auf mehrere Arbeitsbereiche und Mandanten ausgeweitet werden kann, damit Sie bestimmen können, ob diese Funktion den Anforderungen Ihrer organization entspricht. Dieser Artikel ist Teil des Bereitstellungshandbuchs für Microsoft Sentinel.
Verwenden Sie eine der folgenden Setupanweisungen, je nachdem, welches Portal Sie verwenden, um Microsoft Sentinel arbeitsbereichsübergreifend zu erweitern:
Die Notwendigkeit, mehrere Arbeitsbereiche zu verwenden
Wenn Sie Microsoft Sentinel integrieren, müssen Sie zunächst Ihren Log Analytics-Arbeitsbereich auswählen. Während Sie den vollen Nutzen der Microsoft Sentinel erfahrung mit einem einzelnen Arbeitsbereich nutzen können, können Sie in einigen Fällen Ihren Arbeitsbereich erweitern, um Ihre Daten arbeitsbereichs- und mandantenübergreifend abzufragen und zu analysieren.
In dieser Tabelle sind einige dieser Szenarien aufgeführt, und wenn möglich, wird vorgeschlagen, wie Sie einen einzelnen Arbeitsbereich für das Szenario verwenden können.
| Anforderung | Beschreibung | Möglichkeiten zum Reduzieren der Anzahl von Arbeitsbereichen |
|---|---|---|
| Souveränität und Einhaltung gesetzlicher Bestimmungen | Ein Arbeitsbereich ist an eine bestimmte Region gebunden. Um Daten in verschiedenen Azure geografischen Regionen aufzubewahren, um die gesetzlichen Anforderungen zu erfüllen, teilen Sie die Daten in separate Arbeitsbereiche auf. In Microsoft Sentinel werden Daten hauptsächlich in derselben Geografie oder Region gespeichert und verarbeitet, mit einigen Ausnahmen, z. B. bei Verwendung von Erkennungsregeln, die das maschinelle Lernen von Microsoft nutzen. In solchen Fällen können Daten zur Verarbeitung außerhalb Ihrer Arbeitsbereichsgeografie kopiert werden. |
|
| Datenbesitz | Die Grenzen des Datenbesitzes, z. B. durch Tochtergesellschaften oder verbundene Unternehmen, werden durch separate Arbeitsbereiche besser abgegrenzt. | |
| Mehrere Azure Mandanten | Microsoft Sentinel unterstützt die Datensammlung von Microsoft und Azure SaaS-Ressourcen nur innerhalb der eigenen Microsoft Entra Mandantengrenze. Daher erfordert jeder Microsoft Entra Mandanten einen separaten Arbeitsbereich. | |
| Präzise Datenzugriffssteuerung | Ein organization muss möglicherweise verschiedenen Gruppen innerhalb oder außerhalb des organization den Zugriff auf einige der von Microsoft Sentinel gesammelten Daten ermöglichen. Zum Beispiel:
|
Verwenden von Ressourcen Azure RBAC oder Tabellenebene Azure RBAC |
| Präzise Aufbewahrungseinstellungen | In der Vergangenheit waren mehrere Arbeitsbereiche die einzige Möglichkeit, unterschiedliche Aufbewahrungszeiträume für verschiedene Datentypen festzulegen. Dank der Einführung von Aufbewahrungseinstellungen auf Tabellenebene ist dies in vielen Fällen nicht mehr erforderlich. | Verwenden von Aufbewahrungseinstellungen auf Tabellenebene oder Automatisieren des Löschens von Daten |
| Aufteilung der Abrechnung | Durch das Platzieren von Arbeitsbereichen in separaten Abonnements können sie verschiedenen Parteien in Rechnung gestellt werden. | Nutzungsberichte und Querladevorgänge |
| Legacyarchitektur | Die Verwendung mehrerer Arbeitsbereiche kann aus einem historischen Entwurf stammen, bei dem Einschränkungen oder bewährte Methoden berücksichtigt wurden, die nicht mehr wahr sind. Es kann auch eine beliebige Entwurfsauswahl sein, die geändert werden kann, um Microsoft Sentinel besser zu berücksichtigen. Dazu gehören:
|
Umgestalten von Arbeitsbereichen |
Berücksichtigen Sie bei der Bestimmung, wie viele Mandanten und Arbeitsbereiche verwendet werden sollen, dass die meisten Microsoft Sentinel Features einen einzelnen Arbeitsbereich oder Microsoft Sentinel instance verwenden und Microsoft Sentinel alle Protokolle erfasst, die im Arbeitsbereich gespeichert sind.
Managed Security Service Provider (MSSP)
Im Falle eines MSSP gelten viele, wenn nicht alle oben genannten Anforderungen, sodass mehrere Arbeitsbereiche mandantenübergreifend zur bewährten Methode werden. Insbesondere wird empfohlen, mindestens einen Arbeitsbereich für jeden Microsoft Entra Mandanten zu erstellen, um integrierte Service-to-Service-Datenconnectors zu unterstützen, die nur in ihrem eigenen Microsoft Entra Mandanten funktionieren.
Connectors, die auf Diagnose Einstellungen basieren, können nicht mit einem Arbeitsbereich verbunden werden, der sich nicht in demselben Mandanten befindet, in dem sich die Ressource befindet. Dies gilt für Connectors wie Azure Firewall, Azure Storage, Azure Activity oder Microsoft Entra ID.
Partnerdatenconnectors basieren häufig auf API- oder Agent-Sammlungen und sind daher nicht an einen bestimmten Microsoft Entra Mandanten angefügt.
Verwenden sie Azure Lighthouse, um mehrere Microsoft Sentinel-Instanzen in verschiedenen Mandanten zu verwalten.u
Microsoft Sentinel der Architektur mehrerer Arbeitsbereiche
Wie durch die oben genannten Anforderungen impliziert, gibt es Fälle, in denen ein einzelnes SOC mehrere Log Analytics-Arbeitsbereiche, die für Microsoft Sentinel aktiviert sind, zentral verwalten und überwachen muss, möglicherweise über Microsoft Entra Mandanten hinweg.
- Ein MSSP-Microsoft Sentinel-Dienst.
- Ein globales SOC für mehrere Tochtergesellschaften, die jeweils über einen eigenen lokalen SOC verfügen.
- Ein SOC, der mehrere Microsoft Entra Mandanten innerhalb eines organization überwacht.
Um diese Fälle zu beheben, bietet Microsoft Sentinel Funktionen mit mehreren Arbeitsbereichen, die eine zentrale Überwachung, Konfiguration und Verwaltung ermöglichen und einen zentralen Bereich für alles bieten, was vom SOC abgedeckt wird. Dieses Diagramm zeigt eine Beispielarchitektur für solche Anwendungsfälle.
Dieses Modell bietet erhebliche Vorteile gegenüber einem vollständig zentralisierten Modell, bei dem alle Daten in einen einzelnen Arbeitsbereich kopiert werden:
- Flexible Rollenzuweisung an die globalen und lokalen SOCs oder an die MSSP-Kunden.
- Weniger Herausforderungen in Bezug auf Datenbesitz, Datenschutz und Einhaltung gesetzlicher Bestimmungen.
- Minimale Netzwerklatenz und -gebühren.
- Einfaches Onboarding und Offboarding neuer Tochtergesellschaften oder Kunden.
Nächste Schritte
In diesem Artikel haben Sie erfahren, wie Microsoft Sentinel auf mehrere Arbeitsbereiche und Mandanten ausgeweitet werden können.