Vorbereiten auf mehrere Arbeitsbereiche und Mandanten in Microsoft Sentinel
Bei der Vorbereitung Ihrer Bereitstellung müssen Sie ermitteln, ob eine Architektur mit mehreren Arbeitsbereichen für Ihre Umgebung relevant ist. In diesem Artikel erfahren Sie, wie Microsoft Sentinel auf mehrere Arbeitsbereiche und Mandanten ausgeweitet werden kann, damit Sie ermitteln können, ob diese Funktion den Anforderungen Ihrer Organisation entspricht. Dieser Artikel ist Teil des Bereitstellungshandbuchs für Microsoft Sentinel.
Wenn Sie sich entschieden haben, Ihre Umgebung so einzurichten, dass sie sich über Arbeitsbereiche erstreckt, lesen Sie Erweitern von Microsoft Sentinel auf Arbeitsbereiche und Mandanten und Zentrales Verwalten mehrerer Microsoft Sentinel-Arbeitsbereiche mit dem Arbeitsbereichs-Manager.
Manchmal unverzichtbar: die Nutzung mehrerer Microsoft Sentinel-Arbeitsbereiche
Wenn Sie Microsoft Sentinel onboarden, besteht Ihr erster Schritt darin, Ihren Log Analytics-Arbeitsbereich auszuwählen. Während Sie den vollen Vorteil der Microsoft Sentinel-Erfahrung mit einem einzelnen Arbeitsbereich erhalten können, können Sie in einigen Fällen Ihren Arbeitsbereich erweitern, um Ihre Daten über Arbeitsbereiche und Mandanten abzufragen und zu analysieren.
In dieser Tabelle sind einige dieser Szenarien aufgeführt, und wenn möglich schlägt sie vor, wie Sie einen einzelnen Arbeitsbereich für das Szenario verwenden können.
| Anforderung | BESCHREIBUNG | Arbeitsbereiche reduzieren – so funktioniert's |
|---|---|---|
| Souveränität und Einhaltung gesetzlicher Bestimmungen | Ein Arbeitsbereich ist an eine bestimmte Region gebunden. Um Daten in verschiedenen Azure-Regionen zu halten, um regulatorische Anforderungen zu erfüllen, teilen Sie die Daten in separate Arbeitsbereiche auf. | |
| Datenbesitz | Die Grenzen des Datenbesitzes, z. B. nach Tochtergesellschaften oder Partnerunternehmen, lassen sich durch separate Arbeitsbereiche besser nachvollziehen. | |
| Mehrere Azure-Mandanten | Microsoft Sentinel unterstützt die Datenerfassung von Microsoft- und Azure-SaaS-Ressourcen nur innerhalb einer eigenen Microsoft Entra-Mandantenbegrenzung. Daher wird für jeden Microsoft Entra-Mandanten ein separater Arbeitsbereich benötigt. | |
| Differenzierte Steuerung des Datenzugriffs | Es kann vorkommen, dass eine Organisation verschiedenen internen oder externen Gruppen Zugriff auf einen Teil der von Microsoft Sentinel gesammelten Daten gewähren muss. Beispiel:
|
Verwenden Sie Azure RBAC für Ressourcen oder Azure RBAC auf Tabellenebene |
| Differenzierte Einstellungen für die Datenaufbewahrung | Die einzige Möglichkeit, unterschiedliche Aufbewahrungsfristen für verschiedene Datentypen festzulegen, bestand in der Vergangenheit in der Einrichtung mehrerer Arbeitsbereiche. Durch die Einführung von Aufbewahrungseinstellungen auf Tabellenebene ist dies in vielen Fällen nicht mehr erforderlich. | Aufbewahrungseinstellungen auf Tabellenebene verwenden oder Datenlöschung automatisieren |
| Getrennte Abrechnung | Durch die Zuordnung von Arbeitsbereichen zu separaten Abonnements können diese verschiedenen Parteien in Rechnung gestellt werden. | Nutzungsberichte und interne Verrechnung |
| Legacy-Architektur | Die Verwendung mehrerer Arbeitsbereiche kann auf einen historischen Designansatz zurückzuführen sein, durch den Einschränkungen oder bewährte Methoden berücksichtigt wurden, die heute nicht mehr gültig sind. Es kann sich aber auch um eine zufällige Designentscheidung handeln, die korrigiert werden kann, um Microsoft Sentinel besser zu unterstützen. Beispiele:
|
Arbeitsbereiche umgestalten |
Managed Security Service Provider (MSSP)
In diesem Fall treffen viele, wenn nicht sogar alle der oben genannten Anforderungen zu. Somit sind mehrere mandantenübergreifende Arbeitsbereiche die beste Methode. Der MSSP kann Azure Lighthouse verwenden, um die arbeitsbereichsübergreifenden Microsoft Sentinel-Methoden auf Mandanten auszuweiten.
Microsoft Sentinel-Architektur mit mehreren Arbeitsbereichen
Wie aus den obigen Anforderungen hervorgeht, müssen in einigen Fällen mehrere Microsoft Sentinel-Arbeitsbereiche – möglicherweise über mehrere Microsoft Entra-Mandanten hinweg – zentral von einem einzigen SOC überwacht und verwaltet werden.
Ein MSSP-Microsoft Sentinel-Dienst.
Ein globales SOC, das mehrere Niederlassungen bedient, die jeweils über ein eigenes lokales SOC verfügen.
Ein SOC, welcher mehrerer Microsoft Entra-Mandanten innerhalb einer Organisation überwacht.
Um diese Anforderung zu erfüllen, bietet Microsoft Sentinel arbeitsbereichsübergreifende Funktionen wie die zentrale Überwachung, Konfiguration und Verwaltung. So erhalten Sie eine transparente Sicht auf alle vom SOC abgedeckten Bereiche (siehe das Diagramm unten). Dieses Diagramm zeigt eine Beispielarchitektur für solche Anwendungsfälle.
Dieses Modell bietet erhebliche Vorteile gegenüber einem vollständig zentralisierten Modell, bei dem alle Daten in einen einzigen Arbeitsbereich kopiert werden:
Flexible Rollenzuweisung zu globalen und lokalen SOCs oder zu MSSP-Kunden
Weniger Probleme in Bezug auf Datenbesitz, Datenschutz und Einhaltung von Vorschriften.
Minimale Netzwerklatenz und -kosten
Einfaches Onboarding und Offboarding neuer Niederlassungen oder Kunden
In den folgenden Abschnitten wird die Verwendung dieses Modells erläutert, insbesondere:
Zentrale Überwachung mehrerer Arbeitsbereiche (ggf. mandantenübergreifend) mit transparenten Einblicken in die vom SOC abgedeckten Bereiche
Zentrale Konfiguration und Verwaltung mehrerer Arbeitsbereiche (ggf. mandantenübergreifend) mithilfe von Automatisierung
Nächste Schritte
In diesem Artikel haben Sie erfahren, wie Sie Microsoft Sentinel auf mehrere Arbeitsbereiche und Mandanten ausweiten können.