Több munkaterület és bérlő előkészítése a Microsoft Sentinelben
Az üzembe helyezésre való felkészüléshez meg kell határoznia, hogy egy több munkaterület-architektúra releváns-e a környezet számára. Ebből a cikkből megtudhatja, hogyan terjedhet ki a Microsoft Sentinel több munkaterületre és bérlőre, hogy megállapíthassa, ez a képesség megfelel-e a szervezet igényeinek. Ez a cikk a Microsoft Sentinel üzembe helyezési útmutatójának része.
Ha úgy döntött, hogy a környezetet úgy állítja be, hogy több munkaterületre is kiterjedjen, olvassa el a Microsoft Sentinel kiterjesztése munkaterületekre és bérlőkre, valamint több Microsoft Sentinel-munkaterület központi kezelése a munkaterület-kezelővel című témakört.
Több Microsoft Sentinel-munkaterület használatának szükségessége
A Microsoft Sentinel előkészítésekor az első lépés a Log Analytics-munkaterület kiválasztása. Bár a Microsoft Sentinel-élmény teljes körű kihasználását egyetlen munkaterületen is élvezheti, bizonyos esetekben érdemes lehet kibővíteni a munkaterületet az adatok munkaterületek és bérlők közötti lekérdezésére és elemzésére.
Ez a táblázat felsorol néhány ilyen forgatókönyvet, és ha lehetséges, javasolja, hogyan használhat egyetlen munkaterületet a forgatókönyvhöz.
| Követelmény | Leírás | Módszerek a munkaterületek számának csökkentésére |
|---|---|---|
| Szuverenitás és jogszabályi megfelelőség | Egy munkaterület egy adott régióhoz kötődik. Ha különböző Azure-beli földrajzi helyeken szeretné tárolni az adatokat a jogszabályi követelményeknek megfelelően, ossza fel az adatokat külön munkaterületekre. | |
| Adatok tulajdonjoga | Az adatok tulajdonjogának határait, például a leányvállalatok vagy a kapcsolt vállalatok, jobban tagoltuk külön munkaterületek használatával. | |
| Több Azure-bérlő | A Microsoft Sentinel csak a saját Microsoft Entra-bérlői határain belül támogatja a Microsoft és az Azure SaaS-erőforrások adatgyűjtését. Ezért minden Microsoft Entra-bérlőnek külön munkaterületre van szüksége. | |
| Részletes adathozzáférés-vezérlés | Előfordulhat, hogy a szervezetnek engedélyeznie kell a szervezeten belüli vagy kívüli csoportok számára a Microsoft Sentinel által gyűjtött adatok egy részét. Például:
|
Azure RBAC erőforrás vagy táblaszintű Azure RBAC használata |
| Részletes adatmegőrzési beállítások | Korábban több munkaterület volt az egyetlen módja a különböző adattípusok különböző megőrzési idejének beállításának. Erre már sok esetben nincs szükség, köszönhetően a táblaszintű adatmegőrzési beállítások bevezetésének. | Táblaszintű adatmegőrzési beállítások használata vagy adattörlés automatizálása |
| Felosztott számlázás | A munkaterületek külön előfizetésekben való elhelyezésével különböző feleknek számlázhatók. | Használati jelentések készítése és kereszt-díjszámítás |
| Örökölt architektúra | Több munkaterület használata olyan előzménytervből eredhet, amely figyelembe vette azokat a korlátozásokat vagy ajánlott eljárásokat, amelyek már nem érvényesek. Tetszőleges kialakítási lehetőség is lehet, amelyet a Microsoft Sentinel jobb elhelyezésére lehet módosítani. Ide sorolhatóak például a kövekezők:
|
A munkaterületek architektúrájának újratervezése |
Felügyelt biztonsági szolgáltató (MSSP)
MSSP esetén a fenti követelmények közül több is érvényes, így több munkaterületet kell bérlők között alkalmazni, ez az ajánlott eljárás. Az MSSP az Azure Lighthouse használatával bővítheti a Microsoft Sentinel munkaterületek közötti képességeit a bérlők között.
Microsoft Sentinel több munkaterület architektúrája
A fenti követelményeknek megfelelően vannak olyan esetek, amikor egyetlen SOC-nek központilag kell felügyelnie és figyelnie több Microsoft Sentinel-munkaterületet, potenciálisan a Microsoft Entra-bérlők között.
MSSP Microsoft Sentinel szolgáltatás.
Több leányvállalatot kiszolgáló globális SOC, amelyek mindegyike saját helyi SOC-vel rendelkezik.
Egy vállalaton belüli több Microsoft Entra-bérlőt monitorozó SOC.
Az ilyen esetek megoldásához a Microsoft Sentinel több munkaterületes képességeket kínál, amelyek lehetővé teszik a központi monitorozást, a konfigurációt és a felügyeletet, és egyetlen üvegpanelt biztosítanak az SOC által lefedett összes területen. Ez az ábra egy példaarchitektúrát mutat be az ilyen használati esetekhez.
Ez a modell jelentős előnyöket kínál egy teljesen központosított modellel szemben, amelyben az összes adat egyetlen munkaterületre lesz másolva:
Rugalmas szerepkör-hozzárendelés a globális és a helyi socsok, vagy az MSSP ügyfelei számára.
Kevesebb kihívás az adattulajdonokkal, az adatvédelemmel és a jogszabályi megfelelőségtel kapcsolatban.
Minimális hálózati késés és díjak.
Új leányvállalatok vagy ügyfelek egyszerű előkészítése és bevezetése.
A következő szakaszokban bemutatjuk, hogyan kell működtetni ezt a modellt, és különösen a következőket:
Központilag monitorozza a több munkaterületet, potenciálisan a bérlők között, és egyetlen üvegpanelt biztosít az SOC-nek.
Az automatizálással központilag konfigurálhatja és felügyelheti a bérlők közötti munkaterületeket.
Következő lépések
Ebből a cikkből megismerhette, hogyan terjedhet ki a Microsoft Sentinel több munkaterületre és bérlőre.