Megosztás a következőn keresztül:

Több munkaterület és bérlő előkészítése a Microsoft Sentinelben

  • Cikk

Az üzembe helyezésre való felkészüléshez meg kell határoznia, hogy egy több munkaterület-architektúra releváns-e a környezet számára. Ebből a cikkből megtudhatja, hogyan terjedhet ki a Microsoft Sentinel több munkaterületre és bérlőre, hogy megállapíthassa, ez a képesség megfelel-e a szervezet igényeinek. Ez a cikk a Microsoft Sentinel üzembe helyezési útmutatójának része.

Ha úgy döntött, hogy a környezetet úgy állítja be, hogy több munkaterületre is kiterjedjen, olvassa el a Microsoft Sentinel kiterjesztése munkaterületekre és bérlőkre, valamint a Microsoft Sentinel és a munkaterület-kezelő által engedélyezett több Log Analytics-munkaterület központi kezelése című témakört. Ha szervezete a Defender portálon a Microsoft egyesített biztonsági üzemeltetési platformjára szeretne bejelentkezni, tekintse meg a Microsoft Defender több-bérlős felügyeletét.

Több munkaterület használatának szükségessége

A Microsoft Sentinel előkészítésekor az első lépés a Log Analytics-munkaterület kiválasztása. Bár a Microsoft Sentinel-élmény teljes körű kihasználását egyetlen munkaterületen is élvezheti, bizonyos esetekben érdemes lehet kibővíteni a munkaterületet az adatok munkaterületek és bérlők közötti lekérdezésére és elemzésére.

Ez a táblázat felsorol néhány ilyen forgatókönyvet, és ha lehetséges, javasolja, hogyan használhat egyetlen munkaterületet a forgatókönyvhöz.

Követelmény Leírás Módszerek a munkaterületek számának csökkentésére
Szuverenitás és jogszabályi megfelelőség Egy munkaterület egy adott régióhoz kötődik. Ha különböző Azure-beli földrajzi helyeken szeretné tárolni az adatokat a jogszabályi követelményeknek megfelelően, ossza fel az adatokat külön munkaterületekre.

A Microsoft Sentinelben az adatok tárolása és feldolgozása többnyire ugyanabban a földrajzi régióban vagy régióban történik, néhány kivétellel, például a Microsoft gépi tanulását kihasználó észlelési szabályok használatakor. Ilyen esetekben előfordulhat, hogy az adatok a munkaterület földrajzi területén kívülre másolódnak feldolgozás céljából.
Adatok tulajdonjoga Az adatok tulajdonjogának határait, például a leányvállalatok vagy a kapcsolt vállalatok, jobban tagoltuk külön munkaterületek használatával.
Több Azure-bérlő A Microsoft Sentinel csak a saját Microsoft Entra-bérlői határain belül támogatja a Microsoft és az Azure SaaS-erőforrások adatgyűjtését. Ezért minden Microsoft Entra-bérlőnek külön munkaterületre van szüksége.
Részletes adathozzáférés-vezérlés Előfordulhat, hogy a szervezetnek engedélyeznie kell a szervezeten belüli vagy kívüli csoportok számára a Microsoft Sentinel által gyűjtött adatok egy részét. Példa:
  • Az erőforrás-tulajdonosok hozzáférése az erőforrásaikhoz kapcsolódó adatokhoz
  • Regionális vagy leányvállalati socsok hozzáférése a szervezet részeihez kapcsolódó adatokhoz
 Azure RBAC erőforrás vagy táblaszintű Azure RBAC használata
Részletes adatmegőrzési beállítások Korábban több munkaterület volt az egyetlen módja a különböző adattípusok különböző megőrzési idejének beállításának. Erre már sok esetben nincs szükség, köszönhetően a táblaszintű adatmegőrzési beállítások bevezetésének. Táblaszintű adatmegőrzési beállítások használata vagy adattörlés automatizálása
Számlázás felosztása A munkaterületek külön előfizetésekben való elhelyezésével különböző feleknek számlázhatók. Használati jelentések készítése és kereszt-díjszámítás
Örökölt architektúra Több munkaterület használata olyan előzménytervből eredhet, amely figyelembe vette azokat a korlátozásokat vagy ajánlott eljárásokat, amelyek már nem érvényesek. Tetszőleges kialakítási lehetőség is lehet, amelyet a Microsoft Sentinel jobb elhelyezésére lehet módosítani.

Ide sorolhatóak például a kövekezők:
  • Előfizetésenkénti alapértelmezett munkaterület használata Felhőhöz készült Microsoft Defender telepítésekor
  • A részletes hozzáférés-vezérlési vagy adatmegőrzési beállítások szükségessége, amelyek megoldásai viszonylag újak
 A munkaterületek architektúrájának újratervezése

A használandó bérlők és munkaterületek számának meghatározásakor vegye figyelembe, hogy a Microsoft Sentinel legtöbb funkciója egyetlen munkaterület vagy Microsoft Sentinel-példány használatával működik, és a Microsoft Sentinel betölti a munkaterületen található összes naplót.

Felügyelt biztonsági szolgáltató (MSSP)

MSSP esetén a fenti követelmények közül több is érvényes, így több munkaterületet kell bérlők között alkalmazni, ez az ajánlott eljárás. Kifejezetten azt javasoljuk, hogy hozzon létre legalább egy munkaterületet minden Egyes Microsoft Entra-bérlő számára, hogy támogassa a beépített, szolgáltatás-szolgáltatási adatösszekötőket, amelyek csak a saját Microsoft Entra-bérlőjükön belül működnek.

  • A diagnosztikai beállításokon alapuló összekötők nem csatlakoztathatók olyan munkaterülethez, amely nem ugyanabban a bérlőben található, ahol az erőforrás található. Ez olyan összekötőkre vonatkozik, mint az Azure Firewall, az Azure Storage, az Azure Activity vagy a Microsoft Entra ID.

  • A partneradat-összekötők gyakran API-n vagy ügynökgyűjteményeken alapulnak, ezért nem kapcsolódnak egy adott Microsoft Entra-bérlőhöz.

Az Azure Lighthouse segítségével több Microsoft Sentinel-példányt kezelhet különböző bérlőkben.u

Microsoft Sentinel több munkaterület architektúrája

A fenti követelményeknek megfelelően vannak olyan esetek, amikor egyetlen SOC-nak központilag kell felügyelnie és figyelnie a Microsoft Sentinel számára engedélyezett több Log Analytics-munkaterületet, amelyek akár a Microsoft Entra-bérlőkre is kiterjednek.

  • MSSP Microsoft Sentinel szolgáltatás.
  • Több leányvállalatot kiszolgáló globális SOC, amelyek mindegyike saját helyi SOC-vel rendelkezik.
  • Egy vállalaton belüli több Microsoft Entra-bérlőt monitorozó SOC.

Az ilyen esetek megoldásához a Microsoft Sentinel több munkaterületes képességeket kínál, amelyek lehetővé teszik a központi monitorozást, a konfigurációt és a felügyeletet, és egyetlen üvegpanelt biztosítanak az SOC által lefedett összes területen. Ez az ábra egy példaarchitektúrát mutat be az ilyen használati esetekhez.

Több bérlőre kiterjedő munkaterületet bemutató ábra: architektúra.

Ez a modell jelentős előnyöket kínál egy teljesen központosított modellel szemben, amelyben az összes adat egyetlen munkaterületre lesz másolva:

  • Rugalmas szerepkör-hozzárendelés a globális és a helyi socsok, vagy az MSSP ügyfelei számára.
  • Kevesebb kihívás az adattulajdonokkal, az adatvédelemmel és a jogszabályi megfelelőségtel kapcsolatban.
  • Minimális hálózati késés és díjak.
  • Új leányvállalatok vagy ügyfelek egyszerű előkészítése és bevezetése.

Következő lépések

Ebből a cikkből megismerhette, hogyan terjedhet ki a Microsoft Sentinel több munkaterületre és bérlőre.

Adatösszekötők rangsorolása