Mempersiapkan beberapa ruang kerja dan penyewa di Microsoft Azure Sentinel
Untuk mempersiapkan penyebaran, Anda perlu menentukan apakah arsitektur beberapa ruang kerja relevan untuk lingkungan Anda. Dalam artikel ini, Anda mempelajari bagaimana Microsoft Sentinel dapat meluas di beberapa ruang kerja dan penyewa sehingga Anda dapat menentukan apakah kemampuan ini sesuai dengan kebutuhan organisasi Anda. Artikel ini adalah bagian dari panduan Penyebaran untuk Microsoft Azure Sentinel.
Jika Anda telah memutuskan untuk menyiapkan lingkungan Anda untuk memperluas seluruh ruang kerja, lihat Memperluas Microsoft Azure Sentinel di seluruh ruang kerja dan penyewa dan Mengelola beberapa ruang kerja Microsoft Azure Sentinel secara terpusat dengan manajer ruang kerja.
Kebutuhan untuk menggunakan beberapa ruang kerja Microsoft Azure Sentinel
Ketika menjalankan Microsoft Sentinel, langkah pertama Anda adalah memilih ruang kerja Analitik Log Anda. Meskipun Anda bisa mendapatkan manfaat penuh dari pengalaman Microsoft Sentinel dengan satu ruang kerja, pada kasus tertentu Anda perlu memperluas ruang kerja untuk mengkueri dan menganalisis data di seluruh ruang kerja dan penyewa.
Tabel ini mencantumkan beberapa skenario ini dan, jika memungkinkan, menunjukkan bagaimana Anda dapat menggunakan satu ruang kerja untuk skenario.
| Persyaratan | Deskripsi | Cara untuk mengurangi jumlah ruang kerja |
|---|---|---|
| Kedaulatan dan kepatuhan terhadap peraturan | Ruang kerja terikat ke wilayah tertentu. Untuk menyimpan data dalam Geografi Azure berbeda dengan tujuan memenuhi persyaratan peraturan, pisahkan data menjadi ruang kerja terpisah. | |
| Kepemilikan data | Batas-batas kepemilikan data, misalnya oleh anak perusahaan atau perusahaan afiliasi, lebih baik digambarkan menggunakan ruang kerja terpisah. | |
| Beberapa penyewa Azure | Microsoft Sentinel mendukung pengumpulan data dari sumber daya Microsoft dan Azure SaaS hanya dalam batas penyewa Microsoft Entra sendiri. Oleh karena itu, setiap penyewa Microsoft Entra memerlukan ruang kerja terpisah. | |
| Kontrol akses data terperinci | Organisasi mungkin perlu mengizinkan grup yang berbeda, di dalam atau di luar organisasi, untuk mengakses beberapa data yang dikumpulkan oleh Microsoft Sentinel. Contohnya:
|
Gunakan sumber daya Azure RBAC atau tingkat tabel Azure RBAC |
| Pengaturan retensi granular | Secara historis, beberapa ruang kerja adalah satu-satunya cara untuk menetapkan periode retensi yang berbeda untuk jenis data yang berbeda. Ini tidak lagi diperlukan dalam banyak kasus, berkat pengenalan pengaturan retensi tingkat tabel. | Gunakan setelan retensi tingkat tabel atau otomatiskan penghapusan data |
| Memisahkan tagihan | Dengan menempatkan ruang kerja di langganan terpisah, mereka dapat ditagih ke pihak yang berbeda. | Pelaporan penggunaan dan penagihan silang |
| Arsitektur warisan | Penggunaan beberapa ruang kerja mungkin berasal dari desain historis yang mempertimbangkan batasan atau praktik terbaik yang tidak berlaku lagi. Ini mungkin juga merupakan pilihan desain acak yang dapat dimodifikasi untuk mengakomodasi Microsoft Azure Sentinel dengan lebih baik. Contoh meliputi:
|
Mengarsitektur ulang ruang kerja |
Penyedia Layanan Keamanan Terkelola (MSSP)
Mengenai MSSP, semua atau beberapa persyaratan di atas berlaku, membuat multi-ruang kerja, di seluruh penyewa, sebagai praktik terbaik. MSSP dapat menggunakan Azure Lighthouse untuk memperluas kemampuan lintas ruang kerja Microsoft Azure Sentinel di seluruh penyewa.
Arsitektur multi-ruang kerja Microsoft Azure Sentinel
Seperti yang tersirat oleh persyaratan di atas, ada kasus di mana satu SOC perlu mengelola dan memantau beberapa ruang kerja Microsoft Azure Sentinel secara terpusat, berpotensi di seluruh penyewa Microsoft Entra.
Layanan MSSP Microsoft Azure Sentinel.
SOC global yang melayani beberapa anak perusahaan, masing-masing memiliki SOC lokal sendiri.
SOC yang memantau beberapa penyewa Microsoft Entra dalam organisasi.
Untuk mengatasi hal ini, Microsoft Sentinel menawarkan kemampuan multi-ruang kerja yang memungkinkan pemantauan, konfigurasi, dan pengelolaan terpusat, menyediakan satu panel kaca di ruang kerja yang dicakup SOC. Diagram ini menunjukkan contoh arsitektur untuk kasus penggunaan tersebut.
Model ini menawarkan keuntungan signifikan dibandingkan model yang sepenuhnya terpusat di mana semua data disalin ke satu ruang kerja:
Penugasan peran yang fleksibel ke SOC global dan lokal, atau ke MSSP pelanggannya.
Tantangan yang lebih sedikit terkait kepemilikan data, privasi data, dan kepatuhan terhadap peraturan.
Latensi dan biaya jaringan minimal.
Onboarding dan offboarding yang mudah dari anak perusahaan atau pelanggan baru.
Pada bagian berikut, kami akan menjelaskan cara mengoperasikan model ini, khususnya cara untuk:
Memantau beberapa ruang kerja secara terpusat, berpotensi lintas penyewa, memberikan SOC satu panel kaca.
Konfigurasikan dan kelola beberapa ruang kerja secara terpusat, berpotensi lintas penyewa, menggunakan otomatisasi.
Langkah berikutnya
Dalam artikel ini, Anda mempelajari bagaimana Microsoft Azure Sentinel dapat memperluas di beberapa ruang kerja dan penyewa.