Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Penting
Setelah 31 Maret 2027, Microsoft Sentinel tidak akan lagi didukung di portal Microsoft Azure dan hanya akan tersedia di portal Pertahanan Microsoft. Semua pelanggan yang menggunakan Microsoft Sentinel di portal Microsoft Azure akan dialihkan ke portal Defender dan hanya akan menggunakan Microsoft Sentinel di portal Defender.
Jika Anda masih menggunakan Microsoft Sentinel di portal Microsoft Azure, kami sarankan Anda mulai merencanakan transisi ke portal Defender untuk memastikan transisi yang lancar dan memanfaatkan sepenuhnya pengalaman operasi keamanan terpadu yang ditawarkan oleh Pertahanan Microsoft.
Untuk mempersiapkan penyebaran, Anda perlu menentukan apakah arsitektur beberapa ruang kerja relevan untuk lingkungan Anda. Dalam artikel ini, Anda mempelajari bagaimana Microsoft Sentinel dapat meluas di beberapa ruang kerja dan penyewa sehingga Anda dapat menentukan apakah kemampuan ini sesuai dengan kebutuhan organisasi Anda. Artikel ini adalah bagian dari panduan Penyebaran untuk Microsoft Azure Sentinel.
Gunakan salah satu set instruksi penyiapan berikut, bergantung pada portal mana yang Anda gunakan untuk memperluas Microsoft Azure Sentinel di seluruh ruang kerja:
Kebutuhan untuk menggunakan beberapa ruang kerja
Ketika menjalankan Microsoft Sentinel, langkah pertama Anda adalah memilih ruang kerja Analitik Log Anda. Meskipun Anda bisa mendapatkan manfaat penuh dari pengalaman Microsoft Sentinel dengan satu ruang kerja, pada kasus tertentu Anda perlu memperluas ruang kerja untuk mengkueri dan menganalisis data di seluruh ruang kerja dan penyewa.
Tabel ini mencantumkan beberapa skenario ini dan, jika memungkinkan, menunjukkan bagaimana Anda dapat menggunakan satu ruang kerja untuk skenario.
| Persyaratan | Deskripsi | Cara untuk mengurangi jumlah ruang kerja |
|---|---|---|
| Kedaulatan dan kepatuhan terhadap peraturan | Ruang kerja terikat ke wilayah tertentu. Untuk menyimpan data dalam Geografi Azure berbeda dengan tujuan memenuhi persyaratan peraturan, pisahkan data menjadi ruang kerja terpisah. Di Microsoft Azure Sentinel, data sebagian besar disimpan dan diproses di geografi atau wilayah yang sama, dengan beberapa pengecualian, seperti saat menggunakan aturan deteksi yang memanfaatkan Pembelajaran mesin Microsoft. Dalam kasus seperti itu, data mungkin disalin di luar geografi ruang kerja Anda untuk diproses. |
|
| Kepemilikan data | Batas-batas kepemilikan data, misalnya oleh anak perusahaan atau perusahaan afiliasi, lebih baik digambarkan menggunakan ruang kerja terpisah. | |
| Beberapa penyewa Azure | Microsoft Sentinel mendukung pengumpulan data dari sumber daya Microsoft dan Azure SaaS hanya di dalam batasan tenant Microsoft Entra sendiri. Oleh karena itu, setiap penyewa Microsoft Entra memerlukan ruang kerja terpisah. | |
| Kontrol akses data terperinci | Organisasi mungkin perlu mengizinkan grup yang berbeda, di dalam atau di luar organisasi, untuk mengakses beberapa data yang dikumpulkan oleh Microsoft Sentinel. Contohnya:
|
Gunakan sumber daya Azure RBAC atau tingkat tabel Azure RBAC |
| Pengaturan retensi granular | Secara historis, beberapa ruang kerja adalah satu-satunya cara untuk menetapkan periode retensi yang berbeda untuk jenis data yang berbeda. Ini tidak lagi diperlukan dalam banyak kasus, berkat pengenalan pengaturan retensi tingkat tabel. | Gunakan setelan retensi tingkat tabel atau otomatiskan penghapusan data |
| Memisahkan penagihan | Dengan menempatkan ruang kerja di langganan terpisah, mereka dapat ditagihkan kepada pihak yang berbeda. | Pelaporan penggunaan dan penagihan silang |
| Arsitektur warisan | Penggunaan beberapa ruang kerja mungkin berasal dari desain historis yang mempertimbangkan batasan atau praktik terbaik yang tidak berlaku lagi. Ini mungkin juga merupakan pilihan desain acak yang dapat dimodifikasi untuk mengakomodasi Microsoft Azure Sentinel dengan lebih baik. Contohnya meliputi:
|
Mengarsitektur ulang ruang kerja |
Saat menentukan jumlah penyewa dan ruang kerja yang akan digunakan, pertimbangkan bahwa sebagian besar fitur Microsoft Azure Sentinel beroperasi menggunakan satu ruang kerja atau instans Microsoft Azure Sentinel, dan Microsoft Azure Sentinel menyerap semua log yang disimpan di dalam ruang kerja.
Penyedia Layanan Keamanan Terkelola (MSSP)
Mengenai MSSP, banyak atau bahkan semua persyaratan di atas berlaku, membuat beberapa ruang kerja lintas penyewa merupakan praktik terbaik. Secara khusus, kami sarankan Anda membuat setidaknya satu ruang kerja untuk setiap penyewa Microsoft Entra untuk mendukung konektor data layanan ke layanan bawaan yang hanya berfungsi dalam penyewa Microsoft Entra mereka sendiri.
Konektor yang didasarkan pada pengaturan diagnostik tidak dapat disambungkan ke ruang kerja yang tidak terletak di penyewa yang sama tempat sumber daya berada. Ini berlaku untuk konektor seperti Azure Firewall, Azure Storage, Azure Activity atau Microsoft Entra ID.
Konektor data mitra sering didasarkan pada API atau koleksi agen, dan oleh karena itu tidak terhubung dengan tenant Microsoft Entra tertentu.
Gunakan Azure Lighthouse untuk membantu mengelola beberapa instance Microsoft Sentinel di tenant yang berbeda.
Arsitektur multi-ruang kerja Microsoft Sentinel
Seperti yang disiratkan oleh persyaratan di atas, ada kasus di mana satu SOC perlu mengelola dan memantau beberapa ruang kerja Log Analytics secara terpusat yang diaktifkan untuk Microsoft Sentinel, yang berpotensi di seluruh penyewa Microsoft Entra.
- Layanan MSSP Microsoft Azure Sentinel.
- SOC global yang melayani beberapa anak perusahaan, masing-masing memiliki SOC lokal sendiri.
- Pusat Operasi Keamanan (SOC) yang memantau beberapa tenant Microsoft Entra dalam sebuah organisasi.
Untuk mengatasi hal ini, Microsoft Sentinel menawarkan kemampuan multi-ruang kerja yang memungkinkan pemantauan, konfigurasi, dan pengelolaan terpusat, menyediakan satu panel kaca di ruang kerja yang dicakup SOC. Diagram ini menunjukkan contoh arsitektur untuk kasus penggunaan tersebut.
Model ini menawarkan keuntungan signifikan dibandingkan model yang sepenuhnya terpusat di mana semua data disalin ke satu ruang kerja:
- Penugasan peran yang fleksibel ke SOC global dan lokal, atau ke MSSP pelanggannya.
- Tantangan yang lebih sedikit terkait kepemilikan data, privasi data, dan kepatuhan terhadap peraturan.
- Latensi dan biaya jaringan minimal.
- Onboarding dan offboarding yang mudah bagi anak perusahaan atau pelanggan yang baru.
Langkah berikutnya
Dalam artikel ini, Anda mempelajari bagaimana Microsoft Sentinel dapat beroperasi di beberapa ruang kerja dan penyewa.