Bagikan melalui

Sampel desain ruang kerja Log Analytics untuk Microsoft Sentinel

Artikel ini menjelaskan desain ruang kerja Analitik Log yang disarankan untuk organisasi dengan persyaratan sampel berikut:

  • Beberapa penyewa dan wilayah, dengan persyaratan Kedaulatan Data Eropa
  • Penyewa tunggal dengan beberapa awan/cloud
  • Beberapa penyewa, dengan beberapa wilayah dan keamanan terpusat

Untuk informasi selengkapnya, lihat Mendesain arsitektur ruang kerja Analitik Log.

Artikel ini adalah bagian dari panduan Penyebaran untuk Microsoft Azure Sentinel.

Sampel 1: Beberapa penyewa dan wilayah

Contoso Corporation adalah bisnis multinasional dengan kantor pusat di London. Contoso memiliki kantor di seluruh dunia, dengan hub penting di New York City dan Tokyo. Baru-baru ini, Contoso telah memigrasikan rangkaian produktivitas mereka ke Office 365, dengan banyak beban kerja dimigrasikan ke Azure.

Penyewa Contoso

Karena akuisisi beberapa tahun yang lalu, Contoso memiliki dua penyewa Microsoft Entra: contoso.onmicrosoft.com dan wingtip.onmicrosoft.com. Setiap penyewa memiliki instans Office 365 sendiri dan beberapa langganan Azure, seperti yang ditunjukkan pada gambar berikut:

Diagram penyewa Contoso, masing-masing memiliki langganan yang terpisah.

Kepatuhan dan Penyebaran Regional Contoso

Contoso saat ini memiliki sumber daya Azure yang dihosting di tiga wilayah yang berbeda: AS Timur, Uni Eropa Utara, dan Jepang Barat, dan persyaratan ketat untuk menyimpan semua data yang dihasilkan di Eropa dalam wilayah Eropa.

Kedua penyewa Microsoft Entra Contoso memiliki sumber daya di ketiga wilayah: AS Timur, UE Utara, dan Jepang Barat

Jenis sumber daya Contoso dan persyaratan pengumpulan

Contoso perlu mengumpulkan peristiwa dari sumber data berikut:

  • Office 365
  • Log masuk dan log audit Microsoft Entra
  • Aktivitas Azure
  • Peristiwa Keamanan Windows, dari sumber lokal dan Azure VM
  • Syslog, dari sumber lokal dan Azure VM
  • CEF, dari beberapa perangkat jaringan lokal, seperti Palo Alto, Cisco ASA, dan Cisco Meraki
  • Beberapa sumber daya Azure PaaS, seperti Azure Firewall, AKS, Key Vault, Azure Storage, dan Azure SQL
  • Cisco Umbrella

Azure VM sebagian besar berlokasi di wilayah Eropa Utara, dengan hanya sedikit di AS Timur dan Jepang Barat. Contoso menggunakan Pertahanan Microsoft untuk server di semua Azure VM-nya.

Contoso mengharapkan untuk menyerap sekitar 300 GB / hari dari semua sumber data mereka.

Persyaratan akses Contoso

Lingkungan Azure Contoso sudah memiliki satu ruang kerja Log Analytics yang ada yang digunakan oleh tim Operasi untuk memantau infrastruktur. Ruang kerja ini terletak di penyewa Contoso Microsoft Entra, di wilayah Eropa Utara, dan digunakan untuk mengumpulkan log dari Azure VM di semua wilayah. Mereka saat ini menyerap sekitar 50 GB / hari.

Tim Operasi Contoso perlu memiliki akses ke semua log yang saat ini mereka miliki di ruang kerja, yang mencakup beberapa jenis data yang tidak diperlukan oleh SOC, seperti Perf, InsightsMetrics, ContainerLog, dan banyak lagi. Tim Operasi tidak boleh memiliki akses ke log baru yang dikumpulkan di Microsoft Azure Sentinel.

Solusi Contoso

Solusi Constoso mencakup pertimbangan berikut:

  • Contoso sudah memiliki ruang kerja yang sudah ada, dan mereka ingin menjelajahi pengaktifan Microsoft Azure Sentinel di ruang kerja yang sama.
  • Contoso memiliki persyaratan regulasi, jadi kami memerlukan setidaknya satu ruang kerja Analitik Log yang diaktifkan untuk Microsoft Sentinel di Eropa.
  • Sebagian besar VM Contoso adalah wilayah Eropa Utara, di mana mereka sudah memiliki ruang kerja. Oleh karena itu, dalam hal ini, biaya bandwidth tidak menjadi perhatian.
  • Contoso memiliki dua penyewa Microsoft Entra berbeda, dan mengumpulkan dari sumber data pada tingkat penyewa, seperti log masuk dan audit Microsoft Entra serta Office 365, dan kami memerlukan setidaknya satu ruang kerja untuk setiap penyewa.
  • Contoso memang perlu mengumpulkan data non-SOC, meskipun tidak ada tumpang tindih antara data SOC dan non-SOC. Juga, data SOC menyumbang sekitar 250 GB / hari, sehingga mereka harus menggunakan ruang kerja terpisah demi efisiensi biaya.
  • Contoso memiliki satu tim SOC yang akan menggunakan Microsoft Azure Sentinel, sehingga tidak diperlukan pemisahan ekstra.
  • Semua anggota tim SOC Contoso akan memiliki akses ke semua data, sehingga tidak diperlukan pemisahan ekstra.

Desain ruang kerja yang dihasilkan untuk Contoso diilustrasikan dalam gambar berikut:

Diagram solusi Contoso, dengan ruang kerja terpisah untuk tim Ops.

Solusi yang disarankan meliputi:

  • Ruang kerja Log Analytics terpisah untuk tim Operasi Contoso. Ruang kerja ini hanya akan berisi data yang tidak diperlukan oleh tim SOC Contoso, seperti tabel Perf, InsightsMetrics, atau ContainerLog.
  • Dua ruang kerja Analitik Log diaktifkan untuk Microsoft Sentinel, satu di setiap penyewa Microsoft Entra, untuk mengumpulkan data dari Office 365, Azure Activity, ID Microsoft Entra, dan semua layanan Azure PaaS.
  • Semua data lain, yang berasal dari sumber data lokal, dapat dirutekan ke salah satu dari dua ruang kerja.

Contoh 2: Penyewa tunggal dengan beberapa awan

Fabrikam adalah organisasi dengan kantor pusat di New York City dan kantor di seluruh Amerika Serikat. Fabrikam memulai perjalanan cloud mereka, dan masih perlu menyebarkan zona pendaratan Azure pertama mereka dan memigrasikan beban kerja pertama mereka. Fabrikam sudah memiliki beberapa beban kerja di AWS, yang ingin mereka pantau menggunakan Microsoft Azure Sentinel.

Persyaratan sewa Fabrikam

Fabrikam memiliki satu penyewa Microsoft Entra.

Kepatuhan Fabrikam dan penyebaran regional

Fabrikam tidak memiliki persyaratan kepatuhan. Fabrikam memiliki sumber daya di beberapa wilayah Azure yang terletak di AS, tetapi biaya bandwidth di seluruh wilayah tidak menjadi perhatian utama.

Jenis sumber daya Fabrikam dan persyaratan pengumpulan

Fabrikam perlu mengumpulkan peristiwa dari sumber data berikut:

  • Log masuk dan log audit Microsoft Entra
  • Aktivitas Azure
  • Peristiwa Keamanan, dari sumber lokal dan Azure VM
  • Peristiwa Windows, dari sumber lokal dan Azure VM
  • Data performa, dari sumber lokal dan Azure VM
  • AWS CloudTrail
  • Audit AKS dan log kinerja

Persyaratan akses Fabrikam

Tim Operasi Fabrikam perlu mengakses:

  • Peristiwa Keamanan dan peristiwa Windows, dari sumber lokal dan Azure VM
  • Data performa, dari sumber lokal dan Azure VM
  • Kinerja AKS (Container Insights) dan log audit
  • Semua data Aktivitas Azure

Tim SOC Fabrikam perlu mengakses:

  • Log masuk dan log audit Microsoft Entra
  • Semua data Aktivitas Azure
  • Insiden Keamanan dari sumber lokal dan Azure VM
  • Log AWS CloudTrail
  • Log audit AKS
  • Portal Microsoft Sentinel lengkap

Solusi Fabrikam

Solusi Fabrikam mencakup pertimbangan berikut:

  • Fabrikam tidak memiliki ruang kerja yang ada, sehingga mereka akan secara otomatis memerlukan ruang kerja baru.

  • Fabrikam tidak memiliki persyaratan peraturan yang mengharuskan mereka untuk memisahkan data.

  • Fabrikam memiliki lingkungan penyewa tunggal, dan tidak memerlukan ruang kerja terpisah per penyewa.

  • Namun, Fabrikam akan membutuhkan ruang kerja terpisah untuk tim SOC dan Operasi mereka.

    Tim Operasi Fabrikam perlu mengumpulkan data performa, baik dari VM maupun AKS. Karena AKS didasarkan pada pengaturan diagnostik, mereka dapat memilih log tertentu untuk dikirim ke ruang kerja tertentu. Fabrikam dapat memilih untuk mengirim log audit AKS ke ruang kerja Log Analytics yang diaktifkan untuk Microsoft Sentinel, dan semua log AKS ke ruang kerja terpisah, di mana Microsoft Sentinel tidak diaktifkan. Di ruang kerja tempat Microsoft Azure Sentinel tidak diaktifkan, Fabrikam akan mengaktifkan solusi Container Insights.

    Untuk VM Windows, Fabrikam dapat menggunakan Azure Monitoring Agent (AMA) untuk membagi log, mengirim peristiwa keamanan ke ruang kerja, dan performa dan peristiwa Windows ke ruang kerja tanpa Microsoft Azure Sentinel.

    Fabrikam memilih untuk mempertimbangkan data mereka yang tumpang tindih, seperti peristiwa keamanan dan peristiwa aktivitas Azure, hanya sebagai data SOC, dan mengirimkan data ini ke ruang kerja dengan Microsoft Azure Sentinel.

  • Fabrikam perlu mengontrol akses untuk data yang saling tumpang tindih, termasuk peristiwa keamanan dan kejadian aktivitas Azure, tetapi tidak ada persyaratan pada tingkat baris. Karena peristiwa keamanan dan peristiwa aktivitas Azure bukan log kustom, Fabrikam dapat menggunakan RBAC tingkat tabel untuk memberikan akses ke dua tabel ini untuk tim Operasi.

Desain ruang kerja yang dihasilkan untuk Fabrikam diilustrasikan dalam gambar berikut, termasuk hanya sumber log utama demi kesederhanaan desain:

Diagram solusi Fabrikam, dengan ruang kerja terpisah untuk tim Ops.

Solusi yang disarankan meliputi:

  • Dua ruang kerja terpisah di wilayah AS: satu untuk tim SOC dengan Microsoft Sentinel diaktifkan, dan satu lagi untuk tim Operasi, tanpa Microsoft Azure Sentinel.
  • Azure Monitoring Agent (AMA), digunakan untuk menentukan log mana yang dikirim ke setiap ruang kerja dari Azure dan VM lokal.
  • Pengaturan diagnostik, yang digunakan untuk menentukan log mana yang dikirim ke setiap ruang kerja dari sumber daya Azure seperti AKS.
  • Data yang saling bertumpang tindih dikirim ke ruang kerja analitik log yang diaktifkan untuk Microsoft Sentinel, dengan RBAC tingkat tabel membolehkan akses ke tim operasi sesuai kebutuhan.

Sampel 3: Beberapa penyewa dan wilayah dan keamanan terpusat

Adventure Works adalah perusahaan multinasional dengan kantor pusat di Tokyo. Adventure Works memiliki 10 sub-entitas yang berbeda, yang berbasis di berbagai negara/wilayah di seluruh dunia.

Adventure Works adalah pelanggan Microsoft 365 E5, dan sudah memiliki beban kerja di Azure.

Persyaratan sewa Adventure Works

Adventure Works memiliki tiga penyewa Microsoft Entra yang berbeda, satu untuk setiap benua di mana mereka memiliki sub-entitas: Asia, Eropa, dan Afrika. Berbagai negara/wilayah sub-entitas memiliki identitas di bawah entitas induk di benua tempat mereka berada. Misalnya, pengguna Jepang berada di penyewa Asia, pengguna Jerman berada di penyewa Eropa dan pengguna Mesir berada di penyewa Afrika.

Kepatuhan Adventure Works dan persyaratan regional

Adventure Works saat ini menggunakan tiga wilayah Azure, masing-masing selaras dengan benua di mana sub-entitas berada. Adventure Works tidak memiliki persyaratan kepatuhan yang ketat.

Jenis sumber daya Adventure Works dan persyaratan pengumpulan

Adventure Works perlu mengumpulkan sumber data berikut untuk setiap sub-entitas:

  • Log masuk dan log audit Microsoft Entra
  • Catatan Log Office 365
  • Log mentah Microsoft Defender XDR untuk Titik Akhir
  • Aktivitas Azure
  • Microsoft Defender untuk Cloud
  • Sumber daya Azure PaaS, seperti dari Azure Firewall, Azure Storage, Azure SQL, dan Azure WAF
  • Keamanan dan Peristiwa Windows dari Azure VM
  • Log CEF dari perangkat jaringan dalam lokasi

Azure VM tersebar di tiga benua, tetapi biaya bandwidth tidak menjadi perhatian.

Persyaratan akses Adventure Works

Adventure Works memiliki satu tim SOC terpusat yang mengawasi operasi keamanan untuk semua sub-entitas yang berbeda.

Adventure Works juga memiliki tiga tim SOC independen, satu untuk masing-masing benua. Tim SOC setiap benua seharusnya hanya dapat mengakses data yang dihasilkan dalam wilayahnya, tanpa melihat data dari benua lain. Misalnya, tim Asia SOC hanya boleh mengakses data dari sumber daya Azure yang dikerahkan di Asia, akses masuk ke Microsoft Entra dari penyewa Asia, dan log Defender for Endpoint dari penyewa Asia.

Tim SOC di setiap benua memerlukan akses penuh ke pengalaman portal Microsoft Azure Sentinel.

Tim Operasi Adventure Works bekerja secara mandiri, dan memiliki ruang kerja sendiri tanpa Microsoft Azure Sentinel.

Solusi Adventure Works

Solusi Adventure Works mencakup pertimbangan berikut:

  • Tim Operasi Adventure Works sudah memiliki ruang kerjanya sendiri, jadi tidak perlu membuat yang baru.

  • Adventure Works tidak memiliki persyaratan peraturan yang mengharuskan mereka untuk memisahkan data.

  • Adventure Works memiliki tiga penyewa Microsoft Entra, dan perlu mengumpulkan sumber data tingkat penyewa, seperti log Office 365. Oleh karena itu, Adventure Works harus membuat setidaknya satu ruang kerja Log Analytics yang diaktifkan untuk Microsoft Sentinel di setiap penyewa.

  • Meskipun semua data yang dipertimbangkan dalam keputusan ini akan digunakan oleh tim Adventure Works SOC, mereka perlu memisahkan data berdasarkan kepemilikan, karena setiap tim SOC hanya perlu mengakses data yang relevan dengan tim tersebut. Setiap tim SOC juga memerlukan akses ke portal Microsoft Azure Sentinel lengkap. Adventure Works tidak perlu mengontrol akses data menurut tabel.

Desain ruang kerja yang dihasilkan untuk Adventure Works diilustrasikan dalam gambar berikut, termasuk hanya sumber log utama demi kesederhanaan desain:

Diagram solusi Adventure Works, dengan ruang kerja terpisah untuk setiap penyewa Azure AD.

Solusi yang disarankan meliputi:

  • Ruang kerja Log Analytics terpisah yang diaktifkan bagi setiap tenant Microsoft Entra untuk Microsoft Sentinel. Setiap ruang kerja mengumpulkan data yang terkait dengan penyewanya untuk semua sumber data.
  • Tim SOC di setiap benua hanya memiliki akses ke ruang kerja dalam lingkungan tenant mereka sendiri, memastikan bahwa hanya log yang dihasilkan dalam batas lingkungan tenant tersebut yang dapat diakses oleh masing-masing tim SOC.
  • Tim SOC pusat masih dapat beroperasi dari penyewa Microsoft Entra terpisah, menggunakan Azure Lighthouse untuk mengakses masing-masing lingkungan Microsoft Sentinel yang berbeda. Jika tidak ada penyewa lain, tim SOC pusat masih dapat menggunakan Azure Lighthouse untuk mengakses ruang kerja jarak jauh.
  • Tim SOC pusat juga dapat membuat ruang kerja lain jika perlu menyimpan artefak yang tetap tersembunyi dari tim SOC benua, atau jika ingin menyerap data lain yang tidak relevan dengan tim SOC benua.

Langkah berikutnya

Dalam artikel ini, Anda meninjau sekumpulan desain ruang kerja yang disarankan untuk organisasi.

Bersiap untuk beberapa ruang kerja

  • Last updated on