Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Importante
Dopo il 31 marzo 2027, Microsoft Sentinel non sarà più supportato nel portale di Azure e sarà disponibile solo nel portale di Microsoft Defender. Tutti i clienti che usano Microsoft Sentinel nel portale di Azure verranno reindirizzati al portale di Defender e useranno Microsoft Sentinel solo nel portale di Defender.
Se si usa ancora Microsoft Sentinel nel portale di Azure, è consigliabile iniziare a pianificare la transizione al portale di Defender per garantire una transizione senza problemi e sfruttare appieno l'esperienza di operazioni di sicurezza unificata offerta da Microsoft Defender.
Per prepararsi alla distribuzione, è necessario determinare se un'architettura di più aree di lavoro è rilevante per l'ambiente. Questo articolo illustra come Microsoft Sentinel possono estendersi tra più aree di lavoro e tenant, in modo da poter determinare se questa funzionalità è adatta alle esigenze dell'organizzazione. Questo articolo fa parte della guida alla distribuzione per Microsoft Sentinel.
Usare uno dei set di istruzioni di configurazione seguenti, a seconda del portale in uso per estendere Microsoft Sentinel tra le aree di lavoro:
| Portale | Riferimenti |
|---|---|
| Portale di Microsoft Defender |
-
Più aree di lavoro Microsoft Sentinel nel portale di Defender - Microsoft Defender gestione multi-tenant |
| Portale di Azure |
-
Estendere Microsoft Sentinel tra aree di lavoro e tenant - Gestire centralmente più aree di lavoro di Log Analytics abilitate per Microsoft Sentinel con gestione aree di lavoro |
La necessità di usare più aree di lavoro
Quando si esegue l'onboarding di Microsoft Sentinel, il primo passaggio consiste nel selezionare l'area di lavoro Log Analytics. Anche se è possibile sfruttare appieno l'esperienza di Microsoft Sentinel con una singola area di lavoro, in alcuni casi è possibile estendere l'area di lavoro per eseguire query e analizzare i dati tra aree di lavoro e tenant.
Questa tabella elenca alcuni di questi scenari e, quando possibile, suggerisce come usare una singola area di lavoro per lo scenario.
| Requisito | Descrizione | Modi per ridurre il numero di aree di lavoro |
|---|---|---|
| Sovranità e conformità alle normative | Un'area di lavoro è associata a un'area specifica. Per mantenere i dati in aree geografiche diverse Azure per soddisfare i requisiti normativi, suddividere i dati in aree di lavoro separate. In Microsoft Sentinel, i dati vengono per lo più archiviati ed elaborati nella stessa area geografica o area geografica, con alcune eccezioni, ad esempio quando si usano regole di rilevamento che sfruttano Machine Learning di Microsoft. In questi casi, i dati potrebbero essere copiati all'esterno dell'area geografica dell'area di lavoro per l'elaborazione. |
|
| Proprietà dei dati | I limiti della proprietà dei dati, ad esempio da società controllate o affiliate, sono meglio delineati usando aree di lavoro separate. | |
| Più tenant Azure | Microsoft Sentinel supporta la raccolta dati da Microsoft e Azure risorse SaaS solo all'interno del proprio limite del tenant Microsoft Entra. Pertanto, ogni tenant Microsoft Entra richiede un'area di lavoro separata. | |
| Controllo granulare dell'accesso ai dati | Un'organizzazione potrebbe dover consentire a gruppi diversi, all'interno o all'esterno dell'organizzazione, di accedere ad alcuni dei dati raccolti da Microsoft Sentinel. Ad esempio:
|
Usare il controllo degli accessi in base al ruolo Azure risorsa o il controllo degli accessi in base al ruolo a livello di tabella Azure controllo degli accessi in base al ruolo |
| Impostazioni di conservazione granulari | In passato, più aree di lavoro erano l'unico modo per impostare periodi di conservazione diversi per tipi di dati diversi. Questo non è più necessario in molti casi, grazie all'introduzione delle impostazioni di conservazione a livello di tabella. | Usare le impostazioni di conservazione a livello di tabella o automatizzare l'eliminazione dei dati |
| Suddivisione della fatturazione | Inserendo le aree di lavoro in sottoscrizioni separate, è possibile fatturarle a parti diverse. | Creazione di report sull'utilizzo e addebito incrociato |
| Architettura legacy | L'uso di più aree di lavoro potrebbe derivare da una progettazione cronologica che ha preso in considerazione le limitazioni o le procedure consigliate che non sono più vere. Potrebbe anche trattarsi di una scelta di progettazione arbitraria che può essere modificata per soddisfare meglio Microsoft Sentinel. Alcuni esempi:
|
Riprotezione di aree di lavoro |
Quando si determina il numero di tenant e aree di lavoro da usare, tenere presente che la maggior parte delle funzionalità Microsoft Sentinel funziona usando una singola area di lavoro o Microsoft Sentinel istanza e Microsoft Sentinel inserisce tutti i log ospitati all'interno dell'area di lavoro.
Provider del servizio di sicurezza gestito (MSSP)
Nel caso di un provider di servizi condivisi, si applicano molti se non tutti i requisiti precedenti, rendendo più aree di lavoro, tra tenant, la procedura consigliata. In particolare, è consigliabile creare almeno un'area di lavoro per ogni tenant Microsoft Entra per supportare i connettori dati predefiniti da servizio a servizio che funzionano solo all'interno del proprio tenant Microsoft Entra.
I connettori basati sulle impostazioni di diagnostica non possono essere connessi a un'area di lavoro che non si trova nello stesso tenant in cui risiede la risorsa. Questo vale per i connettori, ad esempio Firewall di Azure, archiviazione Azure, attività Azure o Microsoft Entra ID.
I connettori dati dei partner sono spesso basati su raccolte di API o agenti e pertanto non sono collegati a un tenant Microsoft Entra specifico.
Usare Azure Lighthouse per gestire più istanze di Microsoft Sentinel in tenant diversi.u
Microsoft Sentinel'architettura di più aree di lavoro
Come implicito dai requisiti precedenti, in alcuni casi un singolo SOC deve gestire e monitorare centralmente più aree di lavoro di Log Analytics abilitate per Microsoft Sentinel, potenzialmente tra i tenant Microsoft Entra.
- Servizio Microsoft Sentinel MSSP.
- Un SOC globale che serve più filiali, ognuna con il proprio SOC locale.
- Un SOC che monitora più tenant Microsoft Entra all'interno di un'organizzazione.
Per risolvere questi casi, Microsoft Sentinel offre funzionalità con più aree di lavoro che consentono il monitoraggio, la configurazione e la gestione centrali, fornendo un unico riquadro di vetro su tutto ciò che è coperto dal SOC. Questo diagramma illustra un'architettura di esempio per tali casi d'uso.
Questo modello offre vantaggi significativi rispetto a un modello completamente centralizzato in cui tutti i dati vengono copiati in una singola area di lavoro:
- Assegnazione di ruolo flessibile ai soc globali e locali o ai clienti mssp.
- Meno problemi relativi alla proprietà dei dati, alla privacy dei dati e alla conformità alle normative.
- Latenza e addebiti di rete minimi.
- Facile onboarding e offboarding di nuove filiali o clienti.
Passaggi successivi
In questo articolo si è appreso come Microsoft Sentinel possono estendersi tra più aree di lavoro e tenant.