Voorbereiden op meerdere werkruimten en tenants in Microsoft Sentinel
Als u zich wilt voorbereiden op uw implementatie, moet u bepalen of een architectuur met meerdere werkruimten relevant is voor uw omgeving. In dit artikel leert u hoe Microsoft Sentinel kan uitbreiden naar meerdere werkruimten en tenants, zodat u kunt bepalen of deze mogelijkheid aansluit bij de behoeften van uw organisatie. Dit artikel maakt deel uit van de implementatiehandleiding voor Microsoft Sentinel.
Als u hebt besloten om uw omgeving in te stellen voor uitbreiding tussen werkruimten, raadpleegt u Microsoft Sentinel uitbreiden tussen werkruimten en tenants en meerdere Microsoft Sentinel-werkruimten centraal beheren met werkruimtebeheer.
De noodzaak om meerdere Microsoft Sentinel-werkruimten te gebruiken
Wanneer u Microsoft Sentinel onboardt, moet u eerst uw Log Analytics-werkruimte selecteren. Hoewel u het volledige voordeel van de Microsoft Sentinel-ervaring met één werkruimte kunt krijgen, kunt u in sommige gevallen uw werkruimte uitbreiden om uw gegevens op te vragen en te analyseren in werkruimten en tenants.
Deze tabel bevat enkele van deze scenario's en stelt, indien mogelijk, voor hoe u één werkruimte voor het scenario kunt gebruiken.
Vereiste | Omschrijving | Manieren om het aantal werkruimten te verminderen |
---|---|---|
Soevereiniteit en naleving van regelgeving | Een werkruimte is gekoppeld aan een bepaalde regio. Als u gegevens in verschillende Azure-geografische gebieden wilt bewaren om te voldoen aan wettelijke vereisten, splitst u de gegevens op in afzonderlijke werkruimten. | |
Eigendom van gegevens | De grenzen van het gegevenseigendom, bijvoorbeeld door dochterondernemingen of gelieerde bedrijven, worden beter afgebakend met behulp van afzonderlijke werkruimten. | |
Meerdere Azure-tenants | Microsoft Sentinel ondersteunt het verzamelen van gegevens uit Microsoft- en Azure SaaS-resources alleen binnen de eigen Microsoft Entra-tenantgrens. Daarom vereist elke Microsoft Entra-tenant een afzonderlijke werkruimte. | |
Gedetailleerde controle over gegevenstoegang | Een organisatie moet mogelijk verschillende groepen, binnen of buiten de organisatie, toegang geven tot een deel van de gegevens die door Microsoft Sentinel zijn verzameld. Bijvoorbeeld:
|
Azure RBAC of azure RBAC op tabelniveau gebruiken |
Gedetailleerde bewaarinstellingen | In het verleden waren meerdere werkruimten de enige manier om verschillende bewaarperioden in te stellen voor verschillende gegevenstypen. Dit is in veel gevallen niet meer nodig, dankzij de introductie van instellingen voor retentie op tabelniveau. | Bewaarinstellingen op tabelniveau gebruiken of het verwijderen van gegevens automatiseren |
Gesplitste facturering | Door werkruimten in afzonderlijke abonnementen te plaatsen, kunnen ze worden gefactureerd aan verschillende partijen. | Gebruiksrapportages en doorberekening |
Verouderde architectuur | Het gebruik van meerdere werkruimten kan voortvloeien uit een historisch ontwerp dat rekening hield met beperkingen of aanbevolen procedures die niet meer waar zijn. Het kan ook een willekeurige ontwerpkeuze zijn die kan worden aangepast om Microsoft Sentinel beter te kunnen gebruiken. Voorbeelden zijn:
|
Werkruimten opnieuw ontwerpen |
Managed Security Service Provider (MSSP)
In het geval van een MSSP zijn veel, indien niet alle bovenstaande vereisten van toepassing, waardoor meerdere werkruimten, in meerdere tenants, de best practice zijn. De MSSP kan Azure Lighthouse gebruiken om de mogelijkheden voor meerdere werkruimten van Microsoft Sentinel uit te breiden tussen tenants.
Architectuur voor meerdere werkruimten in Microsoft Sentinel
Zoals wordt geïmpliceerd door de bovenstaande vereisten, zijn er gevallen waarin één SOC centraal meerdere Microsoft Sentinel-werkruimten moet beheren en bewaken, mogelijk tussen Microsoft Entra-tenants.
Een MSSP Microsoft Sentinel-service.
Een wereldwijde SOC die meerdere dochterondernemingen bedient, elk met een eigen lokale SOC.
Een SOC-bewaking van meerdere Microsoft Entra-tenants binnen een organisatie.
Om deze gevallen aan te pakken, biedt Microsoft Sentinel mogelijkheden voor meerdere werkruimten die centrale bewaking, configuratie en beheer mogelijk maken, waardoor één glasdeelvenster wordt geboden over alles dat wordt gedekt door de SOC. In dit diagram ziet u een voorbeeldarchitectuur voor dergelijke gebruiksvoorbeelden.
Dit model biedt aanzienlijke voordelen ten opzichte van een volledig gecentraliseerd model waarin alle gegevens naar één werkruimte worden gekopieerd:
Flexibele roltoewijzing aan de globale en lokale SOC's of aan de MSSP-klanten.
Minder uitdagingen met betrekking tot gegevenseigendom, gegevensprivacy en naleving van regelgeving.
Minimale netwerklatentie en -kosten.
Eenvoudig onboarden en offboarding van nieuwe dochterondernemingen of klanten.
In de volgende secties wordt uitgelegd hoe u dit model kunt gebruiken, en met name hoe:
Bewaak meerdere werkruimten, mogelijk binnen tenants, zodat de SOC met één deelvenster glas kan worden geleverd.
Configureer en beheer meerdere werkruimten centraal, mogelijk tussen tenants, met behulp van automatisering.
Volgende stappen
In dit artikel hebt u geleerd hoe Microsoft Sentinel meerdere werkruimten en tenants kan uitbreiden.
Feedback
https://aka.ms/ContentUserFeedback.
Binnenkort: Gedurende 2024 worden GitHub Issues uitgefaseerd als het feedbackmechanisme voor inhoud. Dit wordt vervangen door een nieuw feedbacksysteem. Ga voor meer informatie naar:Feedback verzenden en bekijken voor