Share via

Voorbereiden op meerdere werkruimten en tenants in Microsoft Sentinel

  • Artikel

Als u zich wilt voorbereiden op uw implementatie, moet u bepalen of een architectuur met meerdere werkruimten relevant is voor uw omgeving. In dit artikel leert u hoe Microsoft Sentinel kan uitbreiden naar meerdere werkruimten en tenants, zodat u kunt bepalen of deze mogelijkheid aansluit bij de behoeften van uw organisatie. Dit artikel maakt deel uit van de implementatiehandleiding voor Microsoft Sentinel.

Als u hebt besloten om uw omgeving in te stellen voor uitbreiding tussen werkruimten, raadpleegt u Microsoft Sentinel uitbreiden tussen werkruimten en tenants en meerdere Log Analytics-werkruimten centraal beheren die zijn ingeschakeld voor Microsoft Sentinel met werkruimtebeheer. Als uw organisatie van plan is om onboarding uit te voeren op het geïntegreerde Beveiligingsbewerkingsplatform van Microsoft in de Defender-portal, raadpleegt u Het beheer van meerdere tenants van Microsoft Defender.

De noodzaak om meerdere werkruimten te gebruiken

Wanneer u Microsoft Sentinel onboardt, moet u eerst uw Log Analytics-werkruimte selecteren. Hoewel u het volledige voordeel van de Microsoft Sentinel-ervaring met één werkruimte kunt krijgen, kunt u in sommige gevallen uw werkruimte uitbreiden om uw gegevens op te vragen en te analyseren in werkruimten en tenants.

Deze tabel bevat enkele van deze scenario's en stelt, indien mogelijk, voor hoe u één werkruimte voor het scenario kunt gebruiken.

Vereiste Beschrijving Manieren om het aantal werkruimten te verminderen
Soevereiniteit en naleving van regelgeving Een werkruimte is gekoppeld aan een bepaalde regio. Als u gegevens in verschillende Azure-geografische gebieden wilt bewaren om te voldoen aan wettelijke vereisten, splitst u de gegevens op in afzonderlijke werkruimten.

In Microsoft Sentinel worden gegevens meestal opgeslagen en verwerkt in dezelfde geografie of regio, met enkele uitzonderingen, zoals bij het gebruik van detectieregels die gebruikmaken van Machine Learning van Microsoft. In dergelijke gevallen kunnen gegevens worden gekopieerd buiten de geografie van uw werkruimte voor verwerking.
Eigendom van gegevens De grenzen van het gegevenseigendom, bijvoorbeeld door dochterondernemingen of gelieerde bedrijven, worden beter afgebakend met behulp van afzonderlijke werkruimten.
Meerdere Azure-tenants Microsoft Sentinel ondersteunt het verzamelen van gegevens uit Microsoft- en Azure SaaS-resources alleen binnen de eigen Microsoft Entra-tenantgrens. Daarom vereist elke Microsoft Entra-tenant een afzonderlijke werkruimte.
Gedetailleerd toegangsbeheer voor gegevens Een organisatie moet mogelijk verschillende groepen, binnen of buiten de organisatie, toegang geven tot een deel van de gegevens die door Microsoft Sentinel zijn verzameld. Voorbeeld:
  • Toegang van resource-eigenaren tot gegevens die betrekking hebben op hun resources
  • Regionale of ondersteunende SOC's toegang tot gegevens die relevant zijn voor hun onderdelen van de organisatie
 Azure RBAC of azure RBAC op tabelniveau gebruiken
Gedetailleerde bewaarinstellingen In het verleden waren meerdere werkruimten de enige manier om verschillende bewaarperioden in te stellen voor verschillende gegevenstypen. Dit is in veel gevallen niet meer nodig, dankzij de introductie van instellingen voor retentie op tabelniveau. Bewaarinstellingen op tabelniveau gebruiken of het verwijderen van gegevens automatiseren
Facturering splitsen Door werkruimten in afzonderlijke abonnementen te plaatsen, kunnen ze worden gefactureerd aan verschillende partijen. Gebruiksrapportages en doorberekening
Verouderde architectuur Het gebruik van meerdere werkruimten kan voortvloeien uit een historisch ontwerp dat rekening hield met beperkingen of aanbevolen procedures die niet meer waar zijn. Het kan ook een willekeurige ontwerpkeuze zijn die kan worden aangepast om Microsoft Sentinel beter te kunnen gebruiken.

Voorbeelden zijn:
  • Een standaardwerkruimte per abonnement gebruiken bij het implementeren van Microsoft Defender voor Cloud
  • De behoefte aan gedetailleerde instellingen voor toegangsbeheer of retentie, de oplossingen waarvoor relatief nieuw zijn
 Werkruimten opnieuw ontwerpen

Wanneer u bepaalt hoeveel tenants en werkruimten u wilt gebruiken, moet u overwegen dat de meeste Functies van Microsoft Sentinel werken met behulp van één werkruimte of Microsoft Sentinel-exemplaar, en Dat microsoft Sentinel alle logboeken in de werkruimte opneemt.

Managed Security Service Provider (MSSP)

In het geval van een MSSP zijn veel, indien niet alle bovenstaande vereisten van toepassing, waardoor meerdere werkruimten, in meerdere tenants, de best practice zijn. We raden u aan ten minste één werkruimte te maken voor elke Microsoft Entra-tenant ter ondersteuning van ingebouwde servicegegevensconnectors die alleen binnen hun eigen Microsoft Entra-tenant werken.

  • Connectors die zijn gebaseerd op diagnostische instellingen, kunnen niet worden verbonden met een werkruimte die zich niet in dezelfde tenant bevindt als de resource zich bevindt. Dit geldt voor connectors zoals Azure Firewall, Azure Storage, Azure-activiteit of Microsoft Entra-id.

  • Partnergegevensconnectors zijn vaak gebaseerd op API- of agentverzamelingen en zijn daarom niet gekoppeld aan een specifieke Microsoft Entra-tenant.

Azure Lighthouse gebruiken om meerdere Microsoft Sentinel-exemplaren in verschillende tenants.u te beheren

Architectuur voor meerdere werkruimten in Microsoft Sentinel

Zoals wordt geïmpliceerd door de bovenstaande vereisten, zijn er gevallen waarin één SOC centraal meerdere Log Analytics-werkruimten moet beheren en bewaken die zijn ingeschakeld voor Microsoft Sentinel, mogelijk tussen Microsoft Entra-tenants.

  • Een MSSP Microsoft Sentinel-service.
  • Een wereldwijde SOC die meerdere dochterondernemingen bedient, elk met een eigen lokale SOC.
  • Een SOC-bewaking van meerdere Microsoft Entra-tenants binnen een organisatie.

Om deze gevallen aan te pakken, biedt Microsoft Sentinel mogelijkheden voor meerdere werkruimten die centrale bewaking, configuratie en beheer mogelijk maken, waardoor één glasdeelvenster wordt geboden over alles dat wordt gedekt door de SOC. In dit diagram ziet u een voorbeeldarchitectuur voor dergelijke gebruiksvoorbeelden.

Diagram met het uitbreiden van de werkruimte voor meerdere tenants: architectuur.

Dit model biedt aanzienlijke voordelen ten opzichte van een volledig gecentraliseerd model waarin alle gegevens naar één werkruimte worden gekopieerd:

  • Flexibele roltoewijzing aan de globale en lokale SOC's of aan de MSSP-klanten.
  • Minder uitdagingen met betrekking tot gegevenseigendom, gegevensprivacy en naleving van regelgeving.
  • Minimale netwerklatentie en -kosten.
  • Eenvoudig onboarden en offboarding van nieuwe dochterondernemingen of klanten.

Volgende stappen

In dit artikel hebt u geleerd hoe Microsoft Sentinel meerdere werkruimten en tenants kan uitbreiden.

Gegevensconnectors prioriteren