Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Belangrijk
Microsoft Sentinel is algemeen beschikbaar in de Microsoft Defender-portal, waaronder voor klanten zonder Microsoft Defender XDR of een E5-licentie.
Vanaf juli 2026 worden alle klanten die Microsoft Sentinel in Azure Portal gebruiken, omgeleid naar de Defender-portal en gebruiken ze alleen Microsoft Sentinel in de Defender-portal. Vanaf juli 2025 worden veel nieuwe klanten automatisch onboarden en omgeleid naar de Defender portal.
Als u Nog steeds Microsoft Sentinel gebruikt in Azure Portal, raden we u aan om te beginnen met het plannen van uw overgang naar de Defender-portal om een soepele overgang te garanderen en optimaal te profiteren van de geïntegreerde beveiligingsbewerkingen die door Microsoft Defender worden aangeboden. Zie Het is tijd om te verplaatsen voor meer informatie: De Azure-portal van Microsoft Sentinel buiten gebruik stellen voor betere beveiliging.
Als u zich wilt voorbereiden op uw implementatie, moet u bepalen of een architectuur met meerdere werkruimten relevant is voor uw omgeving. In dit artikel leert u hoe Microsoft Sentinel kan uitbreiden naar meerdere werkruimten en tenants, zodat u kunt bepalen of deze mogelijkheid aansluit bij de behoeften van uw organisatie. Dit artikel maakt deel uit van de implementatiehandleiding voor Microsoft Sentinel.
Gebruik een van de volgende sets installatie-instructies, afhankelijk van de portal die u gebruikt om Microsoft Sentinel uit te breiden tussen werkruimten:
| Portaal | Referenties |
|---|---|
| Microsoft Defender-portal |
-
Meerdere Microsoft Sentinel-werkruimten in de Defender-portal - Multitenant-beheer van Microsoft Defender |
| Azure Portal |
-
Microsoft Sentinel uitbreiden tussen werkruimten en tenants - Meerdere Log Analytics-werkruimten centraal beheren die zijn ingeschakeld voor Microsoft Sentinel met werkruimtebeheer |
De noodzaak om meerdere werkruimten te gebruiken
Wanneer u Microsoft Sentinel onboardt, moet u eerst uw Log Analytics-werkruimte selecteren. Hoewel u het volledige voordeel van de Microsoft Sentinel-ervaring met één werkruimte kunt krijgen, kunt u in sommige gevallen uw werkruimte uitbreiden om uw gegevens op te vragen en te analyseren in werkruimten en tenants.
Deze tabel bevat enkele van deze scenario's en stelt, indien mogelijk, voor hoe u één werkruimte voor het scenario kunt gebruiken.
| Vereiste | Beschrijving | Manieren om het aantal werkruimten te verminderen |
|---|---|---|
| Soevereiniteit en naleving van regelgeving | Een werkruimte is gekoppeld aan een bepaalde regio. Als u gegevens in verschillende Azure-geografische gebieden wilt bewaren om te voldoen aan wettelijke vereisten, splitst u de gegevens op in afzonderlijke werkruimten. In Microsoft Sentinel worden gegevens meestal opgeslagen en verwerkt in dezelfde geografie of regio, met enkele uitzonderingen, zoals bij het gebruik van detectieregels die gebruikmaken van Machine Learning van Microsoft. In dergelijke gevallen kunnen gegevens worden gekopieerd buiten de geografie van uw werkruimte voor verwerking. |
|
| Eigendom van gegevens | De grenzen van het gegevenseigendom, bijvoorbeeld door dochterondernemingen of gelieerde bedrijven, worden beter afgebakend met behulp van afzonderlijke werkruimten. | |
| Meerdere Azure-tenants | Microsoft Sentinel ondersteunt het verzamelen van gegevens uit Microsoft- en Azure SaaS-resources alleen binnen de eigen Microsoft Entra-tenantgrens. Daarom vereist elke Microsoft Entra-tenant een afzonderlijke werkruimte. | |
| Gedetailleerd toegangsbeheer voor gegevens | Een organisatie moet mogelijk verschillende groepen, binnen of buiten de organisatie, toegang geven tot een deel van de gegevens die door Microsoft Sentinel zijn verzameld. Voorbeeld:
|
Gebruik Azure RBAC-resource of Azure RBAC op tabelniveau |
| Granulaire bewaarinstellingen | In het verleden waren meerdere werkruimten de enige manier om verschillende bewaarperioden in te stellen voor verschillende gegevenstypen. Dit is in veel gevallen niet meer nodig, dankzij de introductie van instellingen voor retentie op tabelniveau. | Bewaarinstellingen op tabelniveau gebruiken of het verwijderen van gegevens automatiseren |
| Rekening splitsen | Door werkruimten in afzonderlijke abonnementen te plaatsen, kunnen ze worden gefactureerd aan verschillende partijen. | Gebruiksrapportages en doorberekening |
| Verouderde architectuur | Het gebruik van meerdere werkruimten kan voortvloeien uit een historisch ontwerp dat rekening hield met beperkingen of aanbevolen procedures die niet meer waar zijn. Het kan ook een willekeurige ontwerpkeuze zijn die kan worden aangepast om Microsoft Sentinel beter te kunnen gebruiken. Voorbeelden zijn:
|
Werkruimten opnieuw ontwerpen |
Bij het bepalen hoeveel tenants en werkruimtes u wilt gebruiken, moet u er rekening mee houden dat de meeste functies van Microsoft Sentinel werken met behulp van één werkruimte of Microsoft Sentinel-exemplaar, en dat Microsoft Sentinel alle logboeken in de werkruimte opneemt.
Managed Security Service Provider (MSSP)
In het geval van een MSSP zijn veel, indien niet alle bovenstaande vereisten van toepassing, waardoor meerdere werkruimten, in meerdere tenants, de best practice zijn. We raden u aan ten minste één werkruimte te maken voor elke Microsoft Entra-tenant ter ondersteuning van ingebouwde service-naar-service gegevensconnectors die alleen binnen hun eigen Microsoft Entra-tenant werken.
Connectors die gebaseerd zijn op diagnostische instellingen kunnen niet worden verbonden met een werkruimte die zich niet in dezelfde tenant bevindt als de resource. Dit geldt voor connectors zoals Azure Firewall, Azure Storage, Azure-activiteit of Microsoft Entra-id.
Partnergegevensconnectors zijn vaak gebaseerd op API- of agentcollecties en zijn daarom niet gekoppeld aan een specifieke Microsoft Entra-tenant.
Gebruik Azure Lighthouse om meerdere Microsoft Sentinel-exemplaren in verschillende tenants te beheren.
Architectuur voor meerdere werkruimten in Microsoft Sentinel
Zoals wordt geïmpliceerd door de bovenstaande vereisten, zijn er gevallen waarin één SOC centraal meerdere Log Analytics-werkruimten moet beheren en bewaken die zijn ingeschakeld voor Microsoft Sentinel, mogelijk tussen Microsoft Entra-tenants.
- Een Microsoft Sentinel-service voor MSSP.
- Een wereldwijde SOC die meerdere dochterondernemingen bedient, elk met een eigen lokale SOC.
- Een SOC-bewaking van meerdere Microsoft Entra-tenants binnen een organisatie.
Om deze gevallen aan te pakken, biedt Microsoft Sentinel mogelijkheden voor meerdere werkruimten die centrale bewaking, configuratie en beheer mogelijk maken, waardoor één glasdeelvenster wordt geboden over alles dat wordt gedekt door de SOC. In dit diagram ziet u een voorbeeldarchitectuur voor dergelijke gebruiksvoorbeelden.
Dit model biedt aanzienlijke voordelen ten opzichte van een volledig gecentraliseerd model waarin alle gegevens naar één werkruimte worden gekopieerd:
- Flexibele roltoewijzing aan de globale en lokale SOC's of aan de MSSP-klanten.
- Minder uitdagingen met betrekking tot gegevenseigendom, gegevensprivacy en naleving van regelgeving.
- Minimale netwerklatentie en -kosten.
- Eenvoudig onboarden en offboarding van nieuwe dochterondernemingen of klanten.
Volgende stappen
In dit artikel hebt u geleerd hoe Microsoft Sentinel meerdere werkruimten en tenants kan uitbreiden.