Voorbeeldontwerpen van Microsoft Sentinel-werkruimte

  • Artikel

In dit artikel worden voorgestelde werkruimteontwerpen voor organisaties beschreven met de volgende voorbeeldvereisten:

  • Meerdere tenants en regio's, met europese vereisten voor gegevenssoevereine
  • Eén tenant met meerdere clouds
  • Meerdere tenants, met meerdere regio's en gecentraliseerde beveiliging

In de voorbeelden in dit artikel wordt de beslissingsstructuur voor het ontwerp van de Microsoft Sentinel-werkruimte gebruikt om het beste werkruimteontwerp voor elke organisatie te bepalen. Zie best practices voor de architectuur van Microsoft Sentinel-werkruimten voor meer informatie.

Dit artikel maakt deel uit van de implementatiehandleiding voor Microsoft Sentinel.

Voorbeeld 1: Meerdere tenants en regio's

Contoso Corporation is een multinational met hoofdkantoor in Londen. Contoso heeft kantoren over de hele wereld, met belangrijke hubs in New York City en Tokio. Onlangs heeft Contoso hun productiviteitssuite gemigreerd naar Office 365, waarbij veel workloads naar Azure zijn gemigreerd.

Contoso-tenants

Vanwege een overname enkele jaren geleden heeft Contoso twee Microsoft Entra-tenants: contoso.onmicrosoft.com en wingtip.onmicrosoft.com. Elke tenant heeft een eigen Office 365-exemplaar en meerdere Azure-abonnementen, zoals wordt weergegeven in de volgende afbeelding:

Diagram of Contoso tenants, each with separate sets of subscriptions.

Contoso-naleving en regionale implementatie

Contoso heeft momenteel Azure-resources die worden gehost in drie verschillende regio's: VS - oost, EU - noord en Japan - west, en strikte vereisten voor het behouden van alle gegevens die in Europa binnen Europa-regio's worden gegenereerd.

Beide Microsoft Entra-tenants van Contoso hebben resources in alle drie de regio's: VS - oost, EU - noord en Japan - west

Resourcetypen en verzamelingsvereisten voor Contoso

Contoso moet gebeurtenissen verzamelen uit de volgende gegevensbronnen:

  • Office 365
  • Aanmeldings- en auditlogboeken van Microsoft Entra
  • Azure-activiteit
  • Windows-beveiliging gebeurtenissen, van zowel on-premises als Azure VM-bronnen
  • Syslog, van zowel on-premises als Azure VM-bronnen
  • CEF, van meerdere on-premises netwerkapparaten, zoals Palo Alto, Cisco ASA en Cisco Meraki
  • Meerdere Azure PaaS-resources, zoals Azure Firewall, AKS, Key Vault, Azure Storage en Azure SQL
  • Cisco Umbrella

Azure-VM's bevinden zich voornamelijk in de regio EU - noord, met slechts enkele in VS - oost en Japan - west. Contoso gebruikt Microsoft Defender voor servers op al hun Azure-VM's.

Contoso verwacht ongeveer 300 GB per dag op te nemen uit al hun gegevensbronnen.

Contoso-toegangsvereisten

De Azure-omgeving van Contoso heeft al één bestaande Log Analytics-werkruimte die door het Operations-team wordt gebruikt om de infrastructuur te bewaken. Deze werkruimte bevindt zich in de Microsoft Entra-tenant van Contoso, binnen de regio EU - noord en wordt gebruikt voor het verzamelen van logboeken van Azure-VM's in alle regio's. Ze nemen momenteel ongeveer 50 GB per dag op.

Het Contoso Operations-team moet toegang hebben tot alle logboeken die ze momenteel in de werkruimte hebben, waaronder verschillende gegevenstypen die niet nodig zijn voor de SOC, zoals Perf, InsightsMetrics, ContainerLog en meer. Het Operations-team mag geen toegang hebben tot de nieuwe logboeken die worden verzameld in Microsoft Sentinel.

De oplossing van Contoso

Met de volgende stappen past u de beslissingsstructuur voor het ontwerp van de Microsoft Sentinel-werkruimte toe om het beste werkruimteontwerp voor Contoso te bepalen:

  1. Contoso heeft al een bestaande werkruimte, zodat we microsoft Sentinel in diezelfde werkruimte kunnen inschakelen.

    Niet-SOC-gegevensopname is minder dan 100 GB/dag, dus we kunnen doorgaan met stap 2 en ervoor zorgen dat u de relevante optie in stap 5 selecteert.

  2. Contoso heeft wettelijke vereisten, dus we hebben ten minste één Microsoft Sentinel-werkruimte in Europa nodig.

  3. Contoso heeft twee verschillende Microsoft Entra-tenants en verzamelt gegevensbronnen op tenantniveau, zoals Office 365- en Microsoft Entra-aanmeldings- en auditlogboeken. Daarom hebben we ten minste één werkruimte per tenant nodig.

  4. Contoso heeft geen kosten terug nodig, dus we kunnen doorgaan met stap 5.

  5. Contoso moet niet-SOC-gegevens verzamelen, hoewel er geen overlap is tussen SOC- en niet-SOC-gegevens. Soc-gegevensaccounts voor ongeveer 250 GB/dag, dus moeten ze afzonderlijke werkruimten gebruiken omwille van kostenefficiëntie.

  6. De meeste VM's van Contoso zijn de regio EU - noord, waar ze al een werkruimte hebben. Daarom zijn de bandbreedtekosten in dit geval geen probleem.

  7. Contoso heeft één SOC-team dat Gebruikmaakt van Microsoft Sentinel, dus er is geen extra scheiding nodig.

  8. Alle leden van het SOC-team van Contoso hebben toegang tot alle gegevens, dus er is geen extra scheiding nodig.

Het resulterende ontwerp van de Microsoft Sentinel-werkruimte voor Contoso wordt geïllustreerd in de volgende afbeelding:

Diagram of Contoso's solution, with a separate workspace for the Ops team.

De voorgestelde oplossing omvat:

  • Een afzonderlijke Log Analytics-werkruimte voor het Contoso Operations-team. Deze werkruimte bevat alleen gegevens die niet nodig zijn voor het SOC-team van Contoso, zoals de Perf-, InsightsMetrics- of ContainerLog-tabellen .

  • Twee Microsoft Sentinel-werkruimten, één in elke Microsoft Entra-tenant, om gegevens op te nemen uit Office 365, Azure Activity, Microsoft Entra ID en alle Azure PaaS-services.

  • Alle andere gegevens, afkomstig van on-premises gegevensbronnen, kunnen worden doorgestuurd naar een van de twee Microsoft Sentinel-werkruimten.

Voorbeeld 2: Één tenant met meerdere clouds

Fabrikam is een organisatie met hoofdkantoor in New York City en kantoren rondom de Verenigde Staten. Fabrikam start hun cloudtraject en moet nog steeds hun eerste Azure-landingszone implementeren en hun eerste workloads migreren. Fabrikam heeft al enkele workloads in AWS, die ze willen bewaken met Behulp van Microsoft Sentinel.

Vereisten voor Fabrikam-tenancy

Fabrikam heeft één Microsoft Entra-tenant.

Fabrikam-naleving en regionale implementatie

Fabrikam heeft geen nalevingsvereisten. Fabrikam heeft resources in verschillende Azure-regio's in de VS, maar bandbreedtekosten in verschillende regio's zijn geen belangrijk probleem.

Vereisten voor Fabrikam-resourcetypen en -verzameling

Fabrikam moet gebeurtenissen verzamelen uit de volgende gegevensbronnen:

  • Aanmeldings- en auditlogboeken van Microsoft Entra
  • Azure-activiteit
  • Beveiligingsgebeurtenissen, van zowel on-premises als Azure VM-bronnen
  • Windows-gebeurtenissen, van zowel on-premises als Azure VM-bronnen
  • Prestatiegegevens uit zowel on-premises als Azure VM-bronnen
  • AWS CloudTrail
  • AKS-audit- en prestatielogboeken

Toegangsvereisten voor Fabrikam

Het Fabrikam Operations-team moet toegang hebben tot:

  • Beveiligingsgebeurtenissen en Windows-gebeurtenissen, van zowel on-premises als Azure VM-bronnen
  • Prestatiegegevens uit zowel on-premises als Azure VM-bronnen
  • AKS-prestaties (Container Insights) en auditlogboeken
  • Alle Azure-activiteitsgegevens

Het SOC-team van Fabrikam moet toegang hebben tot:

  • Aanmeldings- en auditlogboeken van Microsoft Entra
  • Alle Azure-activiteitsgegevens
  • Beveiligingsgebeurtenissen, van zowel on-premises als Azure VM-bronnen
  • AWS CloudTrail-logboeken
  • AKS-auditlogboeken
  • De volledige Microsoft Sentinel-portal

De oplossing van Fabrikam

Met de volgende stappen past u de ontwerpstructuur van de Microsoft Sentinel-werkruimte toe om het beste werkruimteontwerp voor Fabrikam te bepalen:

  1. Fabrikam heeft geen bestaande werkruimte, dus ga verder met stap 2.

  2. Fabrikam heeft geen wettelijke vereisten, dus ga verder met stap 3.

  3. Fabrikam heeft een omgeving met één tenant. ga dus verder met stap 4.

  4. Fabrikam hoeft geen kosten op te splitsen, dus ga verder met stap 5.

  5. Fabrikam heeft afzonderlijke werkruimten nodig voor hun SOC- en Operations-teams:

    Het Fabrikam Operations-team moet prestatiegegevens verzamelen van zowel VM's als AKS. Omdat AKS is gebaseerd op diagnostische instellingen, kunnen ze specifieke logboeken selecteren die naar specifieke werkruimten moeten worden verzonden. Fabrikam kan ervoor kiezen om AKS-auditlogboeken te verzenden naar de Microsoft Sentinel-werkruimte en alle AKS-logboeken naar een afzonderlijke werkruimte, waarbij Microsoft Sentinel niet is ingeschakeld. In de werkruimte waar Microsoft Sentinel niet is ingeschakeld, schakelt Fabrikam de Container Insights-oplossing in.

    Voor Windows-VM's kan Fabrikam de Azure Monitoring Agent (AMA) gebruiken om de logboeken te splitsen, beveiligingsevenementen te verzenden naar de Microsoft Sentinel-werkruimte en prestaties en Windows-gebeurtenissen naar de werkruimte zonder Microsoft Sentinel.

    Fabrikam kiest ervoor om de overlappende gegevens te overwegen, zoals beveiligingsevenementen en Azure-activiteiten, alleen als SOC-gegevens, en verzendt deze gegevens naar de werkruimte met Microsoft Sentinel.

  6. Bandbreedtekosten zijn geen grote zorg voor Fabrikam, dus ga verder met stap 7.

  7. Fabrikam heeft al besloten om afzonderlijke werkruimten te gebruiken voor de SOC- en Operations-teams. Er is geen verdere scheiding nodig.

  8. Fabrikam moet de toegang voor overlappende gegevens beheren, waaronder beveiligingsgebeurtenissen en Azure-activiteitengebeurtenissen, maar er is geen vereiste op rijniveau.

    Beveiligingsgebeurtenissen en Azure-activiteitengebeurtenissen zijn geen aangepaste logboeken, dus Fabrikam kan RBAC op tabelniveau gebruiken om toegang te verlenen tot deze twee tabellen voor het Operations-team.

Het resulterende ontwerp van de Microsoft Sentinel-werkruimte voor Fabrikam wordt geïllustreerd in de volgende afbeelding, inclusief alleen belangrijke logboekbronnen omwille van de eenvoud van het ontwerp:

Diagram of Fabrikam's solution, with a separate workspace for the Ops team.

De voorgestelde oplossing omvat:

  • Twee afzonderlijke werkruimten in de regio VS: één voor het SOC-team waarvoor Microsoft Sentinel is ingeschakeld en een andere voor het Operations-team, zonder Microsoft Sentinel.

  • De Azure Monitoring Agent (AMA) die wordt gebruikt om te bepalen welke logboeken vanuit Azure en on-premises VM's naar elke werkruimte worden verzonden.

  • Diagnostische instellingen, die worden gebruikt om te bepalen welke logboeken vanuit Azure-resources zoals AKS naar elke werkruimte worden verzonden.

  • Overlappende gegevens die naar de Microsoft Sentinel-werkruimte worden verzonden, met RBAC op tabelniveau om zo nodig toegang te verlenen tot het Operations-team.

Voorbeeld 3: Meerdere tenants en regio's en gecentraliseerde beveiliging

Adventure Works is een multinational met hoofdkantoor in Tokio. Adventure Works heeft 10 verschillende subentiteiten, gebaseerd op verschillende landen/regio's over de hele wereld.

Adventure Works is microsoft 365 E5-klant en heeft al workloads in Azure.

Tenantvereisten voor Adventure Works

Adventure Works heeft drie verschillende Microsoft Entra-tenants, één voor elk van de continenten waar ze subentiteiten hebben: Azië, Europa en Afrika. De landen/regio's van de verschillende subentiteiten hebben hun identiteiten in de tenant van het continent waartoe ze behoren. Japanse gebruikers bevinden zich bijvoorbeeld in de tenant Azië , Duitse gebruikers bevinden zich in de Europese tenant en Egyptische gebruikers bevinden zich in de Afrika-tenant .

Nalevings- en regionale vereisten voor Adventure Works

Adventure Works maakt momenteel gebruik van drie Azure-regio's, die elk zijn afgestemd op het continent waarin de subentiteiten zich bevinden. Adventure Works heeft geen strikte nalevingsvereisten.

Resourcetypen en verzamelingsvereisten voor Adventure Works

Adventure Works moet de volgende gegevensbronnen voor elke subentiteit verzamelen:

  • Aanmeldings- en auditlogboeken van Microsoft Entra
  • Office 365-logboeken
  • Onbewerkte logboeken van Microsoft Defender XDR voor Eindpunt
  • Azure-activiteit
  • Microsoft Defender for Cloud
  • Azure PaaS-resources, zoals van Azure Firewall, Azure Storage, Azure SQL en Azure WAF
  • Beveiligings- en Windows-gebeurtenissen van Azure-VM's
  • CEF-logboeken van on-premises netwerkapparaten

Azure-VM's worden verspreid over de drie continenten, maar bandbreedtekosten zijn geen probleem.

Toegangsvereisten voor Adventure Works

Adventure Works heeft één gecentraliseerd SOC-team dat toezicht houdt op beveiligingsbewerkingen voor alle verschillende subentiteiten.

Adventure Works heeft ook drie onafhankelijke SOC-teams, één voor elk van de continenten. Het SOC-team van elk continent moet alleen toegang hebben tot de gegevens die in de regio zijn gegenereerd, zonder dat er gegevens van andere continenten worden weergegeven. Het SOC-team van Azië mag bijvoorbeeld alleen toegang krijgen tot gegevens uit Azure-resources die zijn geïmplementeerd in Azië, Microsoft Entra-aanmeldingen vanuit de Azië-tenant en Defender voor Eindpunt-logboeken van de tenant Azië.

Het SOC-team van elk continent moet toegang hebben tot de volledige Microsoft Sentinel-portalervaring.

Het Operations-team van Adventure Works wordt onafhankelijk uitgevoerd en heeft zijn eigen werkruimten zonder Microsoft Sentinel.

Adventure Works-oplossing

Met de volgende stappen past u de beslissingsstructuur voor het ontwerp van de Microsoft Sentinel-werkruimte toe om het beste werkruimteontwerp voor Adventure Works te bepalen:

  1. Het Operations-team van Adventure Works heeft zijn eigen werkruimten, dus ga verder met stap 2.

  2. Adventure Works heeft geen wettelijke vereisten, dus ga verder met stap 3.

  3. Adventure Works heeft drie Microsoft Entra-tenants en moet gegevensbronnen op tenantniveau verzamelen, zoals Office 365-logboeken. Adventure Works moet daarom ten minste Microsoft Sentinel-werkruimten maken, één voor elke tenant.

  4. Adventure Works hoeft geen kosten op te splitsen, dus ga verder met stap 5.

  5. Aangezien het Operations-team van Adventure Works zijn eigen werkruimten heeft, worden alle gegevens die in deze beslissing worden overwogen, gebruikt door het SOC-team van Adventure Works.

  6. Bandbreedtekosten zijn geen grote zorg voor Adventure Works, dus ga verder met stap 7.

  7. Adventure Works moet gegevens scheiden door eigendom, omdat het SOC-team van elke inhoud alleen toegang nodig heeft tot gegevens die relevant zijn voor die inhoud. Het SOC-team van elk continent heeft echter ook toegang nodig tot de volledige Microsoft Sentinel-portal.

  8. Adventure Works hoeft geen gegevenstoegang per tabel te beheren.

Het resulterende ontwerp van de Microsoft Sentinel-werkruimte voor Adventure Works wordt geïllustreerd in de volgende afbeelding, inclusief alleen belangrijke logboekbronnen omwille van de eenvoud van het ontwerp:

Diagram of Adventure Works's solution, with separate workspaces for each Azure AD tenant.

De voorgestelde oplossing omvat:

  • Een afzonderlijke Microsoft Sentinel-werkruimte voor elke Microsoft Entra-tenant. Elke werkruimte verzamelt gegevens met betrekking tot de tenant voor alle gegevensbronnen.

  • Het SOC-team van elk continent heeft alleen toegang tot de werkruimte in een eigen tenant, zodat alleen logboeken die zijn gegenereerd binnen de tenantgrens toegankelijk zijn voor elk SOC-team.

  • Het centrale SOC-team kan nog steeds werken vanuit een afzonderlijke Microsoft Entra-tenant, met behulp van Azure Lighthouse voor toegang tot elk van de verschillende Microsoft Sentinel-omgevingen. Als er geen andere tenant is, kan het centrale SOC-team Nog steeds Azure Lighthouse gebruiken om toegang te krijgen tot de externe werkruimten.

  • Het centrale SOC-team kan ook een andere werkruimte maken als er artefacten moeten worden opgeslagen die verborgen blijven voor de SOC-teams van het continent of als het andere gegevens wil opnemen die niet relevant zijn voor de SOC-teams van het continent.

Volgende stappen

In dit artikel hebt u een set voorgestelde werkruimteontwerpen voor organisaties bekeken.

Voorbereiden op meerdere werkruimten