Logboeken beheren
Ten slotte moet u begrijpen hoe u de logboekgegevens implementeert en beheert die door Microsoft Sentinel worden verzameld.
Azure Monitor-logboekbeheer
Azure Monitor en de log analytics-functie zijn het onderliggende logboekbeheerplatform dat Microsoft Sentinel mogelijk maakt. De werkruimte die Door Microsoft Sentinel wordt gebruikt, is in feite een container waarin logboekgegevens worden verzameld uit verschillende bronnen. Mogelijk hebt u één Log Analytics-werkruimte voor al uw bewakingsgegevens of hebt u mogelijk vereisten voor meerdere werkruimten.
Elke bron die logboeken naar Monitor of Log Analytics verzendt, ondersteunt inherent ook Microsoft Sentinel. De meeste Azure- en Microsoft-oplossingen ondersteunen het verzenden van telemetrie naar Monitor.
Prijsmodel
Microsoft Sentinel factureert op basis van het gegevensvolume dat is opgenomen voor analyse in Microsoft Sentinel en die is opgeslagen in de Log Analytics-werkruimte. Er zijn twee manieren om te betalen voor de Microsoft Sentinel-service: Capaciteitsreserveringen en betalen per gebruik.
De Azure Monitor Log Analytics-werkruimte is de locatie waar de gegevens worden verzonden. Gegevens in een werkruimte zijn ingedeeld in tabellen. Elke tabel slaat verschillende soorten gegevens op en heeft een unieke set eigenschappen. De eigenschappen zijn gebaseerd op de resource waarmee de gegevens worden gegenereerd. De meeste gegevensbronnen schrijven naar hun eigen tabellen in een Log Analytics-werkruimte.
U kunt het volledige voordeel krijgen van de Microsoft Sentinel-ervaring wanneer u één werkruimte gebruikt. In sommige gevallen is het echter mogelijk dat u meerdere werkruimten hebt, zoals:
- Soevereiniteit en naleving van regelgeving: een werkruimte is gekoppeld aan een specifieke regio. Als gegevens in verschillende Azure-geografische gebieden moeten worden bewaard om te voldoen aan wettelijke vereisten, moeten ze worden gesplitst in afzonderlijke werkruimten.
- Eigendom van gegevens: De grenzen van gegevenseigendom, bijvoorbeeld door dochterondernemingen of gelieerde bedrijven, worden beter afgebakend met behulp van afzonderlijke werkruimten.
- Meerdere Azure-tenants: Microsoft Sentinel ondersteunt het verzamelen van gegevens van SaaS-resources (Software as a Service) van Microsoft en Azure alleen binnen de eigen Microsoft Entra-tenantgrens. Daarom vereist elke Microsoft Entra-tenant een afzonderlijke werkruimte.
Mogelijk hebt u vereisten, zoals de noodzaak om gedetailleerde controle te hebben over de toegang tot gegevens. Aan deze situaties wordt het beste voldaan door één werkruimte te gebruiken. De volgende tabel bevat enkele situaties en manieren waarop u het aantal werkruimten kunt verminderen.
| Vereiste | Omschrijving | Manieren om het aantal werkruimten te verminderen |
|---|---|---|
| Gedetailleerd toegangsbeheer voor gegevens | Een organisatie moet mogelijk verschillende groepen, binnen of buiten de organisatie, toegang geven tot een deel van de gegevens die Door Microsoft Sentinel worden verzameld. | Azure RBAC of Azure RBAC op tabelniveau gebruiken |
| Facturering splitsen | Door werkruimten in afzonderlijke abonnementen te plaatsen, kunnen ze factureren aan verschillende partijen. | Gebruiksrapportage en kruislings opladen |
| Verouderde architectuur | Het gebruik van meerdere werkruimten kan het gevolg zijn van een historisch ontwerp dat verouderde beperkingen of aanbevolen procedures beschouwt. Het kan ook een willekeurige ontwerpkeuze zijn die kan worden aangepast om Microsoft Sentinel beter te kunnen gebruiken. | Werkruimten opnieuw ontwerpen |
Architectuur voor meerdere werkruimten in Microsoft Sentinel
Er zijn gevallen waarin meerdere Microsoft Sentinel-werkruimten, mogelijk tussen Microsoft Entra-tenants, centraal moeten worden bewaakt en beheerd door één Security Operations Center, zoals:
- Een beheerde beveiligingsserviceprovider Microsoft Sentinel-service
- Een Security Operations Center dat meerdere Microsoft Entra-tenants in een organisatie bewaakt
- Een wereldwijd beveiligingscentrum dat meerdere dochterondernemingen bedient en elk een eigen lokaal security operations center heeft
Om aan deze vereiste te voldoen, biedt Microsoft Sentinel mogelijkheden voor meerdere werkruimten die centrale bewaking, configuratie en beheer mogelijk maken. Het biedt één beheerweergaveconsole voor alles wat in het Security Operations Center wordt behandeld.
Dit model met meerdere werkruimten biedt aanzienlijke voordelen ten opzichte van een volledig gecentraliseerd model waarin alle gegevens naar één werkruimte worden gekopieerd, zoals:
- Een flexibelere roltoewijzing aan de wereldwijde of lokale security Operations Center-teams of aan de beheerde beveiligingsserviceprovider voor zijn klanten
- Minder uitdagingen met betrekking tot gegevenseigendom, gegevensprivacy en naleving van regelgeving
- Minimale netwerklatentie en -kosten
- Eenvoudig onboarden en offboarding van nieuwe dochterondernemingen en klanten