Przygotowanie do obsługi wielu obszarów roboczych i dzierżaw w usłudze Microsoft Sentinel
Aby przygotować się do wdrożenia, należy określić, czy dla danego środowiska jest odpowiednia architektura wielu obszarów roboczych. Z tego artykułu dowiesz się, jak usługa Microsoft Sentinel może rozszerzać wiele obszarów roboczych i dzierżaw, aby określić, czy ta funkcja odpowiada potrzebom organizacji. Ten artykuł jest częścią przewodnika wdrażania usługi Microsoft Sentinel.
Jeśli zdecydujesz się skonfigurować środowisko w celu rozszerzenia między obszarami roboczymi, zobacz Rozszerzanie usługi Microsoft Sentinel między obszarami roboczymi i dzierżawami oraz Centralne zarządzanie wieloma obszarami roboczymi usługi Microsoft Sentinel za pomocą menedżera obszarów roboczych.
Konieczność korzystania z wielu obszarów roboczych usługi Microsoft Sentinel
Podczas dołączania usługi Microsoft Sentinel pierwszym krokiem jest wybranie obszaru roboczego usługi Log Analytics. Chociaż możesz uzyskać pełną korzyść z korzystania z usługi Microsoft Sentinel w jednym obszarze roboczym, w niektórych przypadkach możesz rozszerzyć obszar roboczy w celu wykonywania zapytań i analizowania danych między obszarami roboczymi i dzierżawami.
W tej tabeli wymieniono niektóre z tych scenariuszy i, jeśli to możliwe, sugeruje, jak można użyć jednego obszaru roboczego w scenariuszu.
| Wymaganie | opis | Sposoby zmniejszania liczby obszarów roboczych |
|---|---|---|
| Niezależność i zgodność z przepisami | Obszar roboczy jest powiązany z określonym regionem. Aby zachować dane w różnych lokalizacjach geograficznych platformy Azure w celu spełnienia wymagań prawnych, podziel dane na oddzielne obszary robocze. | |
| Własność danych | Granice własności danych, na przykład przez spółki zależne lub powiązane firmy, są lepiej rozdzielone przy użyciu oddzielnych obszarów roboczych. | |
| Wiele dzierżaw platformy Azure | Usługa Microsoft Sentinel obsługuje zbieranie danych z zasobów Microsoft i Azure SaaS tylko w ramach własnej granicy dzierżawy firmy Microsoft Entra. W związku z tym każda dzierżawa firmy Microsoft Entra wymaga oddzielnego obszaru roboczego. | |
| Szczegółowa kontrola dostępu do danych | Aby uzyskać dostęp do niektórych danych zebranych przez usługę Microsoft Sentinel, organizacja może wymagać zezwolenia na dostęp do różnych grup w organizacji lub poza organizacją. Przykład:
|
Używanie kontroli dostępu opartej na rolach platformy Azure lub kontroli dostępu opartej na rolach platformy Azure na poziomie tabeli zasobów |
| Szczegółowe ustawienia przechowywania | Historycznie wiele obszarów roboczych było jedynym sposobem ustawiania różnych okresów przechowywania dla różnych typów danych. Nie jest to już potrzebne w wielu przypadkach dzięki wprowadzeniu ustawień przechowywania na poziomie tabeli. | Używanie ustawień przechowywania na poziomie tabeli lub automatyzowanie usuwania danych |
| Podział rozliczeń | Umieszczając obszary robocze w oddzielnych subskrypcjach, mogą być rozliczane dla różnych stron. | Raportowanie użycia i naliczanie krzyżowe |
| Starsza architektura | Korzystanie z wielu obszarów roboczych może wynikać z projektu historycznego, który uwzględnia ograniczenia lub najlepsze rozwiązania, które nie są już prawdziwe. Może to być również dowolny wybór projektu, który można zmodyfikować, aby lepiej pomieścić usługę Microsoft Sentinel. Oto kilka przykładów:
|
Zmiana architektury obszarów roboczych |
Zarządzany dostawca usług zabezpieczeń (MSSP)
W przypadku programu MSSP wiele, jeśli nie wszystkie powyższe wymagania mają zastosowanie, co czyni wiele obszarów roboczych w różnych dzierżawach najlepszym rozwiązaniem. Program MSSP może używać usługi Azure Lighthouse do rozszerzania możliwości między obszarami roboczymi usługi Microsoft Sentinel między dzierżawami.
Architektura wielu obszarów roboczych usługi Microsoft Sentinel
Zgodnie z powyższymi wymaganiami istnieją przypadki, w których pojedyncza usługa SOC musi centralnie zarządzać wieloma obszarami roboczymi usługi Microsoft Sentinel i monitorować je potencjalnie w dzierżawach firmy Microsoft Entra.
Usługa Microsoft Sentinel w programie MSSP.
Globalna soc obsługująca wiele spółek zależnych, z których każda ma własną lokalną soc.
SoC monitorowanie wielu dzierżaw firmy Microsoft Entra w organizacji.
Aby rozwiązać te problemy, usługa Microsoft Sentinel oferuje funkcje wielu obszarów roboczych, które umożliwiają centralne monitorowanie, konfigurację i zarządzanie, zapewniając jedno okienko szkła we wszystkich elementach objętych soc. Ten diagram przedstawia przykładową architekturę dla takich przypadków użycia.
Ten model oferuje znaczne korzyści w stosunku do w pełni scentralizowanego modelu, w którym wszystkie dane są kopiowane do jednego obszaru roboczego:
Elastyczne przypisanie roli do globalnych i lokalnych kontrolerów SOC lub do dostawcy usług w chmurze swoich klientów.
Mniej wyzwań związanych z własnością danych, prywatnością danych i zgodnością z przepisami.
Minimalne opóźnienia sieci i koszty.
Łatwe dołączanie i odłączanie nowych spółek zależnych lub klientów.
W poniższych sekcjach wyjaśnimy, jak obsługiwać ten model, a w szczególności jak:
Centralnie monitoruj wiele obszarów roboczych, potencjalnie między dzierżawami, zapewniając SOC za pomocą jednego okienka szkła.
Centralnie konfiguruj wiele obszarów roboczych, potencjalnie między dzierżawami i zarządzaj nimi przy użyciu automatyzacji.
Następne kroki
W tym artykule przedstawiono, jak usługa Microsoft Sentinel może rozszerzać wiele obszarów roboczych i dzierżaw.