Projektowanie architektury obszaru roboczego usługi Microsoft Sentinel

  • Artykuł

Ten artykuł zawiera drzewo decyzyjne ułatwiające podejmowanie kluczowych decyzji dotyczących projektowania architektury obszaru roboczego usługi Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Przykładowe projekty obszarów roboczych usługi Microsoft Sentinel i najlepsze rozwiązania dotyczące architektury obszaru roboczego usługi Microsoft Sentinel. Ten artykuł jest częścią przewodnika wdrażania usługi Microsoft Sentinel.

Wymagania wstępne

Przed rozpoczęciem pracy z drzewem decyzyjnym upewnij się, że masz następujące informacje:

Wymaganie wstępne opis
Wymagania prawne dotyczące rezydencji danych platformy Azure Usługa Microsoft Sentinel może działać w większości obszarów roboczych, ale nie we wszystkich regionach obsługiwanych w ogólnie dostępnej wersji usługi Log Analytics. Dołączanie usługi Microsoft Sentinel do nowo obsługiwanych regionów usługi Log Analytics może zająć trochę czasu.

Dane generowane przez usługę Microsoft Sentinel, takie jak zdarzenia, zakładki i reguły analizy, mogą zawierać dane klienta pochodzące z obszarów roboczych usługi Log Analytics klienta.

Aby uzyskać więcej informacji, zobacz Dostępność geograficzna i miejsce przechowywania danych.
Źródła danych Dowiedz się, które źródła danych należy połączyć, w tym wbudowane łączniki z rozwiązaniami firmy Microsoft i firm innych niż Microsoft. Możesz również użyć formatu Common Event Format (CEF), dziennika systemowego lub interfejsu API REST, aby połączyć źródła danych z usługą Microsoft Sentinel.

Jeśli masz maszyny wirtualne platformy Azure w wielu lokalizacjach platformy Azure, z których musisz zbierać dzienniki, a oszczędności kosztów ruchu wychodzącego danych są dla Ciebie ważne, musisz obliczyć koszt ruchu wychodzącego danych przy użyciu kalkulatora cen przepustowości dla każdej lokalizacji platformy Azure.
Role użytkownika i poziomy dostępu do danych/uprawnienia Usługa Microsoft Sentinel używa kontroli dostępu opartej na rolach (RBAC) platformy Azure w celu zapewnienia wbudowanych ról , które można przypisać do użytkowników, grup i usług na platformie Azure.

Wszystkie wbudowane role usługi Microsoft Sentinel zapewniają dostęp do odczytu do danych w obszarze roboczym usługi Microsoft Sentinel. W związku z tym należy dowiedzieć się, czy istnieje potrzeba kontrolowania dostępu do danych na źródło danych lub na poziomie wiersza, ponieważ będzie to miało wpływ na decyzję projektową obszaru roboczego. Aby uzyskać więcej informacji, zobacz Role niestandardowe i zaawansowana kontrola dostępu oparta na rolach platformy Azure.
Dzienny współczynnik pozyskiwania Dzienny współczynnik pozyskiwania, zwykle w GB/dzień, jest jednym z kluczowych czynników związanych z zarządzaniem kosztami i planowaniem oraz projektowaniem obszaru roboczego dla usługi Microsoft Sentinel.

W większości środowisk w chmurze i hybrydowych urządzenia sieciowe, takie jak zapory lub serwery proxy, a serwery z systemami Windows i Linux generują najbardziej pozyskane dane. Aby uzyskać najdokładniejsze wyniki, firma Microsoft zaleca wyczerpujący spis źródeł danych.

Alternatywnie kalkulator kosztów usługi Microsoft Sentinel zawiera tabele przydatne do szacowania śladów źródeł danych.

Ważne: Te oszacowania są punktem wyjścia, a ustawienia szczegółowości dziennika i obciążenie spowodują wygenerowanie wariancji. Zalecamy regularne monitorowanie systemu w celu śledzenia wszelkich zmian. Regularne monitorowanie jest zalecane w zależności od scenariusza.

Aby uzyskać więcej informacji, zobacz artykuł Cennik usługi Azure Monitor Logs.

Drzewo decyzyjne

Na poniższej ilustracji przedstawiono pełny wykres blokowy drzewa decyzyjnego, który pomaga zrozumieć, jak najlepiej zaprojektować obszar roboczy.

Microsoft Sentinel workspace design decision tree.

W poniższych sekcjach przedstawiono pełną wersję tego drzewa decyzyjnego, w tym następujące uwagi, do których odwołuje się obraz:

Uwaga #1 #2 | #2 | Uwaga #3 | #4 | Uwaga #5 #5 | Uwaga #6 | #7 | Uwaga #8 #9 | | Uwaga #10

Krok 1. Nowy lub istniejący obszar roboczy?

Czy masz istniejący obszar roboczy, którego możesz użyć w usłudze Microsoft Sentinel?

  • Jeśli tak nie jest, a w każdym razie utworzysz nowy obszar roboczy , przejdź bezpośrednio do kroku 2.

  • Jeśli masz istniejący obszar roboczy , którego możesz użyć, zastanów się, ile danych będziesz pozyskiwać.

    • Jeśli będziesz pozyskiwać więcej niż 100 GB / dzień, zalecamy użycie oddzielnego obszaru roboczego ze względu na efektywność kosztową.

    • Jeśli będziesz pozyskiwać mniej niż 100 GB / dzień, kontynuuj krok 2 w celu dalszej oceny. Rozważ to pytanie ponownie, gdy wystąpi w kroku 5.

Krok 2. Przechowywanie danych w różnych lokalizacjach geograficznych platformy Azure?

  • Jeśli masz wymagania prawne dotyczące przechowywania danych w różnych lokalizacjach geograficznych platformy Azure, użyj oddzielnego obszaru roboczego usługi Microsoft Sentinel dla każdego regionu świadczenia usługi Azure, który ma wymagania dotyczące zgodności. Aby uzyskać więcej informacji, zobacz Zagadnienia dotyczące regionów.

  • Jeśli nie musisz przechowywać danych w różnych lokalizacjach geograficznych platformy Azure, przejdź do kroku 3.

Krok 3. Czy masz wiele dzierżaw platformy Azure?

  • Jeśli masz tylko jedną dzierżawę, przejdź bezpośrednio do kroku 4.

  • Jeśli masz wiele dzierżaw platformy Azure, zastanów się, czy zbierasz dzienniki specyficzne dla granicy dzierżawy, na przykład Office 365 lub Microsoft Defender XDR.

    • Jeśli nie masz żadnych dzienników specyficznych dla dzierżawy, przejdź bezpośrednio do kroku 4.

    • Jeśli zbierasz dzienniki specyficzne dla dzierżawy, użyj oddzielnego obszaru roboczego usługi Microsoft Sentinel dla każdej dzierżawy firmy Microsoft Entra. Kontynuuj krok 4, aby poznać inne zagadnienia.

      Uwaga drzewa decyzyjnego nr 1: Dzienniki specyficzne dla granic dzierżawy, na przykład z usługi Office 365 i Microsoft Defender dla Chmury, mogą być przechowywane tylko w obszarze roboczym w ramach tej samej dzierżawy.

      Chociaż można używać niestandardowych modułów zbierających do zbierania dzienników specyficznych dla dzierżawy z obszaru roboczego w innej dzierżawie, nie zalecamy tego ze względu na następujące wady:

      • Dane zbierane przez łączniki niestandardowe zostaną pozyskane do tabel niestandardowych. W związku z tym nie będzie można używać wszystkich wbudowanych reguł i skoroszytów.
      • Tabele niestandardowe nie są brane pod uwagę przez niektóre wbudowane funkcje, takie jak UEBA i reguły uczenia maszynowego.
      • Dodatkowe koszty i nakład pracy wymagany dla łączników niestandardowych, takich jak korzystanie z usług Azure Functions i Logic Apps.

      Jeśli te wady nie są problemem dla twojej organizacji, kontynuuj krok 4 zamiast korzystać z oddzielnych obszarów roboczych usługi Microsoft Sentinel.

Krok 4. Dzielenie rozliczeń/ zwrotu opłat?

Jeśli musisz podzielić rozliczenia lub obciążenie zwrotne, zastanów się, czy raportowanie użycia czy ręczne opłaty krzyżowe działają dla Ciebie.

  • Jeśli nie musisz dzielić rozliczeń ani obciążeń zwrotnych, przejdź do kroku 5.

  • Jeśli musisz podzielić rozliczenia lub zwrot kosztów, rozważ użycie ręcznego naliczania opłat krzyżowych. Aby uzyskać dokładne koszty dla jednostki, możesz użyć zmodyfikowanej wersji skoroszytu kosztu usługi Microsoft Sentinel, który dzieli koszt według jednostki.

    • Jeśli raportowanie użycia lub ręczne ładowanie krzyżowe działa, przejdź do kroku 5.

    • Jeśli żadne raportowanie użycia ani ręczne pobieranie krzyżowe nie będzie dla Ciebie działać, użyj oddzielnego obszaru roboczego usługi Microsoft Sentinel dla każdego właściciela kosztów.

    Uwaga drzewa decyzyjnego nr 2: Aby uzyskać więcej informacji, zobacz Koszty i rozliczenia usługi Microsoft Sentinel.

Krok 5. Zbieranie danych innych niż SOC?

  • Jeśli nie zbierasz żadnych danych innych niż SOC, takich jak dane operacyjne, możesz przejść bezpośrednio do kroku 6.

  • W przypadku zbierania danych innych niż SOC należy rozważyć, czy istnieją jakiekolwiek nakładające się dane, w których to samo źródło danych jest wymagane zarówno dla danych SOC, jak i innych niż SOC.

    Jeśli dane SOC i inne niż SOC nakładają się na siebie, traktuj nakładające się dane tylko jako dane SOC. Następnie zastanów się, czy pozyskiwanie danych SOC i innych niż SOC indywidualnie jest mniejsze niż 100 GB / dzień, ale więcej niż 100 GB / dzień w połączeniu:

    W obu przypadkach, aby uzyskać więcej informacji, zobacz uwaga 10.

    Jeśli nie masz nakładających się danych, rozważ, czy pozyskiwanie danych SOC i innych niż SOC pojedynczo jest mniejsze niż 100 GB / dzień, ale więcej niż 100 GB / dzień w połączeniu:

Łączenie danych SOC i innych niż SOC

Uwaga drzewa decyzyjnego nr 3: Chociaż ogólnie zalecamy, aby klienci zachowali oddzielny obszar roboczy dla danych innych niż SOC, tak aby dane inne niż SOC nie były objęte kosztami usługi Microsoft Sentinel, mogą wystąpić sytuacje, w których połączenie danych SOC i innych niż SOC jest tańsze niż oddzielenie ich.

Rozważmy na przykład organizację, która ma dzienniki zabezpieczeń pozyskiwane na poziomie 50 GB/dzień, dzienniki operacji pozyskiwane na poziomie 50 GB/dzień oraz obszar roboczy w regionie Wschodnie stany USA.

W poniższej tabeli porównaliśmy opcje obszaru roboczego z oddzielnymi obszarami roboczymi i bez ich używania.

Uwaga

Koszty i terminy wymienione w poniższej tabeli są fałszywe i używane tylko do celów ilustracyjnych. Aby uzyskać aktualne informacje o kosztach, zobacz kalkulator cen usługi Microsoft Sentinel.

Architektura obszaru roboczego opis
Zespół SOC ma własny obszar roboczy z włączoną usługą Microsoft Sentinel.

Zespół ds. operacji ma własny obszar roboczy bez włączonej usługi Microsoft Sentinel.		 Zespół SOC:
Koszt usługi Microsoft Sentinel za 50 GB/dzień wynosi 6500 USD miesięcznie.
Pierwsze trzy miesiące przechowywania są bezpłatne.

Zespół ds. operacji:
- Koszt usługi Log Analytics na 50 GB/dzień wynosi około 3500 USD miesięcznie.
- Pierwsze 31 dni przechowywania są bezpłatne.

Łączny koszt obu wynosi 10 000 USD miesięcznie.
Zespoły SOC i Ops współdzielą ten sam obszar roboczy z włączoną usługą Microsoft Sentinel. Łącząc oba dzienniki, pozyskiwanie będzie wynosić 100 GB /dzień, kwalifikując się do uprawnień do warstwy zobowiązania (50% dla usługi Sentinel i 15% dla LA).

Koszt usługi Microsoft Sentinel za 100 GB / dzień wynosi 9000 USD miesięcznie.

W tym przykładzie będziesz mieć oszczędności w wysokości 1000 USD miesięcznie, łącząc oba obszary robocze, a zespół ds. operacji będzie również korzystać z 3 miesięcy bezpłatnego przechowywania zamiast tylko 31 dni.

Ten przykład ma zastosowanie tylko wtedy, gdy dane SOC i inne niż SOC mają rozmiar >pozyskiwania = 50 GB/dzień i <100 GB/dzień.

Uwaga drzewa decyzyjnego nr 10: Zalecamy używanie oddzielnego obszaru roboczego dla danych innych niż SOC, aby dane inne niż SOC nie podlegały kosztom usługi Microsoft Sentinel.

Jednak to zalecenie dla oddzielnych obszarów roboczych dla danych innych niż SOC pochodzi z czysto opartej na kosztach perspektywy i istnieją inne kluczowe czynniki projektowe do zbadania podczas określania, czy używać jednego lub wielu obszarów roboczych. Aby uniknąć podwójnych kosztów pozyskiwania, rozważ zebranie nakładających się danych w jednym obszarze roboczym tylko w przypadku kontroli dostępu opartej na rolach platformy Azure na poziomie tabeli.

Krok 6. Wiele regionów?

  • Jeśli zbierasz dzienniki z maszyn wirtualnych platformy Azure tylko w jednym regionie, przejdź bezpośrednio do kroku 7.

  • Jeśli zbierasz dzienniki z maszyn wirtualnych platformy Azure w wielu regionach, jak bardzo interesuje Cię koszt ruchu wychodzącego danych?

    Uwaga drzewa decyzyjnego nr 4: Ruch wychodzący danych odnosi się do kosztu przepustowości przenoszenia danych z centrów danych platformy Azure. Aby uzyskać więcej informacji, zobacz Zagadnienia dotyczące regionów.

    • Jeśli zmniejszenie nakładu pracy wymaganego do utrzymania oddzielnych obszarów roboczych jest priorytetem, przejdź do kroku 7.

    • Jeśli koszt ruchu wychodzącego danych jest wystarczający, aby zachować oddzielne obszary robocze, użyj oddzielnego obszaru roboczego usługi Microsoft Sentinel dla każdego regionu, w którym potrzebujesz zmniejszyć koszt ruchu wychodzącego danych.

      Uwaga drzewa decyzyjnego nr 5: Zalecamy, aby mieć jak najwięcej obszarów roboczych. Skorzystaj z kalkulatora cen platformy Azure, aby oszacować koszt i określić, które regiony są rzeczywiście potrzebne, i połączyć obszary robocze dla regionów z niskimi kosztami ruchu wychodzącego. Koszty przepustowości mogą być tylko niewielką częścią rachunku za korzystanie z platformy Azure w porównaniu z oddzielnymi kosztami pozyskiwania usług Microsoft Sentinel i Log Analytics.

      Na przykład koszt może być szacowany w następujący sposób:

      • 1000 maszyn wirtualnych, z których każda generuje 1 GB/dzień;
      • Wysyłanie danych z regionu USA do regionu UE;
      • Używanie współczynnika kompresji 2:1 w agencie

      Obliczenie tego szacunkowego kosztu będzie następujące: 1000 VMs * (1GB/day ÷ 2) * 30 days/month * $0.05/GB = $750/month bandwidth cost

      Ten przykładowy koszt byłby znacznie niższy w porównaniu z miesięcznymi kosztami oddzielnego obszaru roboczego usługi Microsoft Sentinel i usługi Log Analytics.

      Uwaga

      Wymienione koszty są fałszywe i są używane tylko do celów ilustracyjnych. Aby uzyskać aktualne informacje o kosztach, zobacz kalkulator cen usługi Microsoft Sentinel.

Krok 7. Segregowanie danych lub definiowanie granic przez własność?

  • Jeśli nie musisz segregować danych ani definiować granic własności, przejdź bezpośrednio do kroku 8.

  • Jeśli musisz segregować dane lub definiować granice na podstawie własności, czy każdy właściciel danych musi korzystać z portalu usługi Microsoft Sentinel?

    • Jeśli każdy właściciel danych musi mieć dostęp do portalu usługi Microsoft Sentinel, użyj oddzielnego obszaru roboczego usługi Microsoft Sentinel dla każdego właściciela.

      Uwaga drzewa decyzyjnego nr 6: Dostęp do portalu usługi Microsoft Sentinel wymaga, aby każdy użytkownik miał rolę co najmniej czytelnika usługi Microsoft Sentinel z uprawnieniami Czytelnik we wszystkich tabelach w obszarze roboczym. Jeśli użytkownik nie ma dostępu do wszystkich tabel w obszarze roboczym, musi użyć usługi Log Analytics, aby uzyskać dostęp do dzienników w zapytaniach wyszukiwania.

    • Jeśli dostęp do dzienników za pośrednictwem usługi Log Analytics jest wystarczający dla wszystkich właścicieli bez dostępu do portalu usługi Microsoft Sentinel, przejdź do kroku 8.

    Aby uzyskać więcej informacji, zobacz Uprawnienia w usłudze Microsoft Sentinel.

Krok 8. Kontrolowanie dostępu do danych według źródła danych/tabeli?

  • Jeśli nie musisz kontrolować dostępu do danych według źródła lub tabeli, użyj jednego obszaru roboczego usługi Microsoft Sentinel.

  • Jeśli musisz kontrolować dostęp do danych według źródła lub tabeli, rozważ użycie kontroli dostępu opartej na rolach w kontekście zasobów w następujących sytuacjach:

    • Jeśli musisz kontrolować dostęp na poziomie wiersza, na przykład zapewnić wielu właścicieli w każdym źródle danych lub tabeli

    • Jeśli masz wiele niestandardowych źródeł danych/tabel, w których każda z nich potrzebuje oddzielnych uprawnień

    W innych przypadkach, gdy nie musisz kontrolować dostępu na poziomie wiersza, podaj wiele niestandardowych źródeł danych/tabel z oddzielnymi uprawnieniami, użyj jednego obszaru roboczego usługi Microsoft Sentinel z kontrolą dostępu na poziomie tabeli na poziomie tabeli.

Zagadnienia dotyczące kontroli dostępu opartej na rolach na poziomie zasobu lub tabeli

Podczas planowania korzystania z kontroli dostępu opartej na rolach na poziomie zasobów lub tabeli należy wziąć pod uwagę następujące informacje:

Następne kroki

W tym artykule zapoznaliśmy się z drzewem decyzyjnym, aby ułatwić podejmowanie kluczowych decyzji dotyczących projektowania architektury obszaru roboczego usługi Microsoft Sentinel.

Przykładowe projekty obszarów roboczych usługi Microsoft Sentinel