Udostępnij za pośrednictwem

Przygotowanie wielu obszarów roboczych i dzierżaw w Microsoft Sentinel

Ważna

Po 31 marca 2027 r. Microsoft Sentinel nie będą już obsługiwane w Azure Portal i będą dostępne tylko w portalu Microsoft Defender. Wszyscy klienci korzystający z Microsoft Sentinel w Azure Portal zostaną przekierowane do portalu usługi Defender i będą używać Microsoft Sentinel tylko w portalu usługi Defender.

Jeśli nadal używasz Microsoft Sentinel w Azure Portal, zalecamy rozpoczęcie planowania przejścia do portalu usługi Defender w celu zapewnienia płynnego przejścia i pełnego wykorzystania ujednoliconego środowiska operacji zabezpieczeń oferowanego przez Microsoft Defender.

Aby przygotować się do wdrożenia, należy określić, czy architektura wielu obszarów roboczych jest odpowiednia dla danego środowiska. W tym artykule dowiesz się, jak Microsoft Sentinel można rozszerzyć na wiele obszarów roboczych i dzierżaw, aby określić, czy ta funkcja odpowiada potrzebom organizacji. Ten artykuł jest częścią przewodnika wdrażania dla Microsoft Sentinel.

Użyj jednego z następujących zestawów instrukcji konfiguracji, w zależności od tego, którego portalu używasz do rozszerzania Microsoft Sentinel w obszarach roboczych:

Portal Informacje
Portal usługi Microsoft Defender - Wiele obszarów roboczych Microsoft Sentinel w portalu usługi Defender
- zarządzanie wielodostępne Microsoft Defender
Azure Portal - Rozszerzanie Microsoft Sentinel między obszarami roboczymi i dzierżawami
- Centralne zarządzanie wieloma obszarami roboczymi usługi Log Analytics włączonymi dla Microsoft Sentinel za pomocą menedżera obszarów roboczych

Konieczność używania wielu obszarów roboczych

Po dołączeniu Microsoft Sentinel pierwszym krokiem jest wybranie obszaru roboczego usługi Log Analytics. Chociaż możesz w pełni korzystać z Microsoft Sentinel środowiska z jednym obszarem roboczym, w niektórych przypadkach warto rozszerzyć obszar roboczy w celu wykonywania zapytań i analizowania danych w obszarach roboczych i dzierżawach.

W tej tabeli wymieniono niektóre z tych scenariuszy i, jeśli to możliwe, sugeruje, jak można użyć jednego obszaru roboczego w tym scenariuszu.

Wymóg Opis Sposoby zmniejszania liczby obszarów roboczych
Niezależność i zgodność z przepisami Obszar roboczy jest powiązany z określonym regionem. Aby zachować dane w różnych Azure lokalizacji geograficznych w celu spełnienia wymagań prawnych, podziel dane na oddzielne obszary robocze.

W Microsoft Sentinel dane są głównie przechowywane i przetwarzane w tej samej lokalizacji geograficznej lub regionie, z pewnymi wyjątkami, takimi jak używanie reguł wykrywania korzystających z uczenia maszynowego firmy Microsoft. W takich przypadkach dane mogą być kopiowane poza obszarem roboczym geograficznym na potrzeby przetwarzania.
Własność danych Granice własności danych, na przykład przez podmioty zależne lub firmy powiązane, są lepiej wyznaczane przy użyciu oddzielnych obszarów roboczych.
Wiele dzierżaw Azure Microsoft Sentinel obsługuje zbieranie danych od firmy Microsoft i Azure zasobów SaaS tylko w ramach własnej granicy dzierżawy Microsoft Entra. W związku z tym każda dzierżawa Microsoft Entra wymaga oddzielnego obszaru roboczego.
Szczegółowa kontrola dostępu do danych Organizacja może wymagać zezwolenia różnym grupom w organizacji lub poza nią na dostęp do niektórych danych zebranych przez Microsoft Sentinel. Przykład:
  • Dostęp właścicieli zasobów do danych dotyczących ich zasobów
  • Dostęp regionalnych lub zależnych soc do danych istotnych dla ich części organizacji
 Używanie kontroli dostępu opartej na rolach Azure zasobów lub Azure rbac na poziomie tabeli
Szczegółowe ustawienia przechowywania W przeszłości wiele obszarów roboczych było jedynym sposobem ustawiania różnych okresów przechowywania dla różnych typów danych. Nie jest to już potrzebne w wielu przypadkach, dzięki wprowadzeniu ustawień przechowywania na poziomie tabeli. Używanie ustawień przechowywania na poziomie tabeli lub automatyzowanie usuwania danych
Dzielenie rozliczeń Dzięki umieszczeniu obszarów roboczych w oddzielnych subskrypcjach mogą być one rozliczane dla różnych stron. Raportowanie użycia i ładowanie krzyżowe
Starsza architektura Korzystanie z wielu obszarów roboczych może wynikać z historycznego projektu, który uwzględnia ograniczenia lub najlepsze rozwiązania, które nie są już prawdziwe. Może to być również dowolny wybór projektu, który można zmodyfikować, aby lepiej dopasować Microsoft Sentinel.

Na przykład:
  • Używanie domyślnego obszaru roboczego dla subskrypcji podczas wdrażania Microsoft Defender for Cloud
  • Potrzeba szczegółowych ustawień kontroli dostępu lub przechowywania, dla których rozwiązania są stosunkowo nowe
 Ponowne projektowanie obszarów roboczych

Podczas określania liczby dzierżaw i obszarów roboczych do użycia należy wziąć pod uwagę, że większość funkcji Microsoft Sentinel działa przy użyciu jednego obszaru roboczego lub wystąpienia Microsoft Sentinel, a Microsoft Sentinel pozyskuje wszystkie dzienniki przechowywane w obszarze roboczym.

Dostawca usług zabezpieczeń zarządzanych (MSSP)

W przypadku dostawcy mssp, wiele, jeśli nie wszystkie powyższe wymagania mają zastosowanie, dzięki czemu wiele obszarów roboczych w różnych dzierżawach jest najlepszym rozwiązaniem. W szczególności zalecamy utworzenie co najmniej jednego obszaru roboczego dla każdej dzierżawy Microsoft Entra w celu obsługi wbudowanych łączników danych usługi service to service, które działają tylko w ramach własnej dzierżawy Microsoft Entra.

  • Łączników opartych na ustawieniach diagnostycznych nie można połączyć z obszarem roboczym, który nie znajduje się w tej samej dzierżawie, w której znajduje się zasób. Dotyczy to łączników, takich jak Azure Firewall, Azure Storage, Azure Activity lub Microsoft Entra ID.

  • Łączniki danych partnera są często oparte na kolekcjach interfejsów API lub agentów i dlatego nie są dołączane do określonej dzierżawy Microsoft Entra.

Używanie usługi Azure Lighthouse do zarządzania wieloma wystąpieniami Microsoft Sentinel w różnych dzierżawach.u

Microsoft Sentinel architektury wielu obszarów roboczych

Zgodnie z powyższymi wymaganiami istnieją przypadki, w których pojedyncza usługa SOC musi centralnie zarządzać wieloma obszarami roboczymi usługi Log Analytics włączonymi dla Microsoft Sentinel, potencjalnie w dzierżawach Microsoft Entra.

  • Usługa Microsoft Sentinel MSSP.
  • Globalna soc obsługująca wiele spółek zależnych, z których każda ma swój własny lokalny soc.
  • Usługa SOC monitorująca wiele dzierżaw Microsoft Entra w organizacji.

Aby rozwiązać te problemy, Microsoft Sentinel oferuje możliwości wielu obszarów roboczych, które umożliwiają centralne monitorowanie, konfigurację i zarządzanie, zapewniając pojedyncze okienko szkła we wszystkich obszarach objętych soc. Na tym diagramie przedstawiono przykładową architekturę dla takich przypadków użycia.

Diagram przedstawiający rozszerzanie obszaru roboczego w wielu dzierżawach: architektura.

Ten model oferuje znaczące korzyści w stosunku do w pełni scentralizowanego modelu, w którym wszystkie dane są kopiowane do jednego obszaru roboczego:

  • Elastyczne przypisanie roli do globalnych i lokalnych soc lub do mssp swoich klientów.
  • Mniej wyzwań dotyczących własności danych, prywatności danych i zgodności z przepisami.
  • Minimalne opóźnienie sieci i opłaty.
  • Łatwe dołączanie i odłączanie nowych spółek zależnych lub klientów.

Następne kroki

W tym artykule przedstawiono sposób rozszerzania Microsoft Sentinel na wiele obszarów roboczych i dzierżaw.

Określanie priorytetów łączników danych

  • Last updated on