Udostępnij za pośrednictwem

Przykładowe projekty obszarów roboczych usługi Log Analytics dla usługi Microsoft Sentinel

  • Artykuł

W tym artykule opisano sugerowane projekty obszarów roboczych usługi Log Analytics dla organizacji z następującymi przykładowymi wymaganiami:

  • Wiele dzierżaw i regionów z wymaganiami dotyczącymi niezależności danych europejskich
  • Jedna dzierżawa z wieloma chmurami
  • Wiele dzierżaw z wieloma regionami i scentralizowanymi zabezpieczeniami

Aby uzyskać więcej informacji, zobacz Projektowanie architektury obszaru roboczego usługi Log Analytics.

Ten artykuł jest częścią przewodnika wdrażania usługi Microsoft Sentinel.

Przykład 1: wiele dzierżaw i regionów

Contoso Corporation to międzynarodowa firma z siedzibą w Londynie. Firma Contoso ma biura na całym świecie, z ważnymi centrami w Nowym Jorku i Tokio. Ostatnio firma Contoso przeprowadziła migrację pakietu produktywności do usługi Office 365, a wiele obciążeń zostało zmigrowanych na platformę Azure.

Dzierżawy firmy Contoso

Ze względu na przejęcie kilka lat temu firma Contoso ma dwie dzierżawy firmy Microsoft Entra: contoso.onmicrosoft.com i wingtip.onmicrosoft.com. Każda dzierżawa ma własne wystąpienie usługi Office 365 i wiele subskrypcji platformy Azure, jak pokazano na poniższej ilustracji:

Diagram dzierżaw firmy Contoso z oddzielnymi zestawami subskrypcji.

Zgodność firmy Contoso i wdrażanie regionalne

Firma Contoso ma obecnie zasoby platformy Azure hostowane w trzech różnych regionach: Wschodnie stany USA, Europa Północna i Japonia Zachodnia oraz ścisłe wymaganie zachowania wszystkich danych generowanych w regionach Europy.

Obie dzierżawy firmy Microsoft Entra firmy Contoso mają zasoby we wszystkich trzech regionach: Wschodnie stany USA, Europa Północna i Japonia Zachodnia

Wymagania dotyczące typów zasobów i kolekcji firmy Contoso

Firma Contoso musi zbierać zdarzenia z następujących źródeł danych:

  • Office 365
  • Dzienniki logowania i inspekcji firmy Microsoft Entra
  • Działanie platformy Azure
  • Zabezpieczenia Windows zdarzenia z lokalnych i źródeł maszyn wirtualnych platformy Azure
  • Dziennik systemowy ze źródeł lokalnych i maszyn wirtualnych platformy Azure
  • CEF z wielu lokalnych urządzeń sieciowych, takich jak Palo Alto, Cisco ASA i Cisco Meraki
  • Wiele zasobów usługi Azure PaaS, takich jak Azure Firewall, AKS, Key Vault, Azure Storage i Azure SQL
  • Cisco Umbrella

Maszyny wirtualne platformy Azure znajdują się głównie w regionie Europa Północna, a tylko kilka w regionie Wschodnie stany USA i Japonia Zachodnia. Firma Contoso używa usługi Microsoft Defender dla serwerów na wszystkich maszynach wirtualnych platformy Azure.

Firma Contoso oczekuje pozyskiwania około 300 GB/dzień ze wszystkich źródeł danych.

Wymagania dotyczące dostępu firmy Contoso

Środowisko platformy Azure firmy Contoso ma już jeden istniejący obszar roboczy usługi Log Analytics używany przez zespół operacyjny do monitorowania infrastruktury. Ten obszar roboczy znajduje się w dzierżawie firmy Microsoft Microsoft Entra w regionie Europa Północna i jest używany do zbierania dzienników z maszyn wirtualnych platformy Azure we wszystkich regionach. Obecnie pozyskują około 50 GB/dzień.

Zespół ds. operacji firmy Contoso musi mieć dostęp do wszystkich dzienników, które obecnie znajdują się w obszarze roboczym, w tym kilku typów danych, które nie są potrzebne przez soc, takie jak Perf, InsightsMetrics, ContainerLog i inne. Zespół operacyjny nie może mieć dostępu do nowych dzienników zebranych w usłudze Microsoft Sentinel.

Rozwiązanie firmy Contoso

Rozwiązanie Constoso obejmuje następujące zagadnienia:

  • Firma Contoso ma już istniejący obszar roboczy i chce eksplorować włączanie usługi Microsoft Sentinel w tym samym obszarze roboczym.
  • Firma Contoso ma wymagania prawne, więc potrzebujemy co najmniej jednego obszaru roboczego usługi Log Analytics włączonego dla usługi Microsoft Sentinel w Europie.
  • Większość maszyn wirtualnych firmy Contoso jest regionem PÓŁNOCNO-zachodnim, w którym mają już obszar roboczy. W związku z tym w tym przypadku koszty przepustowości nie są problemem.
  • Firma Contoso ma dwie różne dzierżawy firmy Microsoft Entra i zbiera dane ze źródeł danych na poziomie dzierżawy, takich jak logowanie się do usługi Office 365 i dzienniki inspekcji firmy Microsoft Entra i potrzebujemy co najmniej jednego obszaru roboczego na dzierżawę.
  • Firma Contoso musi zbierać dane inne niż SOC, chociaż nie ma żadnych nakładających się danych SOC i innych niż SOC. Ponadto dane SOC odpowiadają za około 250 GB/dzień, dlatego powinny używać oddzielnych obszarów roboczych ze względu na efektywność kosztową.
  • Firma Contoso ma jeden zespół SOC, który będzie używać usługi Microsoft Sentinel, więc nie jest potrzebne żadne dodatkowe rozdzielenie.
  • Wszyscy członkowie zespołu SOC firmy Contoso będą mieli dostęp do wszystkich danych, więc nie jest potrzebne żadne dodatkowe rozdzielenie.

Wynikowy projekt obszaru roboczego dla firmy Contoso przedstawiono na poniższej ilustracji:

Diagram rozwiązania firmy Contoso z oddzielnym obszarem roboczym dla zespołu ds. operacji.

Sugerowane rozwiązanie obejmuje:

  • Oddzielny obszar roboczy usługi Log Analytics dla zespołu ds. operacji firmy Contoso. Ten obszar roboczy będzie zawierać tylko dane, które nie są potrzebne przez zespół SOC firmy Contoso, takie jak tabele Perf, InsightsMetrics lub ContainerLog .
  • Dla usługi Microsoft Sentinel włączono dwa obszary robocze usługi Log Analytics, po jednym w każdej dzierżawie usługi Microsoft Entra, w celu pozyskiwania danych z usługi Office 365, działań platformy Azure, identyfikatora Entra firmy Microsoft i wszystkich usług PaaS platformy Azure.
  • Wszystkie inne dane pochodzące z lokalnych źródeł danych mogą być kierowane do jednego z dwóch obszarów roboczych.

Przykład 2. Pojedyncza dzierżawa z wieloma chmurami

Fabrikam to organizacja z siedzibą w Nowym Jorku i biurami w całym Stany Zjednoczone. Firma Fabrikam rozpoczyna swoją podróż do chmury i nadal musi wdrożyć swoją pierwszą strefę docelową platformy Azure i zmigrować swoje pierwsze obciążenia. Firma Fabrikam ma już pewne obciążenia na platformie AWS, które zamierzają monitorować przy użyciu usługi Microsoft Sentinel.

Wymagania dotyczące dzierżawy firmy Fabrikam

Firma Fabrikam ma jedną dzierżawę firmy Microsoft Entra.

Zgodność firmy Fabrikam i wdrażanie regionalne

Firma Fabrikam nie ma wymagań dotyczących zgodności. Firma Fabrikam ma zasoby w kilku regionach świadczenia usługi Azure znajdujących się w Stanach Zjednoczonych, ale koszty przepustowości w różnych regionach nie są poważnym problemem.

Wymagania dotyczące typów zasobów i kolekcji firmy Fabrikam

Firma Fabrikam musi zbierać zdarzenia z następujących źródeł danych:

  • Dzienniki logowania i inspekcji firmy Microsoft Entra
  • Działanie platformy Azure
  • Zdarzenia zabezpieczeń pochodzące zarówno ze źródeł lokalnych, jak i z maszyn wirtualnych platformy Azure
  • Zdarzenia systemu Windows z lokalnych i źródeł maszyn wirtualnych platformy Azure
  • Dane wydajności z lokalnych i źródeł maszyn wirtualnych platformy Azure
  • Usługa CloudTrail na platformie AWS
  • Dzienniki inspekcji i wydajności usługi AKS

Wymagania dotyczące dostępu do firmy Fabrikam

Zespół ds. operacji firmy Fabrikam musi uzyskać dostęp do następujących elementów:

  • Zdarzenia zabezpieczeń i zdarzenia systemu Windows z lokalnych i źródeł maszyn wirtualnych platformy Azure
  • Dane wydajności z lokalnych i źródeł maszyn wirtualnych platformy Azure
  • Wydajność usługi AKS (Container Insights) i dzienniki inspekcji
  • Wszystkie dane aktywności platformy Azure

Zespół SOC firmy Fabrikam musi uzyskać dostęp do:

  • Dzienniki logowania i inspekcji firmy Microsoft Entra
  • Wszystkie dane aktywności platformy Azure
  • Zdarzenia zabezpieczeń pochodzące zarówno ze źródeł lokalnych, jak i z maszyn wirtualnych platformy Azure
  • Dzienniki usługi CLOUDTrail platformy AWS
  • Dzienniki inspekcji usługi AKS
  • Pełny portal usługi Microsoft Sentinel

Rozwiązanie firmy Fabrikam

Rozwiązanie firmy Fabrikam obejmuje następujące zagadnienia:

  • Firma Fabrikam nie ma istniejącego obszaru roboczego, dlatego automatycznie będą potrzebować nowego obszaru roboczego.

  • Firma Fabrikam nie ma wymagań prawnych, które wymagają od nich przechowywania oddzielnych danych.

  • Firma Fabrikam ma jednodostępne środowisko i nie potrzebuje oddzielnych obszarów roboczych na dzierżawę.

  • Jednak firma Fabrikam będzie potrzebować oddzielnych obszarów roboczych dla swoich zespołów SOC i Operations.

    Zespół ds. operacji firmy Fabrikam musi zbierać dane dotyczące wydajności zarówno z maszyn wirtualnych, jak i usługi AKS. Ponieważ usługa AKS jest oparta na ustawieniach diagnostycznych, może wybrać określone dzienniki do wysyłania do określonych obszarów roboczych. Firma Fabrikam może wysyłać dzienniki inspekcji usługi AKS do obszaru roboczego usługi Log Analytics włączonego dla usługi Microsoft Sentinel, a wszystkie dzienniki usługi AKS do oddzielnego obszaru roboczego, w którym usługa Microsoft Sentinel nie jest włączona. W obszarze roboczym, w którym usługa Microsoft Sentinel nie jest włączona, firma Fabrikam włączy rozwiązanie Container Insights.

    W przypadku maszyn wirtualnych z systemem Windows firma Fabrikam może użyć agenta monitorowania platformy Azure (AMA) do podzielenia dzienników, wysyłania zdarzeń zabezpieczeń do obszaru roboczego oraz wydajności i zdarzeń systemu Windows do obszaru roboczego bez usługi Microsoft Sentinel.

    Firma Fabrikam decyduje się wziąć pod uwagę nakładające się dane, takie jak zdarzenia zabezpieczeń i zdarzenia aktywności platformy Azure, jako tylko dane SOC, i wysyła te dane do obszaru roboczego za pomocą usługi Microsoft Sentinel.

  • Fabrikam musi kontrolować dostęp do nakładających się danych, w tym zdarzeń zabezpieczeń i zdarzeń aktywności platformy Azure, ale nie ma wymagania na poziomie wiersza. Ponieważ zdarzenia zabezpieczeń i zdarzenia aktywności platformy Azure nie są dziennikami niestandardowymi, firma Fabrikam może użyć kontroli dostępu opartej na rolach na poziomie tabeli w celu udzielenia dostępu do tych dwóch tabel zespołowi ds. operacji.

Wynikowy projekt obszaru roboczego dla firmy Fabrikam przedstawiono na poniższej ilustracji, w tym tylko kluczowe źródła dzienników dla uproszczenia projektu:

Diagram rozwiązania firmy Fabrikam z oddzielnym obszarem roboczym dla zespołu ds. operacji.

Sugerowane rozwiązanie obejmuje:

  • Dwa oddzielne obszary robocze w regionie USA: jeden dla zespołu SOC z włączoną usługą Microsoft Sentinel, a drugi dla zespołu operacje bez usługi Microsoft Sentinel.
  • Agent monitorowania platformy Azure (AMA) służący do określania, które dzienniki są wysyłane do każdego obszaru roboczego z platformy Azure i lokalnych maszyn wirtualnych.
  • Ustawienia diagnostyczne używane do określania, które dzienniki są wysyłane do każdego obszaru roboczego z zasobów platformy Azure, takich jak usługa AKS.
  • Nakładające się dane wysyłane do obszaru roboczego usługi Log Analytics włączonego dla usługi Microsoft Sentinel z kontrolą dostępu na podstawie ról na poziomie tabeli w celu udzielenia dostępu zespołowi ds. operacji zgodnie z potrzebami.

Przykład 3. Wiele dzierżaw i regionów oraz scentralizowane zabezpieczenia

Adventure Works to międzynarodowa firma z siedzibą w Tokio. Firma Adventure Works ma 10 różnych jednostek podrzędnych z siedzibą w różnych krajach/regionach na całym świecie.

Firma Adventure Works jest klientem platformy Microsoft 365 E5 i ma już obciążenia na platformie Azure.

Wymagania dotyczące dzierżawy firmy Adventure Works

Firma Adventure Works ma trzy różne dzierżawy firmy Microsoft Entra, po jednym dla każdego z kontynentów, na których mają jednostki podrzędne: Azja, Europa i Afryka. Różne kraje/regiony podrzędne mają swoje tożsamości w dzierżawie kontynentu, do którego należą. Na przykład japońscy użytkownicy znajdują się w dzierżawie azja, niemieccy użytkownicy znajdują się w dzierżawie Europa , a egipscy użytkownicy znajdują się w dzierżawie Afryki .

Zgodność firmy Adventure Works i wymagania regionalne

Firma Adventure Works obecnie używa trzech regionów platformy Azure, z których każda jest zgodna z kontynentem, w którym znajdują się podjednostki. Firma Adventure Works nie ma rygorystycznych wymagań dotyczących zgodności.

Typy zasobów i wymagania dotyczące kolekcji firmy Adventure Works

Firma Adventure Works musi zebrać następujące źródła danych dla każdej jednostki podrzędnej:

  • Dzienniki logowania i inspekcji firmy Microsoft Entra
  • Dzienniki usługi Office 365
  • Nieprzetworzone dzienniki usługi Microsoft Defender XDR dla punktu końcowego
  • Działanie platformy Azure
  • Microsoft Defender for Cloud
  • Zasoby usługi Azure PaaS, takie jak z usług Azure Firewall, Azure Storage, Azure SQL i Azure WAF
  • Zabezpieczenia i zdarzenia systemu Windows z maszyn wirtualnych platformy Azure
  • Dzienniki CEF z lokalnych urządzeń sieciowych

Maszyny wirtualne platformy Azure są rozproszone na trzech kontynentach, ale koszty przepustowości nie są problemem.

Wymagania dotyczące dostępu firmy Adventure Works

Firma Adventure Works ma jeden, scentralizowany zespół SOC, który nadzoruje operacje zabezpieczeń dla wszystkich różnych jednostek podrzędnych.

Firma Adventure Works ma również trzy niezależne zespoły SOC, po jednym dla każdego z kontynentów. Zespół SOC każdego kontynentu powinien mieć dostęp tylko do danych wygenerowanych w jego regionie bez wyświetlania danych z innych kontynentów. Na przykład zespół SOC Azji powinien uzyskiwać dostęp tylko do danych z zasobów platformy Azure wdrożonych w Azji, logowań firmy Microsoft Entra z dzierżawy Azji i dzienników usługi Defender for Endpoint z dzierżawy w Azji.

Zespół SOC każdego kontynentu musi uzyskać dostęp do pełnego środowiska portalu usługi Microsoft Sentinel.

Zespół operacyjny firmy Adventure Works działa niezależnie i ma własne obszary robocze bez usługi Microsoft Sentinel.

Rozwiązanie Adventure Works

Rozwiązanie Adventure Works obejmuje następujące zagadnienia:

  • Zespół ds. operacji firmy Adventure Works ma już własne obszary robocze, więc nie ma potrzeby tworzenia nowego.

  • Firma Adventure Works nie ma wymagań prawnych, które wymagają od nich oddzielenia danych.

  • Firma Adventure Works ma trzy dzierżawy firmy Microsoft Entra i musi zbierać źródła danych na poziomie dzierżawy, takie jak dzienniki usługi Office 365. W związku z tym firma Adventure Works powinna utworzyć co najmniej jeden obszar roboczy usługi Log Analytics włączony dla usługi Microsoft Sentinel w każdej dzierżawie.

  • Chociaż wszystkie dane brane pod uwagę w tej decyzji będą używane przez zespół SOC firmy Adventure Works, muszą rozdzielić dane według własności, ponieważ każdy zespół SOC musi uzyskiwać dostęp tylko do danych istotnych dla tego zespołu. Każdy zespół SOC musi również mieć dostęp do pełnego portalu usługi Microsoft Sentinel. Firma Adventure Works nie musi kontrolować dostępu do danych według tabeli.

Wynikowy projekt obszaru roboczego dla firmy Adventure Works przedstawiono na poniższej ilustracji, w tym tylko kluczowe źródła dzienników dla uproszczenia projektowania:

Diagram rozwiązania firmy Adventure Works z oddzielnymi obszarami roboczymi dla każdej dzierżawy usługi Azure AD.

Sugerowane rozwiązanie obejmuje:

  • Oddzielny obszar roboczy usługi Log Analytics włączony dla usługi Microsoft Sentinel dla każdej dzierżawy firmy Microsoft Entra. Każdy obszar roboczy zbiera dane związane z dzierżawą dla wszystkich źródeł danych.
  • Zespół SOC każdego kontynentu ma dostęp tylko do obszaru roboczego we własnej dzierżawie, zapewniając, że tylko dzienniki wygenerowane w granicach dzierżawy są dostępne dla każdego zespołu SOC.
  • Centralny zespół SOC może nadal działać z oddzielnej dzierżawy firmy Microsoft Entra, korzystając z usługi Azure Lighthouse w celu uzyskania dostępu do każdego z różnych środowisk usługi Microsoft Sentinel. Jeśli nie ma innego dzierżawy, centralny zespół SOC nadal może używać usługi Azure Lighthouse do uzyskiwania dostępu do zdalnych obszarów roboczych.
  • Centralny zespół SOC może również utworzyć inny obszar roboczy, jeśli musi przechowywać artefakty, które pozostają ukryte przed zespołami SOC kontynentu, lub jeśli chce pozyskać inne dane, które nie są istotne dla zespołów SOC kontynentu.

Następne kroki

W tym artykule przedstawiono zestaw sugerowanych projektów obszarów roboczych dla organizacji.

Przygotowanie do wielu obszarów roboczych