Подготовка к созданию нескольких рабочих областей и клиентов в Microsoft Sentinel

Важно!

После 31 марта 2027 г. Microsoft Sentinel больше не будут поддерживаться в портал Azure и будут доступны только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel в портал Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender.

Если вы по-прежнему используете Microsoft Sentinel в портал Azure, рекомендуется начать планирование перехода на портал Defender, чтобы обеспечить плавный переход и в полной мере воспользоваться преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender.

Чтобы подготовиться к развертыванию, необходимо определить, подходит ли архитектура нескольких рабочих областей для вашей среды. Из этой статьи вы узнаете, как Microsoft Sentinel может распространяться на несколько рабочих областей и клиентов, чтобы определить, соответствует ли эта возможность потребностям вашей организации. Эта статья является частью руководства по развертыванию для Microsoft Sentinel.

Используйте один из следующих наборов инструкций по настройке в зависимости от того, какой портал используется для расширения Microsoft Sentinel между рабочими областями:

Портал	Ссылки
Портал Microsoft Defender	- Несколько рабочих областей Microsoft Sentinel на портале Defender - управление несколькими клиентами Microsoft Defender
Портал Azure	- Расширение Microsoft Sentinel между рабочими областями и клиентами - Централизованное управление несколькими рабочими областями Log Analytics с поддержкой Microsoft Sentinel с помощью диспетчера рабочих областей

Необходимость использования нескольких рабочих областей

При подключении Microsoft Sentinel сначала нужно выбрать рабочую область Log Analytics. Хотя вы можете получить все преимущества Microsoft Sentinel с одной рабочей областью, в некоторых случаях может потребоваться расширить рабочую область для запроса и анализа данных в разных рабочих областях и клиентах.

В этой таблице перечислены некоторые из этих сценариев и, по возможности, описано, как можно использовать одну рабочую область для этого сценария.

Требования	Описание	Способы уменьшения числа рабочих областей
Суверенитет и соответствие нормативным требованиям	Рабочая область привязана к определенному региону. Чтобы хранить данные в разных Azure географических регионах в соответствии с нормативными требованиями, разделите данные на отдельные рабочие области. В Microsoft Sentinel данные в основном хранятся и обрабатываются в том же географическом регионе или регионе, за некоторыми исключениями, например при использовании правил обнаружения, использующих Машинное обучение Майкрософт. В таких случаях данные могут быть скопированы за пределами региона рабочей области для обработки.
Владение данными	Границы владения данными, например дочерними компаниями или аффилированными компаниями, лучше очертить с помощью отдельных рабочих областей.
Несколько клиентов Azure	Microsoft Sentinel поддерживает сбор данных от Корпорации Майкрософт и Azure ресурсов SaaS только в пределах собственной Microsoft Entra границы клиента. Поэтому для каждого клиента Microsoft Entra требуется отдельная рабочая область.
Детальное управление доступом к данным	Организации может потребоваться разрешить различным группам в организации или за ее пределами доступ к некоторым данным, собранным Microsoft Sentinel. Например, вы можете: Доступ владельцев ресурсов к данным, относящимся к их ресурсам Доступ региональных или дочерних SOC к данным, относящимся к их части организации	Использование RBAC Azure ресурсов или уровня таблицы Azure RBAC
Параметры детализированного хранения	Исторически сложилось так, что несколько рабочих областей были единственным способом задать разные сроки хранения для разных типов данных. Это больше не требуется во многих случаях, благодаря введению параметров хранения на уровне таблицы.	Использование параметров хранения на уровне таблицы или автоматизация удаления данных
Разделение выставления счетов	Разместив рабочие области в отдельных подписках, за них можно выставлять счета разным сторонам.	Отчеты об использовании и перекрестная зарядка
Устаревшая архитектура	Использование нескольких рабочих областей может быть связано с историческим дизайном, в котором учитывались ограничения или рекомендации, которые больше не соответствуют действительности. Это также может быть произвольный вариант проектирования, который можно изменить, чтобы лучше учесть Microsoft Sentinel. Вот некоторые примеры. Использование рабочей области по умолчанию для каждой подписки при развертывании Microsoft Defender для облака Необходимость детализированного управления доступом или параметров хранения, решения для которых являются относительно новыми	Повторное проектирование рабочих областей

При определении количества клиентов и рабочих областей следует учитывать, что большинство Microsoft Sentinel функций работают с помощью одной рабочей области или экземпляра Microsoft Sentinel, и Microsoft Sentinel прием всех журналов, размещенных в рабочей области.

Поставщик управляемых служб безопасности (MSSP)

В случае с MSSP применяются многие, если не все из приведенных выше требований, что делает несколько рабочих областей в разных клиентах оптимальным подходом. В частности, рекомендуется создать по крайней мере одну рабочую область для каждого клиента Microsoft Entra для поддержки встроенных соединителей данных service to service, которые работают только в пределах своего клиента Microsoft Entra.

• Соединители, основанные на диагностика параметрах, не могут быть подключены к рабочей области, расположенной не в том же клиенте, где находится ресурс. Это относится к соединителям, таким как Брандмауэр Azure, хранилище Azure, действие Azure или Microsoft Entra ID.

• Соединители данных партнеров часто основаны на коллекциях API или агентов и поэтому не подключены к определенному клиенту Microsoft Entra.

Использование Azure Lighthouse для управления несколькими экземплярами Microsoft Sentinel в разных клиентах.u

Microsoft Sentinel архитектуры нескольких рабочих областей

Как подразумевается в приведенных выше требованиях, бывают случаи, когда одному SOC необходимо централизованно управлять несколькими рабочими областями Log Analytics, включенными для Microsoft Sentinel, возможно, в Microsoft Entra клиентах.

• Служба Microsoft Sentinel MSSP.
• Глобальный SOC, обслуживающий несколько дочерних компаний, каждый из которых имеет собственный локальный SOC.
• SOC, отслеживающий несколько клиентов Microsoft Entra в организации.

Для решения этих случаев Microsoft Sentinel предлагает возможности с несколькими рабочими областями, которые обеспечивают централизованный мониторинг, настройку и управление, предоставляя единую панель для всего, что охватывает SOC. На этой схеме показан пример архитектуры для таких вариантов использования.

Эта модель обеспечивает значительные преимущества по сравнению с полностью централизованной моделью, в которой все данные копируются в одну рабочую область:

• Гибкое назначение ролей глобальным и локальным SOC или клиентам MSSP.
• Меньше проблем, связанных с владением данными, конфиденциальностью данных и соответствием нормативным требованиям.
• Минимальная задержка и плата за сеть.
• Легкое подключение и отключение новых дочерних компаний или клиентов.

Дальнейшие действия

В этой статье вы узнали, как Microsoft Sentinel можно распространить на несколько рабочих областей и клиентов.

Определение приоритета соединителей данных