Подготовка к нескольким рабочим областям и клиентам в Microsoft Sentinel

  • Статья

Чтобы подготовиться к развертыванию, необходимо определить, относится ли архитектура нескольких рабочих областей к вашей среде. Из этой статьи вы узнаете, как Microsoft Sentinel может расширяться между несколькими рабочими областями и клиентами, чтобы определить, соответствует ли эта возможность потребностям вашей организации. Эта статья является частью руководства по развертыванию Microsoft Sentinel.

Если вы решили настроить среду для расширения рабочих областей, ознакомьтесь с разделом "Расширение Microsoft Sentinel" между рабочими областями и клиентами и централизованное управление несколькими рабочими областями Microsoft Sentinel с помощью диспетчера рабочих областей.

Необходимость в использовании нескольких рабочих областей Microsoft Sentinel

При подключении Microsoft Sentinel прежде всего необходимо выбрать рабочую область Log Analytics. Хотя вы можете использовать все возможности Microsoft Sentinel с одной рабочей областью, в некоторых случаях может потребоваться расширить рабочую область, чтобы запрашивать и анализировать данные в нескольких рабочих областях и клиентах.

В этой таблице перечислены некоторые из этих сценариев и, когда это возможно, предполагается, как можно использовать одну рабочую область для сценария.

Требование Description Способы сокращения количества рабочих областей
Независимость и соответствие нормативным требованиям Рабочая область связана с конкретным регионом. Если данные должны храниться в разных географических регионах Azure для выполнения нормативных требований, их необходимо разделить на отдельные рабочие области.
Владение данными Границы владения данными, например для дочерних компаний или аффилированных организаций, удобнее устанавливать с помощью отдельных рабочих областей.
Несколько клиентов Azure Microsoft Sentinel поддерживает сбор данных из ресурсов Microsoft и SaaS только в пределах собственной границы клиента Microsoft Entra. Поэтому для каждого клиента Microsoft Entra требуется отдельная рабочая область.
Детальное управление доступом к данным Организации может потребоваться разрешить различным группам, в пределах или за пределами организации, доступ к некоторым данным, собранным Microsoft Sentinel. Например:
  • Доступ владельцев ресурсов к данным, относящимся к их ресурсам
  • Доступ регионального или дочернего SOC к данным, относящимся к соответствующим частям организации
 Используйте RBAC Azure ресурса или RBAC Azure уровня таблицы
Детальные параметры хранения Исторически несколько рабочих областей были единственным способом задать разные сроки хранения для разных типов данных. Благодаря вводу параметров хранения на уровне таблицы, в большинстве случаев это больше не нужно. Используйте параметры хранения на уровне таблицы или автоматизируйте удаление данных
Раздельное выставление счетов При размещении рабочих областей в разных подписках счета на оплату могут выставляться разным сторонам. Отчеты об использовании и перекрестное выставление счетов
Устаревшая архитектура Использование нескольких рабочих областей может происходить из исторической структуры, которая учитывала ограничения или рекомендации, которые больше не имеют значения true. Это также может быть проект с произвольной архитектурой, который можно изменить для лучшего соответствия Microsoft Sentinel.

Вот некоторые примеры.
  • Использование рабочей области по умолчанию для каждой подписки при развертывании Microsoft Defender для облака
  • Необходимость детализированного управления доступом или использования параметров хранения, решения для которых являются относительно новыми
 Перепроектирование рабочих областей

Управляемый поставщик службы безопасности (MSSP)

Для MSSP применяются многие если не все из перечисленных выше требований, поэтому рекомендуется создать несколько рабочих областей в разных клиентах. MSSP может использовать Azure Lighthouse для расширения возможностей работы Microsoft Sentinel с несколькими рабочими областями, распределенными между клиентами.

Архитектура с несколькими рабочими областями Microsoft Sentinel

Как подразумевается в приведенных выше требованиях, существуют случаи, когда один SOC должен централизованно управлять несколькими рабочими областями Microsoft Sentinel, возможно, в клиентах Microsoft Entra.

  • Служба Microsoft Sentinel MSSP.

  • Глобальный SOC, обслуживающий несколько дочерних компаний, у каждой из которых есть свой локальный SOC.

  • SoC отслеживает несколько клиентов Microsoft Entra в организации.

Для таких сценариев Microsoft Sentinel предлагает использовать возможности нескольких рабочих областей, позволяющих централизованно выполнять мониторинг, настройку и управление, предоставляя единую панель управления для всей сферы ответственности SOC. Пример архитектуры для таких вариантов использования показан на следующей схеме.

Diagram showing extend workspace across multiple tenants: architecture.

Такая модель обеспечивает значительные преимущества по сравнению с полностью централизованной моделью, в которой все данные копируются в одну рабочую область:

  • гибкое назначение ролей глобальным и локальным SOC или MSSP соответствующими клиентами;

  • меньшее количество проблем, связанных с владением данными, конфиденциальностью данных и соблюдением нормативных требований;

  • сокращение сетевых задержек и расходов;

  • простота подключения и отключения новых дочерних компаний и клиентов.

В следующих разделах объясняется, как использовать эту модель и, в частности, как выполнять следующие действия:

  • Централизованный мониторинг нескольких рабочих областей, возможно в разных клиентах, предоставляющий SOC с единой панелью управления.

  • Централизованная настройка и управление несколькими рабочими областями с помощью автоматизации, возможно, в разных клиентах.

Следующие шаги

В этой статье вы узнали, как Microsoft Sentinel может расширяться между несколькими рабочими областями и клиентами.

Приоритет соединителей данных