Förbereda för flera arbetsytor och klientorganisationer i Microsoft Sentinel
För att förbereda för distributionen måste du avgöra om en arkitektur för flera arbetsytor är relevant för din miljö. I den här artikeln får du lära dig hur Microsoft Sentinel kan utökas över flera arbetsytor och klienter så att du kan avgöra om den här funktionen passar organisationens behov. Den här artikeln är en del av distributionsguiden för Microsoft Sentinel.
Om du har bestämt dig för att konfigurera din miljö så att den sträcker sig över arbetsytor kan du läsa Utöka Microsoft Sentinel mellan arbetsytor och klientorganisationer och Hantera flera Microsoft Sentinel-arbetsytor centralt med arbetsytehanteraren.
Behovet av att använda flera Microsoft Sentinel-arbetsytor
När du registrerar Microsoft Sentinel är ditt första steg att välja din Log Analytics-arbetsyta. Du kan dra full nytta av Microsoft Sentinel-upplevelsen med en enda arbetsyta, men i vissa fall kanske du vill utöka din arbetsyta för att fråga och analysera dina data mellan arbetsytor och klientorganisationer.
I den här tabellen visas några av dessa scenarier och föreslår, när det är möjligt, hur du kan använda en enda arbetsyta för scenariot.
| Krav | Description | Sätt att minska antalet arbetsytor |
|---|---|---|
| Suveränitet och regelefterlevnad | En arbetsyta är kopplad till en specifik region. Om du vill behålla data i olika Azure-geografiska områden för att uppfylla regelkraven delar du upp data i separata arbetsytor. | |
| Dataägarskap | Gränserna för dataägarskap, till exempel av dotterbolag eller anslutna företag, är bättre avgränsade med hjälp av separata arbetsytor. | |
| Flera Azure-klientorganisationer | Microsoft Sentinel stöder datainsamling från Microsoft- och Azure SaaS-resurser endast inom en egen Microsoft Entra-klientgräns. Därför kräver varje Microsoft Entra-klientorganisation en separat arbetsyta. | |
| Detaljerad åtkomstkontroll för data | En organisation kan behöva tillåta att olika grupper, inom eller utanför organisationen, får åtkomst till vissa av de data som samlas in av Microsoft Sentinel. Till exempel:
|
Använda resursen Azure RBAC eller azure RBAC på tabellnivå |
| Detaljerade kvarhållningsinställningar | Tidigare var flera arbetsytor det enda sättet att ange olika kvarhållningsperioder för olika datatyper. Detta behövs inte längre i många fall tack vare införandet av kvarhållningsinställningar på tabellnivå. | Använda kvarhållningsinställningar på tabellnivå eller automatisera borttagning av data |
| Dela fakturering | Genom att placera arbetsytor i separata prenumerationer kan de faktureras till olika parter. | Användningsrapportering och korsdebitering |
| Äldre arkitektur | Användningen av flera arbetsytor kan bero på en historisk design som tog hänsyn till begränsningar eller metodtips som inte längre är sanna. Det kan också vara ett godtyckligt designval som kan ändras för att bättre hantera Microsoft Sentinel. Exempel:
|
Omarbeta arkitekturen för arbetsytor |
Hanterad säkerhetstjänstleverantör (MSSP)
När det gäller en MSSP gäller många, om inte alla ovanstående krav, vilket gör flera arbetsytor, mellan klienter, till bästa praxis. MSSP kan använda Azure Lighthouse för att utöka funktionerna för flera arbetsytor i Microsoft Sentinel mellan klienter.
Arkitektur för flera arbetsytor i Microsoft Sentinel
Enligt kraven ovan finns det fall där en enskild SOC måste hantera och övervaka flera Microsoft Sentinel-arbetsytor centralt, eventuellt mellan Microsoft Entra-klienter.
En MSSP Microsoft Sentinel-tjänst.
En global SOC som betjänar flera dotterbolag, var och en har sin egen lokala SOC.
En SOC-övervakning av flera Microsoft Entra-klienter inom en organisation.
För att hantera dessa fall erbjuder Microsoft Sentinel funktioner för flera arbetsytor som möjliggör central övervakning, konfiguration och hantering, vilket ger en enda fönsterruta i allt som omfattas av SOC. Det här diagrammet visar en exempelarkitektur för sådana användningsfall.
Den här modellen ger betydande fördelar jämfört med en helt centraliserad modell där alla data kopieras till en enda arbetsyta:
Flexibel rolltilldelning till globala och lokala SOC:er eller till MSSP-kunderna.
Färre utmaningar när det gäller dataägarskap, datasekretess och regelefterlevnad.
Minimal svarstid i nätverk och minimala avgifter.
Enkel registrering och avregistrering av nya dotterbolag eller kunder.
I följande avsnitt förklarar vi hur du använder den här modellen, och särskilt hur du:
Övervaka flera arbetsytor centralt, eventuellt mellan klienter, vilket ger SOC en enda fönsterruta.
Konfigurera och hantera flera arbetsytor centralt, potentiellt mellan klienter, med hjälp av automatisering.
Nästa steg
I den här artikeln har du lärt dig hur Microsoft Sentinel kan utökas över flera arbetsytor och klientorganisationer.