Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Viktigt
Efter den 31 mars 2027 kommer Microsoft Sentinel inte längre att stödjas i Azure Portal och kommer endast att vara tillgängligt i Microsoft Defender-portalen. Alla kunder som använder Microsoft Sentinel i Azure Portal omdirigeras till Defender-portalen och använder endast Microsoft Sentinel i Defender-portalen.
Om du fortfarande använder Microsoft Sentinel i Azure Portal rekommenderar vi att du börjar planera övergången till Defender-portalen för att säkerställa en smidig övergång och dra full nytta av den enhetliga säkerhetsåtgärdsupplevelse som erbjuds av Microsoft Defender.
För att förbereda för distributionen måste du avgöra om en arkitektur för flera arbetsytor är relevant för din miljö. I den här artikeln får du lära dig hur Microsoft Sentinel kan utökas mellan flera arbetsytor och klienter så att du kan avgöra om den här funktionen passar organisationens behov. Den här artikeln är en del av distributionsguiden för Microsoft Sentinel.
Använd någon av följande uppsättningar med konfigurationsinstruktioner, beroende på vilken portal du använder för att utöka Microsoft Sentinel mellan arbetsytor:
| Portal | Referenser |
|---|---|
| Portalen för Microsoft Defender |
-
Flera Microsoft Sentinel arbetsytor i Defender-portalen - Microsoft Defender hantering av flera klientorganisationer |
| Azure Portal |
-
Utöka Microsoft Sentinel mellan arbetsytor och klientorganisationer - Hantera flera Log Analytics-arbetsytor som är aktiverade för Microsoft Sentinel med arbetsytehanteraren centralt |
Behovet av att använda flera arbetsytor
När du registrerar Microsoft Sentinel är ditt första steg att välja din Log Analytics-arbetsyta. Även om du kan få full nytta av den Microsoft Sentinel upplevelsen med en enda arbetsyta kan du i vissa fall vilja utöka arbetsytan för att fråga och analysera dina data mellan arbetsytor och klientorganisationer.
I den här tabellen visas några av dessa scenarier och föreslår, om möjligt, hur du kan använda en enda arbetsyta för scenariot.
| Krav | Beskrivning | Sätt att minska antalet arbetsytor |
|---|---|---|
| Suveränitet och regelefterlevnad | En arbetsyta är knuten till en viss region. Om du vill behålla data i olika Azure geografiska områden för att uppfylla regelkrav delar du upp data i separata arbetsytor. I Microsoft Sentinel lagras och bearbetas data främst i samma geografi eller region, med vissa undantag, till exempel när du använder identifieringsregler som utnyttjar Microsofts maskininlärning. I sådana fall kan data kopieras utanför arbetsytans geografiska område för bearbetning. |
|
| Dataägarskap | Gränserna för dataägarskap, till exempel av dotterbolag eller anslutna företag, är bättre avgränsade med separata arbetsytor. | |
| Flera Azure klientorganisationer | Microsoft Sentinel stöder datainsamling från Microsoft och Azure SaaS-resurser endast inom sin egen Microsoft Entra klientorganisationsgräns. Därför kräver varje Microsoft Entra klientorganisation en separat arbetsyta. | |
| Detaljerad dataåtkomstkontroll | En organisation kan behöva tillåta att olika grupper, inom eller utanför organisationen, får åtkomst till vissa av de data som samlas in av Microsoft Sentinel. Till exempel:
|
Använda resurs- Azure RBAC eller tabellnivå Azure RBAC |
| Inställningar för detaljerad kvarhållning | Tidigare var flera arbetsytor det enda sättet att ange olika kvarhållningsperioder för olika datatyper. Detta behövs inte längre i många fall tack vare introduktionen av kvarhållningsinställningar på tabellnivå. | Använda kvarhållningsinställningar på tabellnivå eller automatisera borttagning av data |
| Dela fakturering | Genom att placera arbetsytor i separata prenumerationer kan de faktureras till olika parter. | Användningsrapportering och korsladdning |
| Äldre arkitektur | Användningen av flera arbetsytor kan bero på en historisk design som tog hänsyn till begränsningar eller metodtips som inte längre gäller. Det kan också vara ett godtyckligt designval som kan ändras för att bättre hantera Microsoft Sentinel. Exempel inkluderar:
|
Skapa om arbetsytor |
När du fastställer hur många klienter och arbetsytor som ska användas bör du tänka på att de flesta Microsoft Sentinel funktioner fungerar med hjälp av en enda arbetsyta eller Microsoft Sentinel instans och Microsoft Sentinel matar in alla loggar som finns på arbetsytan.
Leverantör av hanterade säkerhetstjänster (MSSP)
När det gäller en MSSP gäller många, om inte alla ovanstående krav, vilket gör flera arbetsytor, mellan klienter, till bästa praxis. Mer specifikt rekommenderar vi att du skapar minst en arbetsyta för varje Microsoft Entra klientorganisation för att stödja inbyggda tjänst-till-tjänst-dataanslutningar som endast fungerar inom deras egna Microsoft Entra klientorganisation.
Anslutningsappar som baseras på diagnostikinställningar kan inte anslutas till en arbetsyta som inte finns i samma klientorganisation där resursen finns. Detta gäller anslutningsappar som Azure Firewall, Azure Storage, Azure Activity eller Microsoft Entra ID.
Partnerdataanslutningar baseras ofta på API- eller agentsamlingar och är därför inte kopplade till en specifik Microsoft Entra klientorganisation.
Använd Azure Lighthouse för att hantera flera Microsoft Sentinel instanser i olika klientorganisationer.u
Microsoft Sentinel arkitektur för flera arbetsytor
Som anges i kraven ovan finns det fall där en enda SOC måste hantera och övervaka flera Log Analytics-arbetsytor som är aktiverade för Microsoft Sentinel, potentiellt över Microsoft Entra klientorganisationer.
- En MSSP Microsoft Sentinel-tjänst.
- En global SOC som betjänar flera dotterbolag, var och en har sin egen lokala SOC.
- En SOC-övervakning av flera Microsoft Entra klientorganisationer i en organisation.
För att lösa dessa fall erbjuder Microsoft Sentinel funktioner för flera arbetsytor som möjliggör central övervakning, konfiguration och hantering, vilket ger en enda fönsterruta över allt som omfattas av SOC. Det här diagrammet visar en exempelarkitektur för sådana användningsfall.
Den här modellen ger betydande fördelar jämfört med en helt centraliserad modell där alla data kopieras till en enda arbetsyta:
- Flexibel rolltilldelning till globala och lokala SOC:er eller till MSSP-kunder.
- Färre utmaningar när det gäller dataägarskap, datasekretess och regelefterlevnad.
- Minimal nätverksfördröjning och avgifter.
- Enkel registrering och avregistrering av nya dotterbolag eller kunder.
Nästa steg
I den här artikeln har du lärt dig hur Microsoft Sentinel kan sträcka sig över flera arbetsytor och klientorganisationer.