Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Önemli
31 Mart 2027'nin ardından Microsoft Sentinel artık Azure portal desteklenmeyecektir ve yalnızca Microsoft Defender portalında kullanılabilir. Azure portal Microsoft Sentinel kullanan tüm müşteriler Defender portalına yönlendirilir ve yalnızca Defender portalında Microsoft Sentinel kullanır.
Azure portal hala Microsoft Sentinel kullanıyorsanız, sorunsuz bir geçiş sağlamak ve Microsoft Defender tarafından sunulan birleşik güvenlik işlemleri deneyiminden tam olarak yararlanmak için Defender portalına geçişinizi planlamaya başlamanızı öneririz.
Dağıtımınıza hazırlanmak için birden çok çalışma alanı mimarisinin ortamınız için uygun olup olmadığını belirlemeniz gerekir. Bu makalede, Microsoft Sentinel kuruluşunuzun gereksinimlerine uygun olup olmadığını belirleyebilmeniz için birden çok çalışma alanı ve kiracıyı nasıl genişletebileceğini öğreneceksiniz. Bu makale, Microsoft Sentinel dağıtım kılavuzunun bir parçasıdır.
çalışma alanları arasında Microsoft Sentinel genişletmek için hangi portalı kullandığınıza bağlı olarak aşağıdaki kurulum yönergeleri kümelerinden birini kullanın:
Birden çok çalışma alanı kullanma gereksinimi
Microsoft Sentinel eklediğinizde ilk adımınız Log Analytics çalışma alanınızı seçmektir. Tek bir çalışma alanıyla Microsoft Sentinel deneyiminin tüm avantajlarından yararlanabilirsiniz ancak bazı durumlarda çalışma alanınızı genişleterek çalışma alanları ve kiracılar arasında verilerinizi sorgulamak ve analiz etmek isteyebilirsiniz.
Bu tabloda bu senaryolardan bazıları listelenir ve mümkün olduğunda senaryo için tek bir çalışma alanını nasıl kullanabileceğinizi önerir.
| Gereksinim | Açıklama | Çalışma alanı sayısını azaltmanın yolları |
|---|---|---|
| Egemenlik ve mevzuat uyumluluğu | Çalışma alanı belirli bir bölgeye bağlıdır. Mevzuat gereksinimlerini karşılamak üzere verileri farklı Azure coğrafyalarda tutmak için verileri ayrı çalışma alanlarına ayırın. Microsoft Sentinel'da veriler, Microsoft'un Makine Öğrenmesi'nden yararlanan algılama kurallarının kullanılması gibi bazı özel durumlar dışında çoğunlukla aynı coğrafyada veya bölgede depolanır ve işlenir. Bu gibi durumlarda veriler işlenmek üzere çalışma alanı coğrafyanızın dışına kopyalanabilir. |
|
| Veri sahipliği | Veri sahipliğinin sınırları( örneğin yan kuruluşlar veya bağlı şirketler) ayrı çalışma alanları kullanılarak daha iyi ayırt edilir. | |
| Birden çok Azure kiracısı | Microsoft Sentinel, Microsoft'tan veri toplamayı destekler ve SaaS kaynaklarını yalnızca kendi Microsoft Entra kiracı sınırı içinde Azure. Bu nedenle, her Microsoft Entra kiracı ayrı bir çalışma alanı gerektirir. | |
| Ayrıntılı veri erişim denetimi | Bir kuruluşun, Microsoft Sentinel tarafından toplanan bazı verilere kuruluş içinde veya dışında farklı gruplara erişmesine izin vermesi gerekebilir. Örneğin:
|
RBAC Azure RBAC veya tablo düzeyi Azure kaynak kullanma |
| Ayrıntılı saklama ayarları | Geçmişte, farklı veri türleri için farklı saklama süreleri ayarlamanın tek yolu birden çok çalışma alanıydı. Tablo düzeyinde saklama ayarlarının kullanıma sunulması sayesinde bu artık birçok durumda gerekli değildir. | Tablo düzeyinde saklama ayarlarını kullanma veya veri silmeyi otomatikleştirme |
| Faturalamayı bölme | Çalışma alanlarını ayrı aboneliklere yerleştirerek farklı taraflara faturalandırılabilirler. | Kullanım raporlama ve çapraz ücretlendirme |
| Eski mimari | Birden çok çalışma alanının kullanımı, artık geçerli olmayan sınırlamaları veya en iyi yöntemleri dikkate alan geçmiş bir tasarımdan kaynaklanıyor olabilir. Ayrıca, Microsoft Sentinel daha iyi barındırmak için değiştirilebilen rastgele bir tasarım seçimi de olabilir. Örnekler şunları içerir:
|
Çalışma alanlarını yeniden tasarla |
Kaç kiracı ve çalışma alanı kullanılacağını belirlerken, çoğu Microsoft Sentinel özelliğinin tek bir çalışma alanı veya Microsoft Sentinel örneği kullanılarak çalıştığını ve Microsoft Sentinel çalışma alanı içinde yer alan tüm günlükleri aldığına dikkat edin.
Yönetilen Güvenlik Hizmeti Sağlayıcısı (MSSP)
MSSP söz konusu olduğunda, yukarıdaki gereksinimlerin tümü geçerli değilse çoğu kiracılar arasında birden çok çalışma alanı oluşturur ve en iyi uygulamadır. Özellikle, her Microsoft Entra kiracısı için yalnızca kendi Microsoft Entra kiracısında çalışan yerleşik hizmet-hizmet veri bağlayıcılarını desteklemek üzere en az bir çalışma alanı oluşturmanızı öneririz.
Tanılama ayarlarını temel alan bağlayıcılar, kaynağın bulunduğu kiracıda olmayan bir çalışma alanına bağlanamaz. Bu, Azure Güvenlik Duvarı, AzureDepolama, Azure Etkinliği veya Microsoft Entra ID gibi bağlayıcılar için geçerlidir.
İş ortağı veri bağlayıcıları genellikle API veya aracı koleksiyonlarını temel alır ve bu nedenle belirli bir Microsoft Entra kiracısına eklenmez.
Farklı kiracılardaki birden çok Microsoft Sentinel örneğini yönetmeye yardımcı olması için Azure Lighthouse kullanın.u
Birden çok çalışma alanı mimarisi Microsoft Sentinel
Yukarıdaki gereksinimlerde de belirtildiği gibi, tek bir SOC'nin Microsoft Sentinel için etkinleştirilen birden çok Log Analytics çalışma alanını merkezi olarak yönetmesi ve izlemesi gerektiği durumlar vardır ve potansiyel olarak Microsoft Entra kiracılar arasında.
- MSSP Microsoft Sentinel Hizmeti.
- Her biri kendi yerel SOC'sine sahip olan birden çok yan kuruluşa hizmet veren küresel bir SOC.
- Bir kuruluştaki birden çok Microsoft Entra kiracısını izleyen bir SOC.
Microsoft Sentinel, bu durumları ele almak için merkezi izleme, yapılandırma ve yönetimi etkinleştiren ve SOC'nin kapsadığı her şeyde tek bir cam bölmesi sağlayan birden çok çalışma alanı özelliği sunar. Bu diyagramda bu tür kullanım örnekleri için örnek bir mimari gösterilmektedir.
Bu model, tüm verilerin tek bir çalışma alanına kopyalandığı tam merkezi bir modele göre önemli avantajlar sunar:
- Genel ve yerel SOC'lere veya MSSP müşterilerine esnek rol ataması.
- Veri sahipliği, veri gizliliği ve mevzuat uyumluluğuyla ilgili daha az zorluk.
- Minimum ağ gecikme süresi ve ücretleri.
- Yeni yan kuruluşları veya müşterileri kolayca ekleme ve çıkarma.
Sonraki adımlar
Bu makalede, Microsoft Sentinel birden çok çalışma alanı ve kiracıyı nasıl genişletebileceğini öğrendiniz.