Microsoft Sentinel çalışma alanını planlama
Microsoft Sentinel'i dağıtmadan önce çalışma alanı seçeneklerini anlamak çok önemlidir. Microsoft Sentinel çözümü bir Log Analytics Çalışma Alanına yüklenir ve uygulamada dikkat edilmesi gerekenlerin çoğu Log Analytics Çalışma Alanı oluşturmaya odaklanır. Yeni bir Log Analytics Çalışma Alanı oluştururken en önemli tek seçenek bölgedir. Bölge, günlük verilerinin bulunacağı konumu belirtir.
Üç uygulama seçeneği:
Tek bir Microsoft Sentinel Çalışma Alanı ile Tek Kiracılı
Bölgesel Microsoft Sentinel Çalışma Alanları ile Tek Kiracılı
Çok Kiracılı
Tek kiracılı tek çalışma alanı
Tek bir Microsoft Sentinel çalışma alanına sahip tek kiracı, aynı kiracı içindeki tüm kaynaklardaki günlükler için merkezi depo olacaktır.
Bu çalışma alanı, aynı kiracı içindeki diğer bölgelerdeki kaynaklardan günlükleri alır. Günlük verileri (toplandığında) bölgeler arasında seyahat edeceğinden ve başka bir bölgede depolandığından, bu iki olası sorun oluşturur. İlk olarak bant genişliği maliyetine neden olabilir. İkincisi, verileri belirli bir bölgede tutmak için bir veri idaresi gereksinimi varsa, tek çalışma alanı seçeneği bir uygulama seçeneği olmaz.
Tek bir çalışma alanıyla tek kiracılar arasında şunlar yer alır:
| Avantajlar | Dezavantajlar |
|---|---|
| Cam Orta Bölmesi | Veri İdaresi Gereksinimlerini karşılamıyor olabilir |
| Tüm güvenlik günlüklerini ve bilgilerini birleştirir | Bölgeler arası için bant genişliği maliyeti doğurabilir |
| Tüm bilgileri sorgulamak daha kolay | |
| Veri erişimini denetlemek için Azure Log Analytics RBAC | |
| Hizmet RBAC için Microsoft Sentinel RBAC |
Bölgesel Microsoft Sentinel çalışma alanlarıyla tek kiracılı
Bölgesel Microsoft Sentinel çalışma alanlarına sahip tek kiracı, birden çok Microsoft Sentinel ve Log Analytics çalışma alanının oluşturulmasını ve yapılandırılmasını gerektiren birden çok Sentinel çalışma alanına sahip olacaktır.
| Avantajlar | Dezavantajlar |
|---|---|
| Bölgeler arası bant genişliği maliyeti yok | Merkezi cam bölmesi yok. Tüm verileri görmek için tek bir yere bakmazsınız. |
| Veri İdaresi gereksinimlerini karşılamak için gerekebilir | Analiz, Çalışma Kitapları vb. birden çok kez dağıtılmalıdır. |
| Ayrıntılı veri erişim denetimi | |
| Ayrıntılı saklama ayarları | |
| Bölünmüş faturalama |
Çalışma alanları arasında verileri sorgulamak için tablo adından önce workspace() işlevini kullanın.
TableName
| union workspace("WorkspaceName").TableName
Çok kiracılı çalışma alanları
Kiracınızda değil microsoft sentinel çalışma alanını yönetmeniz gerekiyorsa, Azure Lighthouse kullanarak Çok Kiracılı çalışma alanları uygularsınız. Bu güvenlik yapılandırması kiracılara erişmenizi sağlar. Kiracı içindeki kiracı yapılandırması (bölgesel veya çok bölgeli) öncekiyle aynıdır.
Bulut için Microsoft Defender ile aynı log analytics çalışma alanını kullanın
Hem Microsoft Sentinel hem de Bulut için Microsoft Defender için aynı çalışma alanını kullanın; böylece Bulut için Microsoft Defender tarafından toplanan tüm günlükler Microsoft Sentinel tarafından da alınıp kullanılabilir. Bulut için Microsoft Defender tarafından oluşturulan varsayılan çalışma alanı, Microsoft Sentinel için kullanılabilir bir çalışma alanı olarak görünmez.