步骤 2. 构建 Microsoft Sentinel 工作区

• 适用于:

  Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

部署 Microsoft Sentinel 环境涉及设计工作区配置，以满足安全和合规性要求。 预配过程包括创建 Log Analytics 工作区和配置适当的 Microsoft Sentinel 选项。

本文提供有关如何设计和实现 Microsoft Sentinel 工作区以遵循零信任原则的建议。

步骤 1：设计治理策略

如果你的组织有多个 Azure 订阅，则可能需要一种方法来高效地管理这些订阅的访问权限、策略和合规性。 管理组提供了订阅的治理范围。 在管理组内组织订阅时，为管理组配置的治理条件会应用到其包含的订阅中。 有关详细信息，请参阅通过管理组来整理资源。

例如，下图中的 Microsoft Sentinel 工作区位于“平台”管理组下的“安全性”订阅中，该组是 Microsoft Entra ID 租户的一部分。

安全 Azure 订阅和 Microsoft Sentinel 工作区继承应用于平台管理组的基于角色的访问控制 (RBAC) 和 Azure 策略。

步骤 2：创建 Log Analytics 工作区

要使用 Microsoft Sentinel，首先是建立 Log Analytics 工作区。 单个 Log Analytics 工作区对于许多环境可能已经够用了，但许多组织会创建多个工作区以优化成本并更好地满足不同的业务需求。

对于 Microsoft Sentinel，最佳做法是为运营数据和安全数据创建不同的工作区，以便于进行数据所有权和成本管理。 例如，如果有多个人员管理操作和安全角色，则是否为这些角色创建单独的工作区即为零信任的第一个决策。

统一安全运营平台（提供对 Defender 门户中 Microsoft Sentinel 的访问权限）仅支持单个工作区。

有关详细信息，请参阅《Contoso 的示例解决方案：针对用于运营和安全角色的单独工作区》。

Log Analytics 工作区设计注意事项

对于单租户，可通过两种方式配置 Microsoft Sentinel 工作区：

• 包含单个 Log Analytics 工作区的单租户。 在这种情况下，工作区将成为租户中所有资源的日志的中心仓库。

  优点：

  • 对日志进行中央合并。
  • 更易于查询信息。
  • Azure 基于角色的访问控制 (Azure RBAC)，用于控制对 Log Analytics 和 Microsoft Sentinel 的访问。 有关详细信息，请参阅《管理对 Log Analytics 工作区的访问权限 - Azure Monitor》，以及《Microsoft Sentinel 中角色和权限》。

  缺点：

  • 可能不符合治理要求。
  • 区域之间存在带宽成本。

• 具有区域 Log Analytics 工作区的单租户。

  优点：

  • 无跨区域带宽成本。
  • 可能需要符合治理。
  • 精细数据访问控制。
  • 精细保留设置。
  • 拆分计费。

  缺点：

  • 无中央虚拟管理平台。
  • 分析、工作簿和其他配置必须多次部署。

有关详细信息，请参阅设计 Log Analytics 工作区体系结构。

步骤 3：构建 Microsoft Sentinel 工作区

加入 Microsoft Sentinel 需要选择 Log Analytics 工作区。 以下是设置 Microsoft Sentinel 的 Log Analytics 的注意事项：

• 创建用于治理的“安全”资源组，以便隔离 Microsoft Sentinel 资源和对集合基于角色的访问。 有关详细信息，请参阅设计 Log Analytics 工作区体系结构。

• 在“安全”资源组中创建 Log Analytics 工作区，并将 Microsoft Sentinel 载入其中。 这样一来，免费试用版会自动免费提供 31 天的数据引入，每天最多 10 Gb。

• 将支持 Microsoft Sentinel 的 Log Analytics 工作区设置为至少保留 90 天。

将 Microsoft Sentinel 载入 Log Analytics 工作区后，无需额外付费即可获得 90 天的数据保留期，并确保日志数据有 90 天滚动更新。 在 90 天后，工作区中的数据总量会产生费用。 可以考虑根据政府要求将日志数据保留更长时间。 有关详细信息，请参阅《创建 Log Analytics 工作区》和《快速入门：载入 Microsoft Sentinel》。

使用 Microsoft Sentinel 的零信任

若要实现零信任体系结构，请考虑扩展工作区，以跨工作区和租户查询和分析数据。 使用 Microsoft Sentinel 工作区设计示例和 跨工作区和租户扩展 Microsoft Sentinel，来确定组织的最佳工作区设计。

此外，还可使用云角色和运营管理说明性指导及其 Excel 电子表格（下载）。 根据本指南，Microsoft Sentinel 要考虑的零信任任务包括：

• 使用关联的 Microsoft Entra 组定义 Microsoft Sentinel RBAC 角色。
• 验证是否已实现对 Microsoft Sentinel 的访问做法仍符合组织的要求。
• 考虑客户管理的密钥。

使用 RBAC 的零信任

为了符合零信任要求，建议根据允许用户使用的资源配置 Azure RBAC，而不是让他们访问整个 Microsoft Sentinel 环境。

下表列出了 Microsoft Sentinel 特定的角色中的部分。

角色名称	说明
Microsoft Sentinel 读取者	查看数据、事件、工作簿和其他 Microsoft Sentinel 资源。
Microsoft Sentinel 响应者	除了 Microsoft Sentinel 读者角色的功能外，还可管理事件（分配、关闭等）。 此角色适用于用户类型的安全分析员。
Microsoft Sentinel Playbook 操作员	列出、查看和手动运行剧本。 此角色还适用于用户类型的安全分析员。 此角色可用于授予 Microsoft Sentinel 回应者运行最小数量的特权的 Microsoft Sentinel 剧本的能力。
Microsoft Sentinel 参与者	除了 Microsoft Sentinel 剧本操作员角色的功能外，还可创建和编辑工作簿、分析规则和其他 Microsoft Sentinel 资源。 此角色适用于用户类型的安全工程师。
Microsoft Sentinel 自动化参与者	允许 Microsoft Sentinel 将 playbook 添加到自动化规则中。 它不适用于用户帐户。

分配特定于 Microsoft Sentinel 的 Azure 角色时，你可能会遇到为用户分配的用于其他用途的其他 Azure 和 Log Analytics 角色。 例如，“Log Analytics 参与者”和“Log Analytics 读取者”角色授予对 Log Analytics 工作区的访问权限。

有关详细信息，请参阅《Microsoft Sentinel 中的角色和权限》，以及《按资源管理对 Microsoft Sentinel 数据的访问权限》。

使用 Azure Lighthouse 的多租户体系结构中的零信任

Azure Lighthouse 可实现多租户管理，并跨资源提供可伸缩性、更高的自动化程度和增强的治理。 利用 Azure Lighthouse，可以在 Microsoft Entra 租户之间大规模管理多个 Microsoft Sentinel 实例。 下面是一个示例。

使用 Azure Lighthouse 可以跨多个工作区运行查询，也可以创建工作簿来可视化和监视连接的数据源中的数据，并获取额外的见解。 务必考虑零信任原则。 请参阅建议的安全做法，实现 Azure Lighthouse 的最低权限访问控制。

在实现 Azure Lighthouse 的安全最佳做法时，请考虑以下问题：

• 谁负责数据所有权？
• 数据隔离和合规性要求是什么？
• 如何跨租户实现最低特权？
• 如何管理多个 Microsoft Sentinel 工作区中的多个数据连接器？
• 如何监视 Office 365 环境？
• 如何跨租户保护知识产权，例如剧本、笔记本、分析规则？

请参阅大规模管理 Microsoft Sentinel 工作区：精细的 Azure RBAC，了解 Microsoft Sentinel 和 Azure Lighthouse 的安全最佳做法。

将工作区加入统一安全运营平台

如果你使用单个工作区，我们建议将该工作区加入统一的安全运营平台，以便同时查看所有 Microsoft Sentinel 数据与 Microsoft Defender 门户中的 XDR 数据。

统一安全运营平台还提供改进的功能，例如 SAP 系统的自动攻击中断、Defender“高级搜寻”页中的统一查询，以及跨 Microsoft Defender 和 Microsoft Sentinel 的统一事件和实体。

有关详细信息，请参阅：

• 将 Microsoft Sentinel 连接到 Microsoft Defender XDR
• Microsoft Defender 门户中的 Microsoft Sentinel

建议训练

培训内容目前未涵盖统一安全运营平台。

Microsoft Sentinel 简介

培训	Microsoft Sentinel 简介
	了解如何借助 Microsoft Sentinel，从云和本地数据中快速获取宝贵的安全见解。

开始>

配置 Microsoft Sentinel 环境

培训	配置 Microsoft Sentinel 环境
	通过正确配置 Microsoft Sentinel 工作区开始使用 Microsoft Sentinel。

开始>

创建和管理 Microsoft Sentinel 工作区

培训	创建和管理 Microsoft Sentinel 工作区
	了解 Microsoft Sentinel 工作区的体系结构，以确保将系统配置为满足组织的安全操作要求。

开始>

下一步

继续执行步骤 3，将 Microsoft Sentinel 配置为引入数据源并配置事件检测。

参考

请参阅这些链接，了解本文中提及的服务和技术。

服务领域	了解详细信息
Microsoft Sentinel	- 快速入门：Microsoft Sentinel 中的加入 - 按资源管理对 Microsoft Sentinel 数据的访问
Microsoft Sentinel 治理	- 使用管理组来组织资源 - Microsoft Sentinel 中的角色和权限
Log Analytics 工作区	- 设计 Log Analytics 工作区体系结构 - Log Analytics 工作区的设计条件 - Contoso 的解决方案 - 管理对 Log Analytics workspaces - Azure Monitor 的访问 - 设计 Log Analytics 工作区体系结构 - 创建 Log Analytics 工作区
Microsoft Sentinel 工作区和 Azure Lighthouse	- 大规模管理 Microsoft Sentinel 工作区：精细的 Azure RBAC - 建议的安全做法