準備 Microsoft Sentinel 中的多個工作區和租使用者
若要為部署做好準備,您必須判斷多個工作區架構是否與您的環境相關。 在本文中,您將瞭解 Microsoft Sentinel 如何跨多個工作區和租使用者擴充,以便判斷這項功能是否符合貴組織的需求。 本文是 Microsoft Sentinel 的部署指南的 一部分。
如果您已決定將環境設定為跨工作區延伸,請參閱使用工作區管理員 集中管理多個 Microsoft Sentinel 工作區。請參閱 跨工作區和租 使用者擴充 Microsoft Sentinel。
需要使用多個 Microsoft Sentinel 工作區
當您將 Microsoft Sentinel 上線時,第一個步驟是選取 Log Analytics 工作區。 雖然您可以使用單一工作區取得 Microsoft Sentinel 體驗的完整優點,但在某些情況下,您可能想要擴充工作區來查詢和分析工作區和租使用者的資料。
下表列出其中一些案例,並可能的話,會建議您如何使用單一工作區來進行案例。
| 需求 | 描述 | 減少工作區計數的方法 |
|---|---|---|
| 主權和法規合規性 | 工作區會繫結至特定區域。 若要將資料保留在不同的 Azure 地理位置 ,以符合法規需求,請將資料分割成不同的工作區。 | |
| 資料擁有權 | 資料擁有權的界限,例如子公司或附屬公司,最好使用個別工作區來區分。 | |
| 多個 Azure 租使用者 | Microsoft Sentinel 僅支援在 Microsoft Entra 租使用者界限內從 Microsoft 和 Azure SaaS 資源收集資料。 因此,每個 Microsoft Entra 租使用者都需要個別的工作區。 | |
| 細微的資料存取控制 | 組織可能需要允許組織內外的不同群組存取 Microsoft Sentinel 所收集的資料。 例如:
|
使用 資源 Azure RBAC 或 資料表層級 Azure RBAC |
| 瑣碎的保留設定 | 在過去,多個工作區是針對不同資料類型設定不同保留期間的唯一方法。 在許多情況下,由於資料表層級保留設定的引進,因此不再需要此設定。 | 使用 資料表層級保留設定 或自動 刪除資料 |
| 分割帳單 | 藉由將工作區放在不同的訂用帳戶中,即可向不同合作物件收取費用。 | 使用方式報告和交叉收費 |
| 舊版架構 | 使用多個工作區可能源于將不再保留的限制或最佳做法納入歷史設計。 也可能是任意設計選擇,可加以修改以更符合 Microsoft Sentinel。 範例包含:
|
重新建構工作區 |
受控安全性服務提供者 (MSSP)
如果是 MSSP,則許多如果上述所有需求都適用,請跨租使用者建立多個工作區,最佳做法。 MSSP 可以使用 Azure Lighthouse ,跨租使用者擴充 Microsoft Sentinel 跨工作區功能。
Microsoft Sentinel 多工作區架構
如上述需求所隱含,在某些情況下,單一 SOC 必須集中管理及監視多個 Microsoft Sentinel 工作區,可能跨 Microsoft Entra 租使用者。
MSSP Microsoft Sentinel 服務。
服務多個子公司的全球 SOC,每個子公司都有自己的本地 SOC。
SOC 會監視組織內的多個 Microsoft Entra 租使用者。
為了解決這些情況,Microsoft Sentinel 提供多個工作區功能,可啟用集中監視、設定和管理,在 SOC 涵蓋的所有專案上提供單一玻璃窗格。 此圖顯示這類使用案例的範例架構。
此模型比完全集中式模型提供顯著優勢,其中所有資料都會複製到單一工作區:
彈性角色指派給全域和本機 SOC,或指派給 MSSP 其客戶。
關於資料擁有權、資料隱私權和法規合規性的挑戰較少。
最少的網路延遲和費用。
輕鬆上線和下線新子公司或客戶。
在下列各節中,我們將說明如何操作此模型,特別是如何:
集中監視多個工作區,可能跨租使用者,為 SOC 提供單一玻璃窗格。
使用自動化,集中設定和管理多個工作區,可能跨租使用者。
下一步
在本文中,您已瞭解 Microsoft Sentinel 如何跨多個工作區和租使用者延伸。