Microsoft Sentinel 工作區架構最佳做法

規劃 Microsoft Sentinel 工作區部署時，您也必須設計 Log Analytics 工作區架構。 工作區架構的決策通常是由商務和技術需求所驅動。 本文會檢閱重要決策因素，以協助您判斷適合您組織的工作區架構，包括：

• 無論您要使用單一租使用者還是多個租使用者
• 您對於資料收集和儲存體擁有的任何合規性需求
• 如何控制對 Microsoft Sentinel 資料的存取
• 不同案例的成本影響

如需詳細資訊，請參閱 設計 Microsoft Sentinel 工作區架構 和 常見案例的範例工作區設計 ，以及 部署 Microsoft Sentinel 的預先部署活動和必要條件。

請參閱我們的影片： 架構 SecOps 以取得成功：部署 Microsoft Sentinel 的最佳做法。

本文是 Microsoft Sentinel 的部署指南的 一部分。

租用考慮

雖然管理較少的工作區比較簡單，但是對於多個租用戶和工作區您可能會有特定需求。 例如，許多組織都有一個雲端環境，其中包含多個 Microsoft Entra 租 使用者，因為合併和收購或因身分識別分離需求所致。

判斷要使用的租用戶和工作區數目時，請考慮大部分的 Microsoft Sentinel 功能都是使用單一工作區或 Microsoft Sentinel 執行個體運作，而 Microsoft Sentinel 會內嵌工作區內存放的所有記錄。

成本是判斷 Microsoft Sentinel 架構時的一個主要考量。 如需詳細資訊，請參閱 Microsoft Sentinel 成本和計費 。

使用多個租用戶

如果您有多個租使用者，例如如果您是受控安全性服務提供者 （MSSP），建議您為每個 Microsoft Entra 租使用者建立至少一個工作區，以支援內建 的服務對服務資料連線器，這些連接器 只能在自己的 Microsoft Entra 租使用者內運作。

所有以診斷設定為基礎的連接器都無法連線到位於資源所在相同租使用者的工作區。 這適用于連接器，例如Azure 防火牆、Azure 儲存體、Azure 活動 或 Microsoft Entra ID 。

使用 Azure Lighthouse 協助管理不同租使用者中的多個 Microsoft Sentinel 實例。

注意

合作夥伴資料連線器 通常是以 API 或代理程式組件合為基礎，因此不會附加至特定的 Microsoft Entra 租使用者。

合規性考量

在您收集、儲存和處理資料之後，合規性可能會成為重要的設計需求，對您的 Microsoft Sentinel 結構產生重大的影響。 能夠驗證及證明誰能夠存取所有條件下哪些資料，是許多國家和地區的重要資料主權需求，而評估風險以及在 Microsoft Sentinel 工作流程中取得深入解析，是許多客戶的首要任務。

在 Microsoft Sentinel 中，資料大多會儲存並處理在相同的地理位置或區域中，但有一些例外狀況，例如使用利用 Microsoft 機器學習的偵測規則時。 在這種情況下，資料可能會複製到工作區地理位置之外進行處理。

如需詳細資訊，請參閱

• 地理可用性和資料落地
• Azure 中的資料落地
• 在歐盟中儲存和處理歐盟資料 - 歐盟政策部落格

若要開始驗證合規性，請評估您的資料來源，以及其傳送資料的方式和位置。

注意

Log Analytics 代理程式 支援 TLS 1.2，以確保代理程式與 Log Analytics 服務之間傳輸的資料安全性，以及 FIPS 140 標準。

如果您要將資料傳送至與 Microsoft Sentinel 工作區不同的地理位置或區域，不論傳送資源是否位於 Azure 中，請考慮使用相同地理位置或區域中的工作區。

區域考量

針對每個區域使用不同的 Microsoft Sentinel 執行個體。 雖然 Microsoft Sentinel 可用於多個區域，但您可能需要依小組、區域或網站或網站或法規和控制項來分隔資料，讓多區域模型變得不可能或比需要更複雜。 針對每個區域使用不同的執行個體和工作區有助於避免跨區域移動資料的頻寬/輸出成本。

使用多個區域作業時，請考慮下列事項:

• 當 Log Analytics 或 Azure 監視器代理程式 需要收集記錄時 ，通常適用輸出成本，例如虛擬機器上的記錄。

• 網際網路輸出也會收費，除非您在 Log Analytics 工作區外匯出資料，否則可能會影響您。 例如，如果您將 Log Analytics 資料匯出至內部部署伺服器，可能會產生網際網路輸出費用。

• 頻寬成本會根據來源和目的地區域和收集方法而有所不同。 如需詳細資訊，請參閱

  • 頻寬定價
  • 使用 Log Analytics 的資料傳輸費用。

• 針對您的分析規則、自訂查詢、活頁簿和其他資源使用範本，讓您的部署更有效率。 部署範本，而不是在每一個區域中手動部署每個資源。

• 以診斷設定為基礎的連接器不會產生頻寬內成本。 如需詳細資訊，請參閱 使用 Log Analytics 的資料傳輸費用。

例如，如果您決定從美國東部的虛擬機器收集記錄，並將其傳送到美國西部的 Microsoft Sentinel 工作區，則會向您收取資料傳輸的輸入費用。 由於 Log Analytics 代理程式會壓縮傳輸中的資料，因此針對頻寬收費的大小可能低於 Microsoft Sentinel 中的記錄大小。

如果您要從世界各地的多個來源收集 Syslog 和 CEF 記錄，您可能會想要在與 Microsoft Sentinel 工作區相同的區域中設定 Syslog 收集器，以避免頻寬成本，但前提是合規性並不相關。

瞭解頻寬成本是否適合個別 Microsoft Sentinel 工作區，取決於您需要在區域之間傳輸的資料量。 使用 Azure 定價計算機來預估您的成本。

如需詳細資訊，請造訪 Azure 中的資料落地。

存取考量

您可能已規劃不同的小組需要存取相同資料的情況。 例如，您的 SOC 小組必須能夠存取所有 Microsoft Sentinel 的資料，而作業和應用程式小組只需要存取特定部分。 獨立安全性小組可能也需要存取 Microsoft Sentinel 功能，但有不同的資料集。

結合 資源內容 RBAC 和 資料表層級 RBAC ，為您的小組提供廣泛的存取選項，以支援大部分的使用案例。

如需詳細資訊，請參閱 Microsoft Sentinel 中的許可權。

資源內容 RBAC

下圖顯示簡化的工作區架構版本，其中安全性和作業小組需要存取不同資料集，並使用資源內容 RBAC 來提供所需的權限。

在此圖片中，Microsoft Sentinel 工作區位在個別的訂用帳戶中，以更妥善地隔離權限。

注意

另一個選項是將 Microsoft Sentinel 放在專用於安全性的個別管理群組之下，這可確保只會繼承最少的許可權指派。 在安全性小組內，會根據其功能指派數個群組的許可權。 由於這些小組可以存取整個工作區，因此他們只能存取他們指派的 Microsoft Sentinel 角色，才能存取完整的 Microsoft Sentinel 體驗。 如需詳細資訊，請參閱 Microsoft Sentinel 中的許可權。

除了安全性訂用帳戶之外，應用程式小組也會使用不同的訂用帳戶來裝載其工作負載。 應用程式小組會被授與其各自資源群組的存取權，可以在其中管理其資源。 這個個別的訂用帳戶和資源內容 RBAC 可讓這些小組檢視他們有權存取的任何資源產生的記錄，即使記錄儲存在他們 沒有直接存取權的工作區中也一樣。 應用程式小組可以透過 Azure 入口網站的記錄區域存取其記錄、顯示特定資源的記錄，或透過 Azure 監視器來顯示他們可以同時存取的所有記錄。

Azure 資源具有資源內容 RBAC 的內建支援，但在使用非 Azure 資源時，可能需要進行額外的微調。 如需詳細資訊，請參閱 明確設定資源內容 RBAC 。

資料表層級 RBAC

資料表層級 RBAC 可讓您定義特定資料類型 (資料表)，只能由一組指定的使用者存取。

例如，假設上圖中描述其架構的組織也必須將 Office 365 記錄的存取權授與內部稽核小組。 在此情況下，他們可能會使用資料表層級 RBAC，將整個 OfficeActivity 資料表的存取權授與稽核小組，而不需要將權限授與任何其他資料表。

使用多個工作區的存取考量

如果您的組織內有不同的實體、子公司或地理位置，每個實體都有需要存取 Microsoft Sentinel 的安全性小組，請針對各個實體或子公司使用不同的工作區。 使用 Azure Lighthouse 在單一 Microsoft Entra 租用戶內或跨多個租用戶實作個別工作區。

您的中央 SOC 小組也可以使用額外的選擇性 Microsoft Sentinel 工作區來管理集中式成品，例如分析規則或活頁簿。

如需詳細資訊，請參閱 簡化使用多個工作區 。

建立工作區技術的最佳做法

建立將用於 Microsoft Sentinel 的 Log Analytics 工作區時，請使用下列最佳做法指導：

• 在命名工作區時，請在名稱中包含 Microsoft Sentinel 或其他指標，以便在其他工作區中可輕鬆識別。

• 針對 Microsoft Sentinel 和適用於雲端的 Microsoft Defender 使用相同的工作區，因此 Microsoft Sentinel 也可以內嵌和使用適用於雲端的 Microsoft Defender 收集的所有記錄。 適用於雲端的 Microsoft Defender 建立的預設工作區不會顯示為 Microsoft Sentinel 的可用工作區。

• 如果您每天的投影資料擷取大約或超過 1 TB，請使用專用工作區叢集。 專用 叢集 可讓您保護 Microsoft Sentinel 資料的資源，以提升大型資料集的查詢效能。 專用叢集也提供更多加密和控制組織金鑰的選項。

請勿將資源鎖定套用至您將用於 Microsoft Sentinel 的 Log Analytics 工作區。 工作區上的資源鎖定可能會導致許多 Microsoft Sentinel 作業失敗。

簡化多個工作區的使用

如果您需要使用多個工作區，請壓縮 並列出單一位置 中每個 Microsoft Sentinel 實例的所有事件，以簡化您的事件管理和調查。

若要參考其他 Microsoft Sentinel 工作區中保留的資料，例如 跨工作區活頁簿 ，請使用 跨工作區查詢 。

使用跨工作區查詢的最佳時機是將重要資訊儲存在不同的工作區、訂用帳戶或租使用者中，並可為您的目前動作提供價值。 例如，下列程式碼會顯示範例跨工作區查詢：

union Update, workspace("contosoretail-it").Update, workspace("WORKSPACE ID").Update
| where TimeGenerated >= ago(1h)
| where UpdateState == "Needed"
| summarize dcount(Computer) by Classification

如需詳細資訊，請參閱 跨工作區和租使用者 擴充 Microsoft Sentinel。

下一步

在本文中，您已瞭解關鍵決策因素，以協助您判斷適合您組織的工作區架構。

設計 Microsoft Sentinel 工作區架構