設計 Microsoft Sentinel 工作區架構
本文提供決策樹,協助您做出有關如何設計 Microsoft Sentinel 工作區架構的重要決策。 如需詳細資訊,請參閱 Microsoft Sentinel 範例工作區設計和 Microsoft Sentinel 工作區架構最佳做法 。 本文是 Microsoft Sentinel 的部署指南的 一部分。
必要條件
在完成決策樹之前,請確定您有下列資訊:
| 必要條件 | 描述 |
|---|---|
| 與 Azure 資料落地相關的法規需求 | Microsoft Sentinel 可以在大部分的工作區上執行,但不是 Log Analytics GA 中支援的所有區域 。 新支援的 Log Analytics 區域可能需要一些時間才能將 Microsoft Sentinel 服務上線。 Microsoft Sentinel 所產生的資料,例如事件、書簽和分析規則,可能包含從客戶的 Log Analytics 工作區來源的一些客戶資料。 如需詳細資訊,請參閱 地理可用性和資料落地 。 |
| 資料來源 | 瞭解您需要連線的 資料來源 ,包括 Microsoft 和非 Microsoft 解決方案的內建連接器。 您也可以使用 Common Event Format (CEF)、Syslog 或 REST-API,將資料來源與 Microsoft Sentinel 連線。 如果您的 Azure VM 位於多個 Azure 位置,您需要從中收集記錄,並節省資料輸出成本對於您很重要,您必須針對每個 Azure 位置使用 頻寬定價計算機 來計算資料輸出成本。 |
| 使用者角色和資料存取層級/許可權 | Microsoft Sentinel 使用 Azure 角色型存取控制 (Azure RBAC) 來提供 內建角色 ,可指派給 Azure 中的使用者、群組和服務。 所有 Microsoft Sentinel 內建角色都會授與 Microsoft Sentinel 工作區中資料的讀取權限。 因此,您必須瞭解是否需要控制每個資料來源或資料列層級的資料存取,這會影響工作區設計決策。 如需詳細資訊,請參閱 自訂角色和進階 Azure RBAC 。 |
| 每日擷取率 | 每日擷取率通常以 GB/天為單位,是 Microsoft Sentinel 成本管理和規劃考慮和工作區設計的重要因素之一。 在大部分的雲端和混合式環境中,網路裝置,例如防火牆或 Proxy,以及 Windows 和 Linux 伺服器會產生最內嵌的資料。 為了取得最精確的結果,Microsoft 建議詳盡清查資料來源。 或者,Microsoft Sentinel 成本計算機 包含用來估計資料來源使用量的資料表。 重要 :這些估計值是起點,記錄詳細資訊設定和工作負載會產生變異數。 建議您定期監視系統,以追蹤任何變更。 根據您的案例建議定期監視。 如需詳細資訊,請參閱 Azure 監視器記錄定價詳細資料 (部分機器翻譯)。 |
決策樹
下圖顯示完整的決策樹流程圖,可協助您瞭解如何最佳設計工作區。
下列各節提供此決策樹的全文檢索版本,包括影像中參考的下列附注:
附注 #1 | 附注 #2 | 附注 #3 | 附注 #4 | 附注 #5 | 附注 #6 | 附注 #7 | 附注 #8 | 附注 #9 | 附注 #10
步驟 1:新增或現有的工作區?
您有可用於 Microsoft Sentinel 的現有工作區嗎?
如果沒有,您隨時都會建立新的工作區 ,請直接繼續進行 步驟 2 。
如果您有可能使用的現有工作區 ,請考慮您要擷取的資料量。
步驟 2:將資料保留在不同的 Azure 地理位置?
如果您有法規需求來將資料保留在不同的 Azure 地理位置 ,請針對每個具有合規性需求的 Azure 區域使用個別的 Microsoft Sentinel 工作區。 如需詳細資訊,請參閱 區域考慮 。
如果您不需要將資料保留在不同的 Azure 地理位置 ,請繼續進行 步驟 3 。
步驟 3:您是否有多個 Azure 租使用者?
如果您只有單一租使用者 ,請直接繼續進行 步驟 4 。
如果您有多個 Azure 租使用者 ,請考慮您正在收集租使用者界限特定的記錄,例如 Office 365 或Microsoft Defender 全面偵測回應。
如果您沒有任何租使用者特定的記錄 ,請直接繼續進行 步驟 4 。
如果您要 收集租使用者特定的記錄 ,請針對每個 Microsoft Entra 租使用者使用不同的 Microsoft Sentinel 工作區。 請繼續進行 步驟 4 以取得其他考慮。
決策樹注意事項 #1 :租使用者界限的特定記錄,例如從 Office 365 和適用於雲端的 Microsoft Defender,只能儲存在相同租使用者的工作區中。
雖然可以使用 自訂收集器從另一個租使用者中的工作區收集租使用者特定記錄,但我們不建議這樣做,因為下列缺點:
- 自訂連接器收集的資料會內嵌到自訂資料表中。 因此,您將無法使用所有內建規則和活頁簿。
- 某些內建功能不會考慮自訂資料表,例如 UEBA 和機器學習規則。
- 自訂連接器所需的額外成本和精力,例如使用 Azure Functions 和 Logic Apps。
如果這些缺點對您的組織不關心,請繼續進行 步驟 4 ,而不是使用個別的 Microsoft Sentinel 工作區。
步驟 4:分割計費/退款?
如果您需要分割計費或退款,請考慮使用量報告或手動交叉收費是否適合您。
如果您 不需要分割帳單或退款 ,請繼續進行 步驟 5 。
如果您需要 分割帳單或退款 ,請考慮使用手動交叉收費。 若要取得每個實體的準確成本,您可以使用修改過的 Microsoft Sentinel 成本活頁簿版本,依實體細分成本。
如果使用量報告或手動交叉收費適合您 ,請繼續進行 步驟 5 。
如果 使用量報告或手動交叉收費都 不適用於您 ,請針對每個成本擁有者使用不同的 Microsoft Sentinel 工作區。
決策樹附注 #2 :如需詳細資訊,請參閱 Microsoft Sentinel 成本和計費 。
步驟 5:收集任何非 SOC 資料?
如果您未收集任何非 SOC 資料,例如運算元據 ,您可以直接跳至 步驟 6 。
如果您要 收集非 SOC 資料 ,請考慮是否有任何重迭,其中 SOC 和非 SOC 資料都需要相同的資料來源。
如果您在 SOC 和非 SOC 資料 之間有重迭,請只將重迭的資料視為 SOC 資料。 然後,請考慮個別擷取 SOC 和非 SOC 資料的擷取 是否小於 100 GB/天,但合併時超過 100 GB/ 天:
不論是哪一種情況,如需詳細資訊,請參閱 附注 10 。
如果您沒有 重迭的資料 ,請考慮個別擷取 SOC 和非 SOC 資料的擷取 是否小於 100 GB/天,但合併時超過 100 GB/ 天:
結合 SOC 和非 SOC 資料
決策樹附注 #3 :雖然我們通常建議客戶為其非 SOC 資料保留個別的工作區,讓非 SOC 資料不受 Microsoft Sentinel 成本約束,但在某些情況下,結合 SOC 和非 SOC 資料的成本可能低於分隔。
例如,假設有安全性記錄擷取于 50 GB/天、作業記錄擷取于 50 GB/天,以及美國東部區域的工作區。
下表比較工作區選項與和不含個別工作區。
注意
下表所列的成本和詞彙是假的,僅供說明之用。 如需最新的成本資訊,請參閱 Microsoft Sentinel 定價計算機。
| 工作區架構 | 描述 |
|---|---|
| SOC 小組有自己的工作區,已啟用 Microsoft Sentinel。 Ops 小組有自己的工作區,未啟用 Microsoft Sentinel。 |
SOC 小組 : Microsoft Sentinel 每月 50 GB 的成本為 $6,500 美元。 前三個月的保留是免費的。 Ops 小組 : - Log Analytics 每月 50 GB 的成本約為每月 3,500 美元。 - 保留前 31 天是免費的。 兩者的總成本等於每月 $10,000 美元。 |
| SOC 和 Ops 小組都會與已啟用 Microsoft Sentinel 共用相同的工作區。 | 結合這兩個記錄,擷取將會是 100 GB/天,有資格獲得承諾層資格(Sentinel 為 50%,LA 為 15%) 。 Microsoft Sentinel 每月 100 GB 的成本等於每月 $9,000 美元。 |
在此範例中,您將透過結合工作區來節省每月 $1,000 美元的成本,而 Ops 小組也會享受 3 個月的免費保留,而不是只保留 31 天。
只有當 SOC 和非 SOC 資料都有 =50 GB/天和 < 100 GB/天的擷取大小 > 時,此範例才相關。
決策樹注意事項 #10 :我們建議針對非 SOC 資料使用不同的工作區,讓非 SOC 資料不受 Microsoft Sentinel 成本約束。
不過,非 SOC 資料之個別工作區的這項建議來自純粹以成本為基礎的觀點,而且判斷是否要使用單一或多個工作區時,還有其他重要的設計因素要檢查。 若要避免雙重擷取成本,請考慮只使用資料表層級 Azure RBAC 在單一工作區上收集重迭的資料。
步驟 6:多個區域?
如果您只 從單 一 區域中的 Azure VM 收集記錄,請直接繼續進行 步驟 7 。
如果您要從多個 區域中 的 Azure VM 收集記錄,您對於資料輸出成本有多擔心?
決策樹注意事項 #4 :資料輸出是指 將資料移出 Azure 資料中心的頻寬成本 。 如需詳細資訊,請參閱 區域考慮 。
如果減少維護個別工作區所需的工作量是優先順序,請繼續進行 步驟 7 。
如果資料輸出成本足以讓維護值得的個別工作區,請針對您需要降低資料輸出成本的每個區域使用個別的 Microsoft Sentinel 工作區。
決策樹注意事項 #5 :建議您盡可能少一些工作區。 使用 Azure 定價計算機 來預估成本,並判斷您實際需要的區域,並將區域工作區與低輸出成本結合。 相較于個別的 Microsoft Sentinel 和 Log Analytics 擷取成本,頻寬成本可能只是 Azure 帳單的一小部分。
例如,您的成本可能估計如下:
- 1,000 部 VM,每個 VM 產生 1 GB/天;
- 將資料從美國區域傳輸到歐盟區域;
- 在代理程式中使用 2:1 壓縮率
此估計成本的計算會是:
1000 VMs * (1GB/day ÷ 2) * 30 days/month * $0.05/GB = $750/month bandwidth cost相較于個別 Microsoft Sentinel 和 Log Analytics 工作區的每月成本,此範例成本會降低許多成本。
注意
列出的成本是假的,僅供說明之用。 如需最新的成本資訊,請參閱 Microsoft Sentinel 定價計算機。
步驟 7:區分資料或依擁有權定義界限?
如果您 不需要隔離資料或定義任何擁有權界限 ,請直接繼續進行 步驟 8 。
如果您需要 根據擁有權 來隔離資料或定義界限,每個資料擁有者都需要使用 Microsoft Sentinel 入口網站嗎?
如果每個資料擁有者都必須能夠存取 Microsoft Sentinel 入口網站,請針對每個擁有者使用不同的 Microsoft Sentinel 工作區。
決策樹附注 #6 :存取 Microsoft Sentinel 入口網站需要每個使用者至少有 Microsoft Sentinel 讀取者 的角色,且 工作區中所有資料表都有讀取者 許可權。 如果使用者無法存取工作區中的所有資料表,則必須使用 Log Analytics 來存取搜尋查詢中的記錄。
如果透過 Log Analytics 存取記錄已足以讓任何擁有者存取 Microsoft Sentinel 入口網站,請繼續進行 步驟 8 。
如需詳細資訊,請參閱 Microsoft Sentinel 中的許可權。
步驟 8:控制資料來源/資料表的資料存取?
如果您 不需要 依來源或資料表 控制資料存取,請使用單一 Microsoft Sentinel 工作區。
如果您需要 依來源或資料表 控制資料存取,請考慮在下列情況下使用 資源內容 RBAC :
如果您需要控制資料列層級的存取權,例如在每個資料來源或資料表上提供多個擁有者
如果您有多個自訂資料來源/資料表,其中每個資料表都需要個別的許可權
在其他情況下,當您 不需要 控制資料列層級的存取權時,請提供具有個別許可權的多個自訂資料來源/資料表,請使用單一 Microsoft Sentinel 工作區,搭配資料表層級 RBAC 進行資料存取控制。
資源內容或資料表層級 RBAC 的考慮
規劃使用資源內容或資料表層級 RBAC 時,請考慮下列資訊:
決策樹附注 #7 :若要為非 Azure 資源設定資源內容 RBAC,您可能會想要在傳送至 Microsoft Sentinel 時將資源識別碼與資料產生關聯,讓許可權可以使用資源內容 RBAC 來設定範圍。 如需詳細資訊,請參閱 依部署 明確設定資源內容 RBAC 和 存取模式。
決策樹附注 #8 : 資源許可權 或 資源內容 可讓使用者只檢視他們有權存取之資源的記錄。 工作區存取模式必須設定為 [使用者資源] 或 [工作區許可權 ]。 只有與使用者具有許可權的資源相關的資料表,才會包含在 Microsoft Sentinel 中的 [記錄 ] 頁面的搜尋結果 中。
決策樹附注 #9 : 資料表層級 RBAC 除了其他許可權之外,您還可以定義對 Log Analytics 工作區中資料更細微的控制。 此控制項可讓您定義只能供特定使用者存取的特定資料類型。 如需詳細資訊,請參閱 Microsoft Sentinel 中的資料表層級 RBAC。
下一步
在本文中,您已檢閱決策樹,以協助您做出有關如何設計 Microsoft Sentinel 工作區架構的重要決策。