重要事項
自 2027 年 3 月 31 日起,Microsoft Sentinel 將不再支援 Azure 入口網站,僅能在 Microsoft Defender 入口網站中使用。 所有在 Azure 入口網站使用 Microsoft Sentinel 的客戶,將被重新導向至 Defender 入口網站,且僅在 Defender 入口網站使用 Microsoft Sentinel。
如果您仍在 Azure 入口網站使用 Microsoft Sentinel,建議您開始規劃轉換至 Defender 入口網站,以確保順利過渡並充分利用 Microsoft Defender 所提供的統一安全運營體驗。
為了準備部署,你需要判斷多工作空間架構是否適合你的環境。 在本文中,您將了解 Microsoft Sentinel 如何跨越多個工作空間與租戶,幫助您判斷此功能是否符合貴組織的需求。 本文是 Microsoft Sentinel 部署指南的一部分。
根據你使用的入口網站,請使用以下一套設定說明,以跨工作空間擴展 Microsoft Sentinel:
| 入口網站 | 參考 |
|---|---|
| Microsoft Defender 入口網站 |
-
Defender 入口網站中的多個 Microsoft Sentinel 工作空間 - Microsoft Defender 多租戶管理 |
| Azure 入口網站 |
-
將 Microsoft Sentinel 擴展至多個工作空間與租戶 - 透過工作管理工具集中管理多個啟用的 Microsoft Sentinel Log Analytics 工作空間 |
需要使用多個工作空間
當您啟用 Microsoft Sentinel 時,第一步是選擇您的 Log Analytics 工作空間。 雖然你可以在單一工作區中充分享受 Microsoft Sentinel 的體驗,但在某些情況下,你可能想擴展工作空間,以便跨工作區和租戶查詢和分析資料。
此表列出部分此類情境,並在可能的情況下建議如何使用單一工作區來完成該情境。
| 需求 | 描述 | 減少工作區數量的方法 |
|---|---|---|
| 主權與法規遵循 | 工作區綁定在特定區域。 為了讓資料分布在不同的 Azure 地理區域以符合法規要求,請將資料拆分到不同的工作區。 在 Microsoft Sentinel 中,資料大多儲存與處理於同一地理或區域,但有少數例外,例如使用利用 Microsoft 機器學習的偵測規則。 在這種情況下,資料可能會被複製到工作區地理範圍之外以便處理。 |
|
| 資料擁有權 | 資料所有權的邊界,例如子公司或關聯公司,則透過分開的工作區來劃分會更為明顯。 | |
| 多個 Azure 租戶 | Microsoft Sentinel 僅支援在其自有的 Microsoft Entra 租戶邊界內,從 Microsoft 和 Azure SaaS 資源收集資料。 因此,每個 Microsoft Entra 租戶都需要獨立的工作空間。 | |
| 細緻資料存取控制 | 組織可能需要允許不同團體,無論是組織內外,都能存取 Microsoft Sentinel 收集的部分資料。 例如:
|
Use resource Azure RBAC 或 table level Azure RBAC |
| 顆粒式保留設定 | 過去,多個工作區是設定不同資料類型保留期限的唯一方式。 由於引入了表格層級的保留設定,這種情況在許多情況下已不再需要。 | 使用 表格層級的保留設定 或自動化 資料刪除 |
| 分段計費 | 透過將工作區分開訂閱,可以向不同方計費。 | 使用報告與交叉充電 |
| 遺留架構 | 多重工作空間的使用可能源自歷史設計,考量了限制或最佳實務,但這些做法已不再適用。 也可能是任意設計選擇,可以修改以更好地配合 Microsoft Sentinel。 範例包含:
|
重新設計工作空間 |
在決定使用多少租戶與工作空間時,請考慮大多數 Microsoft Sentinel 功能使用單一工作區或 Microsoft Sentinel 實例,且 Microsoft Sentinel 會匯入工作區內的所有日誌。
MSSP (託管安全服務供應商)
對於MSSP,上述多項要求都適用,因此跨租戶設置多個工作空間是最佳實務。 具體來說,我們建議你為每個 Microsoft Entra 租戶建立至少一個工作區,以支援內建的服務對服務資料連接器,這些連接器只能在各自的 Microsoft Entra 租戶中運作。
基於診斷設定的連接器無法連接到不在同一租戶中的工作空間。 這適用於像 Azure 防火牆、Azure Storage、Azure Activity 或 Microsoft Entra ID 這類連接器。
合作夥伴資料連接器通常基於 API 或代理集合,因此不會綁定於特定的 Microsoft Entra 租戶。
使用 Azure Lighthouse 幫助管理多個 Microsoft Sentinel instance 在不同 tenants.u
Microsoft Sentinel 多工作空間架構
如上述需求所示,有些情況下,單一 SOC 需要集中管理並監控多個為 Microsoft Sentinel 啟用的日誌分析工作區,甚至跨越 Microsoft Entra 租戶。
- An MSSP Microsoft Sentinel Service.
- 一個服務多個子公司的全球 SOC,每個子公司都有自己的本地 SOC。
- 一個監控組織內多個 Microsoft Entra 租戶的 SOC。
為了解決這些情況,Microsoft Sentinel 提供多工作空間功能,實現集中監控、設定與管理,為 SOC 涵蓋的所有部分提供單一的視覺介面。 此圖展示了此類使用案例的範例架構。
此模式相較於完全集中式(所有資料複製至單一工作區)具有顯著優勢:
- 靈活地分配給全球及本地 SOC,或 MSSP 的客戶。
- 在資料所有權、資料隱私及法規遵循等方面,挑戰也減少。
- 網路延遲和費用都很低。
- 新子公司或客戶的入職與離職都很簡單。
後續步驟
在本文中,你了解到 Microsoft Sentinel 如何跨越多個工作空間和租戶。