步驟 2。 建構您的Microsoft Sentinel 工作區

• 適用於:

  Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

為了滿足的安全性和合規性需求，部署 Microsoft Sentinel 環境時也必須設計工作區設定。 布建程式包括建立 Log Analytics 工作區，以及設定適當的Microsoft Sentinel 選項。

本文提供如何針對 零信任 原則設計和實作Microsoft Sentinel 工作區的建議。

步驟 1：設計治理策略

如果您的組織有許多 Azure 訂用帳戶，您可能需要有一種方法來有效管理這些訂用帳戶的存取、原則和合規性。 管理群組提供訂用帳戶的治理範圍。 當您在管理群組內組織訂用帳戶時，您為管理群組設定的治理條件會套用至它所包含的訂用帳戶。 如需詳細資訊，請參閱 使用管理群組組織您的資源。

例如，下圖中的 Microsoft Sentinel 工作區位於平臺管理群組下的安全性訂用帳戶中，這是Microsoft Entra ID 租使用者的一部分。

安全性 Azure 訂用帳戶和 Microsoft Sentinel 工作區會繼承套用至平臺管理群組的角色型存取控制 （RBAC） 和 Azure 原則。

步驟 2：建立 Log Analytics 工作區

若要使用 Microsoft Sentinel，第一個步驟是建立 Log Analytics 工作區。 單一 Log Analytics 工作區可能足以供許多環境使用，但許多組織會建立多個工作區，以將成本優化，並更符合不同的商務需求。

最佳做法是針對 Microsoft Sentinel 的數據擁有權和安全性數據建立個別工作區。 例如，如果有一個以上的人員管理作業和安全性角色，則您對於 零信任 的第一個決策是是否要為這些角色建立個別的工作區。

統一安全性作業平臺可存取Defender入口網站中的Microsoft Sentinel，僅支援單一工作區。

如需詳細資訊，請參閱 Contoso 針對作業和安全性角色的不同工作區的範例解決方案。

Log Analytics 工作區設計考慮

對於單一租使用者，有兩種方式Microsoft Sentinel 工作區可以設定：

• 具有單一 Log Analytics 工作區的單一租使用者。 在此情況下，工作區會成為租使用者內所有資源記錄的中央存放庫。

  優點：

  • 集中合併記錄。
  • 更容易查詢資訊。
  • Azure 角色型訪問控制 （Azure RBAC） 來控制 Log Analytics 和 Microsoft Sentinel 的存取。 如需詳細資訊，請參閱 管理 Log Analytics 工作區的存取權 - Azure 監視器，以及 Sentinel Microsoft中的角色和許可權。

  缺點：

  • 可能不符合治理需求。
  • 區域之間會有頻寬成本。

• 具有區域Log Analytics工作區的單一租使用者。

  優點：

  • 沒有跨區域頻寬成本。
  • 可能需要符合治理。
  • 細微的數據訪問控制。
  • 細微的保留設定。
  • 分割計費。

  缺點：

  • 無中央玻璃窗格
  • 必須多次部署分析、活頁簿和其他設定。

如需詳細資訊，請參閱設計 Log Analytics 工作區架構。

步驟 3：架構Microsoft Sentinel 工作區

上線Microsoft Sentinel 需要選取 Log Analytics 工作區。 以下是設定 Microsoft Sentinel Log Analytics 的考慮：

• 建立 安全性 資源群組以供治理之用，可讓您隔離Microsoft Sentinel 資源和角色型存取集合。 如需詳細資訊，請參閱設計 Log Analytics 工作區架構。

• 在 安全性 資源群組中建立Log Analytics工作區，並將Microsoft Sentinel上線。 這會自動讓您 在免費試用期間每天 擷取最多 10 Gb 的數據。

• 將支援 Microsoft Sentinel 的 Log Analytics 工作區設定為至少 90 天的保留 期。

將Microsoft Sentinel 上線至 Log Analytics 工作區之後，您就不需要額外費用就能取得 90 天的數據保留期，並確保記錄數據的 90 天變換。 在 90 天后，您將會產生工作區中總數據量的成本。 您可以考慮根據政府需求保留記錄數據更長的時間。 如需詳細資訊，請參閱 建立 Log Analytics 工作區 和 快速入門：在 Microsoft Sentinel 中上線。

Microsoft Sentinel 零信任

若要實作零信任架構，請考慮擴充工作區，以跨工作區和租用戶查詢和分析您的數據。 使用 範例Microsoft Sentinel 工作區設計 ，以及 跨工作區和租用戶 擴充Microsoft Sentinel，以判斷組織的最佳工作區設計。

此外，使用 雲端角色和作業管理規範指引 及其 Excel 電子表格（下載）。 本指南中要考慮Microsoft Sentinel 的 零信任 工作如下：

• 定義具有相關聯Microsoft Entra 群組的 Sentinel RBAC 角色Microsoft。
• 驗證實作Microsoft Sentinel 的存取做法仍符合貴組織的需求。
• 請考慮使用客戶管理的金鑰。

使用 RBAC 零信任

為了符合 零信任，建議您根據允許使用者的資源來設定 Azure RBAC，而不是讓他們存取整個 Microsoft Sentinel 環境。

下表列出一些Microsoft Sentinel 特定角色。

角色名稱	描述
Microsoft Sentinel 讀者	檢視數據、事件、活頁簿和其他Microsoft Sentinel 資源。
Microsoft Sentinel 回應程式	除了Microsoft Sentinel 讀者角色的功能之外，還管理事件（指派、關閉等）。 此角色適用於使用者類型的安全性分析師。
Microsoft Sentinel 劇本操作員	列出、檢視及手動執行劇本。 此角色也適用於使用者類型的安全性分析師。 此角色是授與Microsoft Sentinel 回應者以最低許可權執行Microsoft Sentinel 劇本的能力。
Microsoft Sentinel 參與者	除了Microsoft Sentinel 劇本操作員角色的功能之外，還建立和編輯活頁簿、分析規則和其他Microsoft Sentinel 資源。 此角色適用於使用者類型的安全性工程師。
Microsoft Sentinel 自動化參與者	允許Microsoft Sentinel 將劇本新增至自動化規則。 但不適用於使用者帳戶。

當您指派Microsoft Sentinel 特定的 Azure 角色時，可能會遇到其他可能已指派給使用者以用於其他用途的 Azure 和 Log Analytics 角色。 例如， Log Analytics 參與者 和 Log Analytics 讀取者 角色會授與 Log Analytics 工作區的存取權。

如需詳細資訊，請參閱 Microsoft Sentinel 中的角色和許可權，以及 依資源管理Microsoft Sentinel 數據的存取權。

使用 Azure Lighthouse 在多租用戶架構中 零信任

Azure Lighthouse 支援多租用戶管理，可實現可擴縮性、更高的自動化，以及跨資源的強化治理。 透過 Azure Lighthouse，您可以大規模管理跨 Microsoft Entra 租使用者的多個Microsoft Sentinel 實例。 以下是範例。

透過 Azure Lighthouse，您可以跨多個工作區執行查詢，或建立活頁簿，以可視化方式檢視和監視來自連線數據源的數據，並取得額外的見解。 請務必考慮 零信任 原則。 請參閱 針對 Azure Lighthouse 實作最低許可權訪問控制的建議安全性做法 。

實作 Azure Lighthouse 的安全性最佳做法時，請考慮下列問題：

• 誰負責數據擁有權？
• 什麼是數據隔離和合規性需求？
• 如何跨租用戶實作最低許可權？
• 如何在多個Microsoft Sentinel 工作區中管理多個數據連接器？
• 如何監視 Office 365 環境？
• 如何保護智慧財產權，例如劇本、筆記本、分析規則–跨租使用者？

如需 Sentinel 和 Azure Lighthouse 的安全性最佳做法，請參閱 大規模管理 Microsoft Microsoft Sentinel 工作區：細微的 Azure RBAC 。

將工作區上線至統一的安全性作業平臺

如果您使用單一工作區，建議您將工作區上線至統一的安全性作業平臺，以檢視所有Microsoft Sentinel 數據，以及 Microsoft Defender 入口網站中的 XDR 數據。

統一安全性作業平臺也提供改良的功能，例如 SAP 系統的自動攻擊中斷、Defender 進階搜捕頁面的統一查詢，以及跨 Microsoft Defender 和 Microsoft Sentinel 的統一事件和實體。

如需詳細資訊，請參閱

• 將 Sentinel Microsoft 連線至 Microsoft Defender 全面偵測回應
• 在 Microsoft Defender 入口網站中Microsoft Sentinel

建議的訓練

訓練內容目前未涵蓋統一的安全性作業平臺。

Microsoft Sentinel 簡介

訓練	Microsoft Sentinel 簡介
	瞭解Microsoft Sentinel 如何讓您快速開始從雲端和內部部署數據取得寶貴的安全性見解。

開始 >

設定您的 Microsoft Sentinel 環境

訓練	設定您的Microsoft Sentinel 環境
	透過適當設定 Microsoft Sentinel 工作區，開始使用 Microsoft Sentinel。

開始 >

建立並管理 Microsoft Sentinel 工作區

訓練	建立並管理 Microsoft Sentinel 工作區
	了解 Microsoft Sentinel 工作區的結構，以確保您將系統設定為符合組織的安全性作業需求。

開始 >

後續步驟

繼續進行 步驟 3 以設定Microsoft Sentinel 以內嵌數據源並設定事件偵測。

參考資料

請參閱這些連結，以瞭解本文所述的服務和技術。

服務區域	深入了解
Microsoft Sentinel	- 快速入門：在 Microsoft Sentinel 中上線 - 依資源管理Microsoft Sentinel 數據的存取權
Microsoft Sentinel 治理	- 使用管理群組來組織您的資源 - Microsoft Sentinel 中的角色與權限
Log Analytics 工作區	- 設計 Log Analytics 工作區架構 - Log Analytics 工作區的設計準則 - Contoso 的解決方案 - 管理 Log Analytics 工作區的存取權 - Azure 監視器 - 設計 Log Analytics 工作區架構 - 建立 Log Analytics 工作區
Microsoft Sentinel 工作區和 Azure Lighthouse	- 大規模管理Microsoft Sentinel 工作區：細微的 Azure RBAC - 建議的安全性做法