Příprava na více pracovních prostorů a tenantů v Microsoft Sentinelu
Pokud chcete připravit nasazení, musíte určit, jestli je pro vaše prostředí relevantní více architektur pracovního prostoru. V tomto článku se dozvíte, jak microsoft Sentinel může rozšířit více pracovních prostorů a tenantů, abyste mohli zjistit, jestli tato funkce vyhovuje potřebám vaší organizace. Tento článek je součástí průvodce nasazením pro Microsoft Sentinel.
Pokud jste se rozhodli nastavit prostředí tak, aby se rozšířilo mezi pracovní prostory, přečtěte si téma Rozšíření služby Microsoft Sentinel mezi pracovní prostory a tenanty a centrální správa více pracovních prostorů služby Log Analytics povolených pro Microsoft Sentinel pomocí správce pracovních prostorů. Pokud má vaše organizace v plánu připojit se k portálu Microsoft Defenderu, přečtěte si téma Správa víceklientů v programu Microsoft Defender.
Potřeba použít více pracovních prostorů
Při onboardingu služby Microsoft Sentinel je vaším prvním krokem výběr pracovního prostoru služby Log Analytics. I když můžete získat plnou výhodu prostředí Microsoft Sentinelu s jedním pracovním prostorem, v některých případech můžete chtít rozšířit pracovní prostor tak, aby se dotazovat a analyzovat data napříč pracovními prostory a tenanty.
Tato tabulka uvádí některé z těchto scénářů a pokud je to možné, navrhuje, jak pro scénář použít jeden pracovní prostor.
| Požadavek | Popis | Způsoby snížení počtu pracovních prostorů |
|---|---|---|
| Suverenita a dodržování právních předpisů | Pracovní prostor je vázaný na konkrétní oblast. Pokud chcete zachovat data v různých geografických oblastech Azure, aby splňovala zákonné požadavky, rozdělte data do samostatných pracovních prostorů. Ve službě Microsoft Sentinel se data většinou ukládají a zpracovávají ve stejné zeměpisné oblasti nebo oblasti, s některými výjimkami, například při použití pravidel detekce, která využívají strojové učení Microsoftu. V takových případech se data můžou zkopírovat mimo geografickou oblast pracovního prostoru ke zpracování. |
|
| Vlastnictví dat | Hranice vlastnictví dat, například dceřinými společnostmi nebo přidruženými společnostmi, jsou lépe vymezeny pomocí samostatných pracovních prostorů. | |
| Více tenantů Azure | Microsoft Sentinel podporuje shromažďování dat z prostředků Microsoft a Azure SaaS pouze v rámci vlastní hranice tenanta Microsoft Entra. Každý tenant Microsoft Entra proto vyžaduje samostatný pracovní prostor. | |
| Podrobné řízení přístupu k datům | Organizace může potřebovat povolit různým skupinám v rámci organizace nebo mimo ni přístup k některým datům shromážděným službou Microsoft Sentinel. Příklad:
|
Použití Azure RBAC na úrovni prostředku nebo azure RBAC na úrovni tabulky |
| Nastavení podrobného uchovávání informací | V minulosti bylo více pracovních prostorů jediným způsobem, jak nastavit různá období uchovávání pro různé datové typy. V mnoha případech už to není potřeba, a to díky zavedení nastavení uchovávání na úrovni tabulky. | Použití nastavení uchovávání informací na úrovni tabulky nebo automatizace odstraňování dat |
| Rozdělení fakturace | Umístěním pracovních prostorů do samostatných předplatných je možné je fakturovat různým stranám. | Použijte vykazování a přeúčtování. |
| Starší architektura | Použití více pracovních prostorů může vycházet z historického návrhu, který zohlednil omezení nebo osvědčené postupy, které už nejsou pravdivé. Může to být také libovolná volba návrhu, kterou je možné upravit tak, aby lépe vyhovovala službě Microsoft Sentinel. Příkladem může být:
|
Změňte architekturu pracovních prostorů. |
Při určování počtu tenantů a pracovních prostorů, které se mají použít, vezměte v úvahu, že většina funkcí Microsoft Sentinelu funguje pomocí jednoho pracovního prostoru nebo instance Microsoft Sentinelu a microsoft Sentinel ingestuje všechny protokoly, které jsou součástí pracovního prostoru.
Poskytovatel spravované služby zabezpečení (MSSP)
V případě mssp platí mnoho z výše uvedených požadavků, což je osvědčeným postupem pro více pracovních prostorů napříč tenanty. Konkrétně doporučujeme vytvořit alespoň jeden pracovní prostor pro každého tenanta Microsoft Entra, který podporuje integrované datové konektory service to service, které fungují jenom v rámci vlastního tenanta Microsoft Entra.
Konektory založené na nastavení diagnostiky se nedají připojit k pracovnímu prostoru, který není umístěný ve stejném tenantovi, ve kterém se prostředek nachází. To platí pro konektory, jako je Azure Firewall, Azure Storage, aktivita Azure nebo ID Microsoft Entra.
Partnerské datové konektory jsou často založené na rozhraní API nebo kolekcích agentů, a proto nejsou připojené ke konkrétnímu tenantovi Microsoft Entra.
Použití služby Azure Lighthouse ke správě více instancí Služby Microsoft Sentinel v různých tenantech
Architektura více pracovních prostorů v Microsoft Sentinelu
Jak vyplývá z výše uvedených požadavků, existují případy, kdy jeden SOC musí centrálně spravovat a monitorovat více pracovních prostorů log Analytics povolených pro Microsoft Sentinel, potenciálně napříč tenanty Microsoft Entra.
- Služba MSSP Microsoft Sentinel.
- Globální SOC obsluhující více dceřiných společností, z nichž každá má vlastní místní SOC.
- SOC monitoruje více tenantů Microsoft Entra v rámci organizace.
Pro řešení těchto případů nabízí Microsoft Sentinel funkce s více pracovními prostory, které umožňují centrální monitorování, konfiguraci a správu a poskytují jediné podokno skla ve všech oblastech, na které se vztahuje SOC. Tento diagram znázorňuje ukázkovou architekturu pro takové případy použití.
Tento model nabízí významné výhody oproti plně centralizovaného modelu, ve kterém se všechna data kopírují do jednoho pracovního prostoru:
- Flexibilní přiřazení role ke globálním a místním socům nebo k mssp jeho zákazníkům.
- Méně problémů týkajících se vlastnictví dat, ochrany osobních údajů a dodržování právních předpisů
- Minimální latence sítě a poplatky
- Snadné onboarding a odpojování nových poboček nebo zákazníků.
Další kroky
V tomto článku jste zjistili, jak může Microsoft Sentinel rozšířit více pracovních prostorů a tenantů.