Planen des Microsoft Sentinel-Arbeitsbereichs
Vor dem Bereitstellen von Microsoft Sentinel sollten Sie sich mit den Arbeitsbereichsoptionen vertraut machen. Die Microsoft Sentinel-Lösung wird in einem Log Analytics-Arbeitsbereich installiert, und die meisten Überlegungen zur Implementierung beziehen sich auf die Erstellung des Log Analytics-Arbeitsbereichs. Die wichtigste Option beim Erstellen eines neuen Log Analytics-Arbeitsbereichs ist die Region. Die Region gibt den Speicherort für die Protokolldaten an.
Es stehen folgende drei Implementierungsoptionen zur Verfügung:
Einzelner Mandant mit einem einzelnen Microsoft Sentinel-Arbeitsbereich
Einzelner Mandant mit regionalen Microsoft Sentinel-Arbeitsbereichen
Mehrere Mandanten
Einzelner Mandant mit einem einzelnen Arbeitsbereich
Der einzelne Mandant mit einem einzelnen Microsoft Sentinel-Arbeitsbereich dient als zentrales Repository für Protokolle aller Ressourcen innerhalb desselben Mandanten.
Dieser Arbeitsbereich empfängt Protokolle von Ressourcen in anderen Regionen innerhalb desselben Mandanten. Da die Protokolldaten (bei der Erfassung) regionsübergreifend übertragen und in einer anderen Region gespeichert werden, ergeben sich daraus zwei mögliche Probleme. Erstens: Es können dadurch Bandbreitenkosten entstehen. Zweitens: Wenn Daten aufgrund einer Data-Governance-Anforderung in einer bestimmten Region aufbewahrt werden müssen, wäre der einzelne Arbeitsbereich keine Implementierungsoption.
Einzelne Mandanten mit einem einzelnen Arbeitsbereich weisen folgende Kompromisse auf:
| Vorteile | Nachteile |
|---|---|
| Zentrale Oberfläche | Erfüllt möglicherweise nicht die Data Governance-Anforderungen |
| Bietet eine Zusammenfassung aller Sicherheitsprotokolle und -informationen | Verursacht möglicherweise Bandbreitenkosten für regionsübergreifende Datenübertragung |
| Einfachere Abfrage aller Informationen | |
| Rollenbasierte Zugriffssteuerung (RBAC) in Azure Log Analytics zur Steuerung des Datenzugriffs | |
| Rollenbasierte Zugriffssteuerung (RBAC) in Microsoft Sentinel für RBAC-Dienst |
Einzelner Mandant mit regionalen Microsoft Sentinel-Arbeitsbereichen
Der einzelne Mandant mit regionalen Microsoft Sentinel-Arbeitsbereichen verfügt über mehrere Sentinel-Arbeitsbereiche, die das Erstellen und Konfigurieren mehrerer Microsoft Sentinel- und Log Analytics-Arbeitsbereiche erfordern.
| Vorteile | Nachteile |
|---|---|
| Keine Bandbreitenkosten für regionsübergreifende Datenübertragung | Keine zentrale Oberfläche Sie sehen nicht alle Daten an einem Ort. |
| Kann erforderlich sein, um Data Governance-Anforderungen zu erfüllen | Analysen, Arbeitsmappen usw. müssen mehrmals bereitgestellt werden. |
| Differenzierte Steuerung des Datenzugriffs | |
| Differenzierte Einstellungen für die Datenaufbewahrung | |
| Getrennte Abrechnung |
Verwenden Sie zum Abfragen von Daten in mehreren Arbeitsbereichen die Funktion „workspace()“ vor dem Tabellennamen.
TableName
| union workspace("WorkspaceName").TableName
Arbeitsbereiche mit mehreren Mandanten
Wenn Sie einen Microsoft Sentinel-Arbeitsbereich außerhalb Ihres Mandanten verwalten müssen, können Sie mithilfe von Azure Lighthouse Arbeitsbereiche mit mehreren Mandanten implementieren. Diese Sicherheitskonfiguration gewährt Ihnen Zugriff auf die Mandanten. Bei der Konfiguration von Mandanten innerhalb des Mandanten (regional oder multiregional) gilt die gleiche Überlegung wie zuvor.
Verwenden desselben Protokollanalyse-Arbeitsbereichs, der auch für Microsoft Defender verwendet wird
Verwenden Sie den gleichen Arbeitsbereich sowohl für Microsoft Sentinel als auch für Microsoft Defender für Cloud, sodass alle von Microsoft Defender für Cloud gesammelten Protokolle auch von Microsoft Sentinel erfasst und verwendet werden können. Der von Microsoft Defender für Cloud erstellte Standardarbeitsbereich wird nicht als verfügbarer Arbeitsbereich für Microsoft Sentinel angezeigt.