Organisation de l’espace de travail Microsoft Sentinel
Avant de déployer Microsoft Sentinel, il est essentiel de comprendre les options de l’espace de travail. La solution Microsoft Sentinel est installée dans un espace de travail Log Analytics, et la plupart des considérations relatives à l’implémentation sont axées sur la création de l’espace de travail Log Analytics. La région est l’option la plus importante lors de la création d’un espace de travail Log Analytics. La région spécifie l’emplacement où les données de journal seront stockées.
Les trois options d’implémentation sont les suivantes :
Locataire unique avec un seul espace de travail Microsoft Sentinel
Locataire unique avec des espaces de travail régionaux Microsoft Sentinel
Multi-locataire
Espace de travail unique à locataire unique
Le locataire unique avec un espace de travail Microsoft Sentinel unique est le référentiel central des journaux sur toutes les ressources au sein du même locataire.
Cet espace de travail reçoit les journaux des ressources situées dans d’autres régions du même locataire. Étant donné que les données de journal (lorsqu’elles sont collectées) transitent entre les régions et sont stockées dans une autre région, cela suscite deux préoccupations possibles. Tout d’abord, cela peut entraîner un coût de bande passante. Deuxièmement, si une gouvernance des données est requise pour conserver les données dans une région spécifique, l’option d’espace de travail unique n’est pas une option d’implémentation.
Un locataire unique avec un espace de travail unique inclut le compromis suivant :
| Avantages | Inconvénients |
|---|---|
| Vue centrale | Peut ne pas répondre aux exigences de gouvernance des données |
| Consolide tous les journaux et informations de sécurité | Peut entraîner un coût de bande passante pour les régions croisées |
| Il est plus facile d’interroger toutes les informations | |
| RBAC Azure Log Analytics pour contrôler l’accès aux données | |
| RBAC Microsoft Sentinel pour le service RBAC |
Locataire unique avec des espaces de travail régionaux Microsoft Sentinel
Le locataire unique avec des espaces de travail régionaux Microsoft Sentinel aura plusieurs espaces de travail Sentinel nécessitant la création et la configuration de plusieurs espaces de travail Microsoft Sentinel et Log Analytics.
| Avantages | Inconvénients |
|---|---|
| Aucun coût de bande passante entre les régions | Pas de vue centrale Vous ne vous reportez pas à un seul emplacement pour voir toutes les données |
| Peut être nécessaire pour répondre aux exigences de gouvernance des données | Les analyses, les classeurs, etc., doivent être déployés plusieurs fois. |
| Contrôle d’accès granulaire aux données | |
| Paramètres de rétention granulaires | |
| Facturation fractionnée |
Pour interroger des données dans des espaces de travail, utilisez la fonction workspace() avant le nom de la table.
TableName
| union workspace("WorkspaceName").TableName
Espaces de travail multi-locataires
Si vous devez gérer un espace de travail Microsoft Sentinel, non situé dans votre locataire, vous devez implémenter des espaces de travail multilocataires avec Azure Lighthouse. Cette configuration de sécurité vous accorde l’accès aux locataires. La configuration du locataire au sein du locataire (régional ou multi-régional) soulève la même considération qu’avant.
Utiliser le même espace de travail Log Analytics que Microsoft Defender pour le cloud
Utilisez le même espace de travail pour Microsoft Sentinel et Microsoft Defender pour le Cloud, afin que tous les journaux collectés par Microsoft Defender pour le Cloud puissent également être ingérés et utilisés par Microsoft Sentinel. L’espace de travail par défaut créé par Microsoft Defender pour le cloud n’apparaît pas en tant qu’espace de travail disponible pour Microsoft Sentinel.