Microsoft Sentinel ワークスペースを計画する
Microsoft Sentinel をデプロイする前に、ワークスペースのオプションを理解しておくことが重要です。 Microsoft Sentinel ソリューションは Log Analytics ワークスペースにインストールされます。ほとんどの実装に関する考慮事項は、Log Analytics ワークスペースの作成に集中しています。 新しい Log Analytics ワークスペースを作成するときに最も重要なオプションは、リージョンです。 リージョンは、ログ データが格納される場所を指定します。
3 つの実装オプションを次に示します。
単一の Microsoft Sentinel ワークスペースを含むシングル テナント
リージョン別の Microsoft Sentinel ワークスペースを含むシングル テナント
マルチテナント
単一ワークスペースのシングル テナント
単一の Microsoft Sentinel ワークスペースを含むシングル テナントは、同じテナント内にあるすべてのリソース全体のログの中央リポジトリになります。
同じテナント内にある他のリージョンのリソースからこのワークスペースにログが送信されます。 ログ データ (収集された場合) がリージョン間を移動し、別のリージョンに格納されるため、2 つの懸念事項が考えられます。 まず、帯域幅のコストが発生する場合があります。 2 つ目は、データ ガバナンス要件があって特定のリージョンにデータを保持する場合、単一ワークスペースのオプションは実装オプションにはならないだろうということです。
単一ワークスペースのシングル テナントのトレードオフには次のようなものがあります。
| 長所 | 短所 |
|---|---|
| 包括的な 1 つのウィンドウ | データ ガバナンス要件を満たさないおそれがある |
| すべてのセキュリティ ログと情報が統合される | リージョン間での帯域幅コストが発生する可能性がある |
| すべての情報を簡単に照会 | |
| Azure Log Analytics RBAC を使用したデータ アクセスの制御 | |
| Microsoft Sentinel RBAC をサービス RBAC に使用 |
リージョン別の Microsoft Sentinel ワークスペースを含むシングル テナント
リージョン別の Microsoft Sentinel ワークスペースを使用するシングル テナントには、複数の Sentinel ワークスペースがあり、複数の Microsoft Sentinel および Log Analytics ワークスペースの作成と構成が必要になります。
| 長所 | 短所 |
|---|---|
| リージョン間の帯域幅のコストがない | 包括的な 1 つのウィンドウはない。 1 か所ですべてのデータを確認することはできません。 |
| データ ガバナンス要件を満たすことが必要な場合がある | Analytics、Workbooks などを複数回デプロイする必要がある。 |
| 詳細なデータ アクセスの制御 | |
| 詳細な保有期間の設定 | |
| 課金を分割する |
ワークスペースにまたがるデータを照会するには、テーブル名の前に workspace() 関数を使用します。
TableName
| union workspace("WorkspaceName").TableName
マルチテナントのワークスペース
使用しているテナント内にない Microsoft Sentinel ワークスペースを管理する必要がある場合は、Azure Lighthouse を使用してマルチテナント ワークスペースを実装します。 このセキュリティ構成を使用すると、テナントへのアクセスが許可されます。 テナント内のテナント構成 (リージョン別または複数リージョン) は、以前と同じように考慮されます。
Microsoft Defender for Cloud と同じログ分析ワークスペースを使用する
Microsoft Sentinel と Microsoft Defender for Cloud の両方に同じワークスペースを使用し、Microsoft Defender for Cloud で収集されるログもすべて Microsoft Sentinel に取り込み、使用できるようにします。 Microsoft Defender for Cloud によって作成された既定のワークスペースは、Microsoft Sentinel の利用可能なワークスペースとして表示されません。