De Microsoft Sentinel-werkruimte plannen
Voordat u Microsoft Sentinel implementeert, is het van cruciaal belang om inzicht te hebben in de werkruimteopties. De Microsoft Sentinel-oplossing wordt geïnstalleerd in een Log Analytics-werkruimte en de meeste implementatieoverwegingen zijn gericht op het maken van de Log Analytics-werkruimte. De belangrijkste optie bij het maken van een nieuwe Log Analytics-werkruimte is de regio. De regio geeft de locatie op waar de logboekgegevens zich bevinden.
De drie implementatieopties:
Eén tenant met één Microsoft Sentinel-werkruimte
Eén tenant met regionale Microsoft Sentinel-werkruimten
Meerdere tenants
Eén werkruimte met één tenant
De één tenant met één Microsoft Sentinel-werkruimte is de centrale opslagplaats voor logboeken in alle resources binnen dezelfde tenant.
Deze werkruimte ontvangt logboeken van resources in andere regio's binnen dezelfde tenant. Omdat de logboekgegevens (wanneer ze worden verzameld) door regio's worden verzonden en in een andere regio worden opgeslagen, ontstaan er twee mogelijke problemen. Ten eerste kunnen er bandbreedtekosten in rekening worden gebracht. Ten tweede, als er sprake is van een vereiste voor gegevensbeheer om gegevens in een specifieke regio te bewaren, zou de optie voor één werkruimte geen implementatieoptie zijn.
Enkele tenants met één werkruimte zijn onder andere:
| Voordelen | Nadelen |
|---|---|
| Centraal deelvenster glas | Voldoet mogelijk niet aan de vereisten voor gegevensbeheer |
| Voegt alle beveiligingslogboeken en -gegevens samen | Er kunnen bandbreedtekosten in rekening worden gebracht voor meerdere regio's |
| Eenvoudiger om alle gegevens op te vragen | |
| Azure Log Analytics RBAC voor het beheren van gegevenstoegang | |
| Microsoft Sentinel RBAC voor service-RBAC |
Eén tenant met regionale Microsoft Sentinel-werkruimten
De werkruimten met één tenant met regionale Microsoft Sentinel-werkruimten hebben meerdere Sentinel-werkruimten waarvoor het maken en configureren van meerdere Microsoft Sentinel- en Log Analytics-werkruimten is vereist.
| Voordelen | Nadelen |
|---|---|
| Geen kosten voor bandbreedte tussen regio's | Geen centraal venster van glas. U kijkt niet op één plek om alle gegevens te zien. |
| Kan vereist zijn om te voldoen aan vereisten voor gegevensbeheer | Analyses, werkmappen, enzovoort, moeten meerdere keren worden geïmplementeerd. |
| Gedetailleerde controle over gegevenstoegang | |
| Gedetailleerde bewaarinstellingen | |
| Gesplitste facturering |
Als u een query wilt uitvoeren op gegevens in werkruimten, gebruikt u de functie workspace() vóór de tabelnaam.
TableName
| union workspace("WorkspaceName").TableName
Werkruimten met meerdere tenants
Als u een Microsoft Sentinel-werkruimte wilt beheren, niet in uw tenant, implementeert u werkruimten met meerdere tenants met behulp van Azure Lighthouse. Met deze beveiligingsconfiguratie krijgt u toegang tot de tenants. De tenantconfiguratie binnen de tenant (regionaal of meerdere regio's) is dezelfde overweging als voorheen.
Dezelfde Log Analytics-werkruimte gebruiken als Microsoft Defender voor Cloud
Gebruik dezelfde werkruimte voor zowel Microsoft Sentinel als Microsoft Defender voor Cloud, zodat alle logboeken die door Microsoft Defender voor Cloud worden verzameld, ook kunnen worden opgenomen en gebruikt door Microsoft Sentinel. De standaardwerkruimte die door Microsoft Defender voor Cloud is gemaakt, wordt niet weergegeven als een beschikbare werkruimte voor Microsoft Sentinel.