Udostępnij za pośrednictwem


Przygotowanie do obsługi wielu obszarów roboczych i dzierżaw w usłudze Microsoft Sentinel

Aby przygotować się do wdrożenia, należy określić, czy dla danego środowiska jest odpowiednia architektura wielu obszarów roboczych. Z tego artykułu dowiesz się, jak usługa Microsoft Sentinel może rozszerzać wiele obszarów roboczych i dzierżaw, aby określić, czy ta funkcja odpowiada potrzebom organizacji. Ten artykuł jest częścią przewodnika wdrażania usługi Microsoft Sentinel.

Jeśli zdecydujesz się skonfigurować środowisko w celu rozszerzenia między obszarami roboczymi, zobacz Rozszerzanie usługi Microsoft Sentinel między obszarami roboczymi i dzierżawami oraz Centralne zarządzanie wieloma obszarami roboczymi usługi Log Analytics włączonymi dla usługi Microsoft Sentinel za pomocą menedżera obszaru roboczego. Jeśli Twoja organizacja planuje dołączyć do portalu usługi Microsoft Defender, zobacz Zarządzanie wielodostępne w usłudze Microsoft Defender.

Konieczność korzystania z wielu obszarów roboczych

Podczas dołączania usługi Microsoft Sentinel pierwszym krokiem jest wybranie obszaru roboczego usługi Log Analytics. Chociaż możesz uzyskać pełną korzyść z korzystania z usługi Microsoft Sentinel w jednym obszarze roboczym, w niektórych przypadkach możesz rozszerzyć obszar roboczy w celu wykonywania zapytań i analizowania danych między obszarami roboczymi i dzierżawami.

W tej tabeli wymieniono niektóre z tych scenariuszy i, jeśli to możliwe, sugeruje, jak można użyć jednego obszaru roboczego w scenariuszu.

Wymaganie opis Sposoby zmniejszania liczby obszarów roboczych
Niezależność i zgodność z przepisami Obszar roboczy jest powiązany z określonym regionem. Aby zachować dane w różnych lokalizacjach geograficznych platformy Azure w celu spełnienia wymagań prawnych, podziel dane na oddzielne obszary robocze.

W usłudze Microsoft Sentinel dane są głównie przechowywane i przetwarzane w tej samej lokalizacji geograficznej lub regionie, z pewnymi wyjątkami, takimi jak w przypadku korzystania z reguł wykrywania korzystających z uczenia maszynowego firmy Microsoft. W takich przypadkach dane mogą być kopiowane poza obszarem geograficznym obszaru roboczego na potrzeby przetwarzania.
Własność danych Granice własności danych, na przykład przez spółki zależne lub powiązane firmy, są lepiej rozdzielone przy użyciu oddzielnych obszarów roboczych.
Wiele dzierżaw platformy Azure Usługa Microsoft Sentinel obsługuje zbieranie danych z zasobów Microsoft i Azure SaaS tylko w ramach własnej granicy dzierżawy firmy Microsoft Entra. W związku z tym każda dzierżawa firmy Microsoft Entra wymaga oddzielnego obszaru roboczego.
Szczegółowa kontrola dostępu do danych Aby uzyskać dostęp do niektórych danych zebranych przez usługę Microsoft Sentinel, organizacja może wymagać zezwolenia na dostęp do różnych grup w organizacji lub poza organizacją. Na przykład:
  • Dostęp właścicieli zasobów do danych dotyczących ich zasobów
  • Dostęp regionalnych lub zależnych kontrolerów SOC do danych istotnych dla ich części organizacji
Używanie kontroli dostępu opartej na rolach platformy Azure lub kontroli dostępu opartej na rolach platformy Azure na poziomie tabeli zasobów
Szczegółowe ustawienia przechowywania Historycznie wiele obszarów roboczych było jedynym sposobem ustawiania różnych okresów przechowywania dla różnych typów danych. Nie jest to już potrzebne w wielu przypadkach dzięki wprowadzeniu ustawień przechowywania na poziomie tabeli. Używanie ustawień przechowywania na poziomie tabeli lub automatyzowanie usuwania danych
Dzielenie rozliczeń Umieszczając obszary robocze w oddzielnych subskrypcjach, mogą być rozliczane dla różnych stron. Raportowanie użycia i naliczanie krzyżowe
Starsza architektura Korzystanie z wielu obszarów roboczych może wynikać z projektu historycznego, który uwzględnia ograniczenia lub najlepsze rozwiązania, które nie są już prawdziwe. Może to być również dowolny wybór projektu, który można zmodyfikować, aby lepiej pomieścić usługę Microsoft Sentinel.

Oto kilka przykładów:
  • Używanie domyślnego obszaru roboczego dla subskrypcji podczas wdrażania Microsoft Defender dla Chmury
  • Potrzeba szczegółowej kontroli dostępu lub ustawień przechowywania, dla których rozwiązania są stosunkowo nowe
Zmiana architektury obszarów roboczych

Podczas określania liczby dzierżaw i obszarów roboczych do użycia należy wziąć pod uwagę, że większość funkcji usługi Microsoft Sentinel działa przy użyciu jednego obszaru roboczego lub wystąpienia usługi Microsoft Sentinel, a usługa Microsoft Sentinel pozyska wszystkie dzienniki znajdujące się w obszarze roboczym.

Zarządzany dostawca usług zabezpieczeń (MSSP)

W przypadku programu MSSP wiele, jeśli nie wszystkie powyższe wymagania mają zastosowanie, co czyni wiele obszarów roboczych w różnych dzierżawach najlepszym rozwiązaniem. W szczególności zalecamy utworzenie co najmniej jednego obszaru roboczego dla każdej dzierżawy firmy Microsoft Entra w celu obsługi wbudowanych łączników danych usługi service to service data connector , które działają tylko w ramach własnej dzierżawy firmy Microsoft Entra.

  • Łączniki oparte na ustawieniach diagnostycznych nie mogą być połączone z obszarem roboczym, który nie znajduje się w tej samej dzierżawie, w której znajduje się zasób. Dotyczy to łączników, takich jak Azure Firewall, Azure Storage, Azure Activity lub Microsoft Entra ID.

  • Łączniki danych partnerów są często oparte na kolekcjach interfejsów API lub agentów i dlatego nie są dołączone do określonej dzierżawy firmy Microsoft Entra.

Używanie usługi Azure Lighthouse do zarządzania wieloma wystąpieniami usługi Microsoft Sentinel w różnych dzierżawach.u

Architektura wielu obszarów roboczych usługi Microsoft Sentinel

Zgodnie z powyższymi wymaganiami istnieją przypadki, w których pojedyncza usługa SOC musi centralnie zarządzać wieloma obszarami roboczymi usługi Log Analytics włączonymi dla usługi Microsoft Sentinel i monitorować je potencjalnie w dzierżawach firmy Microsoft Entra.

  • Usługa Microsoft Sentinel w programie MSSP.
  • Globalna soc obsługująca wiele spółek zależnych, z których każda ma własną lokalną soc.
  • SoC monitorowanie wielu dzierżaw firmy Microsoft Entra w organizacji.

Aby rozwiązać te problemy, usługa Microsoft Sentinel oferuje funkcje wielu obszarów roboczych, które umożliwiają centralne monitorowanie, konfigurację i zarządzanie, zapewniając jedno okienko szkła we wszystkich elementach objętych soc. Ten diagram przedstawia przykładową architekturę dla takich przypadków użycia.

Diagram przedstawiający rozszerzanie obszaru roboczego między wieloma dzierżawami: architektura.

Ten model oferuje znaczne korzyści w stosunku do w pełni scentralizowanego modelu, w którym wszystkie dane są kopiowane do jednego obszaru roboczego:

  • Elastyczne przypisanie roli do globalnych i lokalnych kontrolerów SOC lub do dostawcy usług w chmurze swoich klientów.
  • Mniej wyzwań związanych z własnością danych, prywatnością danych i zgodnością z przepisami.
  • Minimalne opóźnienia sieci i koszty.
  • Łatwe dołączanie i odłączanie nowych spółek zależnych lub klientów.

Następne kroki

W tym artykule przedstawiono, jak usługa Microsoft Sentinel może rozszerzać wiele obszarów roboczych i dzierżaw.