Planowanie obszaru roboczego usługi Microsoft Sentinel
Przed wdrożeniem usługi Microsoft Sentinel ważne jest zrozumienie opcji obszaru roboczego. Rozwiązanie Microsoft Sentinel jest instalowane w obszarze roboczym usługi Log Analytics, a większość zagadnień dotyczących implementacji koncentruje się na tworzeniu obszaru roboczego usługi Log Analytics. Najważniejszą opcją podczas tworzenia nowego obszaru roboczego usługi Log Analytics jest region. Region określa lokalizację, w której będą znajdować się dane dziennika.
Trzy opcje implementacji:
Pojedyncza dzierżawa z jednym obszarem roboczym usługi Microsoft Sentinel
Pojedyncza dzierżawa z regionalnymi obszarami roboczymi usługi Microsoft Sentinel
Wiele dzierżaw
Pojedynczy obszar roboczy z jedną dzierżawą
Pojedyncza dzierżawa z jednym obszarem roboczym usługi Microsoft Sentinel będzie centralnym repozytorium dzienników we wszystkich zasobach w ramach tej samej dzierżawy.
Ten obszar roboczy odbiera dzienniki z zasobów w innych regionach w ramach tej samej dzierżawy. Ponieważ dane dziennika (po zebraniu) będą przesyłane między regionami i przechowywane w innym regionie, powoduje to utworzenie dwóch możliwych problemów. Po pierwsze może to spowodować naliczenie kosztu przepustowości. Po drugie, jeśli istnieje wymóg utrzymania ładu danych w określonym regionie, opcja pojedynczego obszaru roboczego nie byłaby opcją implementacji.
Pojedyncze dzierżawy z jednym kompromisem w obszarze roboczym obejmują:
| Plusy | Minusy |
|---|---|
| Środkowe okienko szkła | Może nie spełniać wymagań dotyczących ładu danych |
| Konsoliduje wszystkie dzienniki zabezpieczeń i informacje | Może wiązać się z kosztami przepustowości dla wielu regionów |
| Łatwiejsze wykonywanie zapytań o wszystkie informacje | |
| Kontrola dostępu oparta na rolach usługi Azure Log Analytics w celu kontrolowania dostępu do danych | |
| Kontrola dostępu oparta na rolach usługi Microsoft Sentinel dla kontroli dostępu opartej na rolach usługi |
Pojedyncza dzierżawa z regionalnymi obszarami roboczymi usługi Microsoft Sentinel
Pojedyncza dzierżawa z regionalnymi obszarami roboczymi usługi Microsoft Sentinel będzie zawierać wiele obszarów roboczych usługi Sentinel wymagających utworzenia i konfiguracji wielu obszarów roboczych usługi Microsoft Sentinel i usługi Log Analytics.
| Plusy | Minusy |
|---|---|
| Brak kosztów przepustowości między regionami | Nie ma centralnego okienka szkła. Nie szukasz w jednym miejscu, aby wyświetlić wszystkie dane. |
| Może być wymagane spełnienie wymagań dotyczących ładu danych | Analiza, skoroszyty itp. muszą być wdrażane wiele razy. |
| Szczegółowa kontrola dostępu do danych | |
| Szczegółowe ustawienia przechowywania | |
| Podział rozliczeń |
Aby wykonywać zapytania dotyczące danych między obszarami roboczymi, użyj funkcji workspace() przed nazwą tabeli.
TableName
| union workspace("WorkspaceName").TableName
Obszary robocze z wieloma dzierżawami
Jeśli musisz zarządzać obszarem roboczym usługi Microsoft Sentinel, a nie w dzierżawie, zaimplementujesz obszary robocze z wieloma dzierżawami przy użyciu usługi Azure Lighthouse. Ta konfiguracja zabezpieczeń zapewnia dostęp do dzierżaw. Konfiguracja dzierżawy w ramach dzierżawy (regionalna lub wielo regionalna) jest taka sama jak wcześniej.
Użyj tego samego obszaru roboczego usługi Log Analytics co Microsoft Defender dla Chmury
Użyj tego samego obszaru roboczego zarówno dla usługi Microsoft Sentinel, jak i Microsoft Defender dla Chmury, aby wszystkie dzienniki zebrane przez Microsoft Defender dla Chmury mogły być również pozyskiwane i używane przez usługę Microsoft Sentinel. Domyślny obszar roboczy utworzony przez Microsoft Defender dla Chmury nie będzie wyświetlany jako dostępny obszar roboczy dla usługi Microsoft Sentinel.