Подготовка к нескольким рабочим областям и клиентам в Microsoft Sentinel

Чтобы подготовиться к развертыванию, необходимо определить, относится ли архитектура нескольких рабочих областей к вашей среде. Из этой статьи вы узнаете, как Microsoft Sentinel может расширяться между несколькими рабочими областями и клиентами, чтобы определить, соответствует ли эта возможность потребностям вашей организации. Эта статья является частью руководства по развертыванию Microsoft Sentinel.

Если вы решили настроить среду для расширения рабочих областей, ознакомьтесь с разделом "Расширение Microsoft Sentinel между рабочими областями и клиентами " и централизованное управление несколькими рабочими областями Log Analytics, включенными для Microsoft Sentinel с помощью диспетчера рабочих областей. Если ваша организация планирует подключиться к порталу Microsoft Defender, ознакомьтесь с мультитенантным управлением Microsoft Defender.

Необходимость использования нескольких рабочих областей

При подключении Microsoft Sentinel прежде всего необходимо выбрать рабочую область Log Analytics. Хотя вы можете использовать все возможности Microsoft Sentinel с одной рабочей областью, в некоторых случаях может потребоваться расширить рабочую область, чтобы запрашивать и анализировать данные в нескольких рабочих областях и клиентах.

В этой таблице перечислены некоторые из этих сценариев и, когда это возможно, предполагается, как можно использовать одну рабочую область для сценария.

Требование	Description	Способы сокращения количества рабочих областей
Суверенитет и соответствие нормативным требованиям	Рабочая область связана с конкретным регионом. Если данные должны храниться в разных географических регионах Azure для выполнения нормативных требований, их необходимо разделить на отдельные рабочие области. В Microsoft Sentinel данные в основном хранятся и обрабатываются в одном географическом регионе, кроме некоторых исключений, например, когда применяются правила обнаружения, использующие машинное обучение корпорации Майкрософт. В таких случаях данные могут быть скопированы за пределами географической области рабочей области для обработки.
Владение данными	Границы владения данными, например для дочерних компаний или аффилированных организаций, удобнее устанавливать с помощью отдельных рабочих областей.
Несколько клиентов Azure	Microsoft Sentinel поддерживает сбор данных из ресурсов Microsoft и SaaS только в пределах собственной границы клиента Microsoft Entra. Поэтому для каждого клиента Microsoft Entra требуется отдельная рабочая область.
Детальный контроль доступа к данным	Организации может потребоваться разрешить различным группам, в пределах или за пределами организации, доступ к некоторым данным, собранным Microsoft Sentinel. Например: Доступ владельцев ресурсов к данным, относящимся к их ресурсам Доступ регионального или дочернего SOC к данным, относящимся к соответствующим частям организации	Используйте RBAC Azure ресурса или RBAC Azure уровня таблицы
Детализированные параметры хранения	Исторически несколько рабочих областей были единственным способом задать разные сроки хранения для разных типов данных. Благодаря вводу параметров хранения на уровне таблицы, в большинстве случаев это больше не нужно.	Используйте параметры хранения на уровне таблицы или автоматизируйте удаление данных
Разделение выставления счетов	При размещении рабочих областей в разных подписках счета на оплату могут выставляться разным сторонам.	Отчеты об использовании и перекрестное выставление счетов
Устаревшая архитектура	Использование нескольких рабочих областей может происходить из исторической структуры, которая учитывала ограничения или рекомендации, которые больше не имеют значения true. Это также может быть проект с произвольной архитектурой, который можно изменить для лучшего соответствия Microsoft Sentinel. Вот некоторые примеры. Использование рабочей области по умолчанию для каждой подписки при развертывании Microsoft Defender для облака Необходимость детализированного управления доступом или использования параметров хранения, решения для которых являются относительно новыми	Перепроектирование рабочих областей

При определении количества используемых арендаторов и рабочих областей следует учитывать, что большинство компонентов Microsoft Sentinel работает с одной рабочей областью или экземпляром Microsoft Sentinel, а Microsoft Sentinel принимает все журналы, размещенные в этой рабочей области.

Управляемый поставщик службы безопасности (MSSP)

Для MSSP применяются многие если не все из перечисленных выше требований, поэтому рекомендуется создать несколько рабочих областей в разных клиентах. В частности, рекомендуется создать по крайней мере одну рабочую область для каждого клиента Microsoft Entra для поддержки встроенных соединителей данных, которые работают только в собственном клиенте Microsoft Entra.

• Соединители, основанные на параметрах диагностика, не могут быть подключены к рабочей области, которая не находится в том же клиенте, где находится ресурс. Это относится к соединителям, таким как Брандмауэр Azure, служба хранилища Azure, действие Azure или идентификатор Microsoft Entra.

• Соединители данных партнера часто основаны на коллекциях API или агентов , поэтому не подключены к конкретному клиенту Microsoft Entra.

Использование Azure Lighthouse для управления несколькими экземплярами Microsoft Sentinel в разных клиентах.u

Архитектура с несколькими рабочими областями Microsoft Sentinel

Как подразумевается в приведенных выше требованиях, существуют случаи, когда единый SOC должен централизованно управлять несколькими рабочими областями Log Analytics, включенными для Microsoft Sentinel, возможно, в клиентах Microsoft Entra.

• Служба Microsoft Sentinel MSSP.
• Глобальный SOC, обслуживающий несколько дочерних компаний, у каждой из которых есть свой локальный SOC.
• SoC отслеживает несколько клиентов Microsoft Entra в организации.

Для таких сценариев Microsoft Sentinel предлагает использовать возможности нескольких рабочих областей, позволяющих централизованно выполнять мониторинг, настройку и управление, предоставляя единую панель управления для всей сферы ответственности SOC. Пример архитектуры для таких вариантов использования показан на следующей схеме.

Такая модель обеспечивает значительные преимущества по сравнению с полностью централизованной моделью, в которой все данные копируются в одну рабочую область:

• гибкое назначение ролей глобальным и локальным SOC или MSSP соответствующими клиентами;
• меньшее количество проблем, связанных с владением данными, конфиденциальностью данных и соблюдением нормативных требований;
• сокращение сетевых задержек и расходов;
• простота подключения и отключения новых дочерних компаний и клиентов.

Следующие шаги

В этой статье вы узнали, как Microsoft Sentinel может расширяться между несколькими рабочими областями и клиентами.

Приоритет соединителей данных