Förbereda för flera arbetsytor och klientorganisationer i Microsoft Sentinel
För att förbereda för distributionen måste du avgöra om en arkitektur för flera arbetsytor är relevant för din miljö. I den här artikeln får du lära dig hur Microsoft Sentinel kan utökas över flera arbetsytor och klienter så att du kan avgöra om den här funktionen passar organisationens behov. Den här artikeln är en del av distributionsguiden för Microsoft Sentinel.
Om du har bestämt dig för att konfigurera din miljö så att den sträcker sig över arbetsytor kan du läsa Utöka Microsoft Sentinel mellan arbetsytor och klientorganisationer och Hantera flera Log Analytics-arbetsytor som är aktiverade för Microsoft Sentinel med arbetsytehanteraren centralt. Om din organisation planerar att registrera sig på Microsoft Defender-portalen kan du läsa Mer information om hantering av flera klientorganisationer i Microsoft Defender.
Behovet av att använda flera arbetsytor
När du registrerar Microsoft Sentinel är ditt första steg att välja din Log Analytics-arbetsyta. Du kan dra full nytta av Microsoft Sentinel-upplevelsen med en enda arbetsyta, men i vissa fall kanske du vill utöka din arbetsyta för att fråga och analysera dina data mellan arbetsytor och klientorganisationer.
I den här tabellen visas några av dessa scenarier och föreslår, när det är möjligt, hur du kan använda en enda arbetsyta för scenariot.
| Krav | Beskrivning | Sätt att minska antalet arbetsytor |
|---|---|---|
| Suveränitet och regelefterlevnad | En arbetsyta är kopplad till en specifik region. Om du vill behålla data i olika Azure-geografiska områden för att uppfylla regelkraven delar du upp data i separata arbetsytor. I Microsoft Sentinel lagras och bearbetas data främst i samma geografi eller region, med vissa undantag, till exempel när du använder identifieringsregler som använder Microsofts maskininlärning. I sådana fall kan data kopieras utanför arbetsytans geografiska område för bearbetning. |
|
| Dataägarskap | Gränserna för dataägarskap, till exempel av dotterbolag eller anslutna företag, är bättre avgränsade med hjälp av separata arbetsytor. | |
| Flera Azure-klientorganisationer | Microsoft Sentinel stöder datainsamling från Microsoft- och Azure SaaS-resurser endast inom en egen Microsoft Entra-klientgräns. Därför kräver varje Microsoft Entra-klientorganisation en separat arbetsyta. | |
| Detaljerad dataåtkomstkontroll | En organisation kan behöva tillåta att olika grupper, inom eller utanför organisationen, får åtkomst till vissa av de data som samlas in av Microsoft Sentinel. Till exempel:
|
Använda resursen Azure RBAC eller azure RBAC på tabellnivå |
| Detaljerade kvarhållningsinställningar | Tidigare var flera arbetsytor det enda sättet att ange olika kvarhållningsperioder för olika datatyper. Detta behövs inte längre i många fall tack vare införandet av kvarhållningsinställningar på tabellnivå. | Använda kvarhållningsinställningar på tabellnivå eller automatisera borttagning av data |
| Dela upp fakturering | Genom att placera arbetsytor i separata prenumerationer kan de faktureras till olika parter. | Användningsrapportering och korsdebitering |
| Äldre arkitektur | Användningen av flera arbetsytor kan bero på en historisk design som tog hänsyn till begränsningar eller metodtips som inte längre är sanna. Det kan också vara ett godtyckligt designval som kan ändras för att bättre hantera Microsoft Sentinel. Exempel:
|
Omarbeta arkitekturen för arbetsytor |
När du fastställer hur många klienter och arbetsytor som ska användas bör du tänka på att de flesta Microsoft Sentinel-funktioner fungerar med hjälp av en enda arbetsyta eller Microsoft Sentinel-instans, och Microsoft Sentinel matar in alla loggar som finns på arbetsytan.
Hanterad säkerhetstjänstleverantör (MSSP)
När det gäller en MSSP gäller många, om inte alla ovanstående krav, vilket gör flera arbetsytor, mellan klienter, till bästa praxis. Mer specifikt rekommenderar vi att du skapar minst en arbetsyta för varje Microsoft Entra-klientorganisation för att stödja inbyggda tjänst-till-tjänst-dataanslutningar som endast fungerar inom sin egen Microsoft Entra-klientorganisation.
Anslutningsappar som baseras på diagnostikinställningar kan inte anslutas till en arbetsyta som inte finns i samma klientorganisation där resursen finns. Detta gäller för anslutningsappar som Azure Firewall, Azure Storage, Azure Activity eller Microsoft Entra-ID.
Partnerdataanslutningar baseras ofta på API- eller agentsamlingar och är därför inte kopplade till en specifik Microsoft Entra-klientorganisation.
Använda Azure Lighthouse för att hantera flera Microsoft Sentinel-instanser i olika klientorganisationer.u
Arkitektur för flera arbetsytor i Microsoft Sentinel
Enligt kraven ovan finns det fall där en enskild SOC måste hantera och övervaka flera Log Analytics-arbetsytor som är aktiverade för Microsoft Sentinel, eventuellt i Microsoft Entra-klientorganisationer.
- En MSSP Microsoft Sentinel-tjänst.
- En global SOC som betjänar flera dotterbolag, var och en har sin egen lokala SOC.
- En SOC-övervakning av flera Microsoft Entra-klienter inom en organisation.
För att hantera dessa fall erbjuder Microsoft Sentinel funktioner för flera arbetsytor som möjliggör central övervakning, konfiguration och hantering, vilket ger en enda fönsterruta i allt som omfattas av SOC. Det här diagrammet visar en exempelarkitektur för sådana användningsfall.
Den här modellen ger betydande fördelar jämfört med en helt centraliserad modell där alla data kopieras till en enda arbetsyta:
- Flexibel rolltilldelning till globala och lokala SOC:er eller till MSSP-kunderna.
- Färre utmaningar när det gäller dataägarskap, datasekretess och regelefterlevnad.
- Minimal svarstid i nätverk och minimala avgifter.
- Enkel registrering och avregistrering av nya dotterbolag eller kunder.
Nästa steg
I den här artikeln har du lärt dig hur Microsoft Sentinel kan utökas över flera arbetsytor och klientorganisationer.