规划 Microsoft Sentinel 工作区
在部署 Microsoft Sentinel 之前,务必先了解工作区选项。 Microsoft Sentinel 解决方案安装在 Log Analytics 工作区中,而大多数实现注意事项侧重于创建 Log Analytics 工作区。 创建新 Log Analytics 工作区时的唯一重要选项是区域。 区域指定了日志数据所在的位置。
三个实现选项为:
包含单个 Microsoft Sentinel 工作区的单租户
包含区域 Microsoft Sentinel 工作区的单租户
多租户
单租户单个工作区
包含单个 Microsoft Sentinel 工作区的单租户将是同一租户中所有资源的日志的中央存储库。
此工作区接收来自同一租户中其他区域的资源的日志。 由于日志数据(收集时)将跨区域传输并存储在另一个区域中,因此这可能产生两个问题。 首先,它可能会产生带宽成本。 其次,如果根据数据治理要求,需要将数据保留在特定区域中,则单个工作区选项不是实现选项。
包含单个工作区的单租户的优缺点包括:
| 优点 | 缺点 |
|---|---|
| 中央虚拟管理平台 | 可能不符合数据治理要求 |
| 合并所有安全日志和信息 | 可能产生跨区域带宽成本 |
| 更易于查询所有信息 | |
| 通过 Azure Log Analytics RBAC 控制数据访问 | |
| 通过 Microsoft Sentinel RBAC 实现服务 RBAC |
包含区域 Microsoft Sentinel 工作区的单租户
包含区域 Microsoft Sentinel 工作区的单租户有多个 Sentinel 工作区,这些 Sentinel 工作区需要创建和配置多个 Microsoft Sentinel 和 Log Analytics 工作区。
| 优点 | 缺点 |
|---|---|
| 无跨区域带宽成本 | 无中央虚拟管理平台。 无法在一个位置查看所有数据。 |
| 可能需要符合数据治理要求 | 必须多次部署 Analytics 和工作簿等内容。 |
| 精细数据访问控制 | |
| 精细保留设置 | |
| 拆分计费 |
要跨工作区查询数据,请在表名之前使用 workspace() 函数。
TableName
| union workspace("WorkspaceName").TableName
多租户工作区
如果需要管理不在你的租户中的 Microsoft Sentinel 工作区,可以使用 Azure Lighthouse 来实现多租户工作区。 此安全配置授予你访问租户的权限。 租户(区域或多区域)中的租户配置具有与之前相同的注意事项。
使用与 Microsoft Defender for Cloud 相同的 Log Analytics 工作区
为 Microsoft Sentinel 和 Microsoft Defender for Cloud 使用相同的工作区,以便 Microsoft Defender for Cloud 收集的所有日志也可以被 Microsoft Sentinel 引入和使用。 Microsoft Defender for Cloud 创建的默认工作区不会显示为可用的 Microsoft Sentinel 工作区。