為 Microsoft Sentinel 中的多個工作區和租用戶做好準備
若要為部署做好準備,您必須判斷多工作區結構是否與您的環境相關。 在本文中,您會了解 Microsoft Sentinel 如何跨多個工作區和租用戶擴充,以便判斷這項功能是否符合貴組織的需求。 本文是 Microsoft Sentinel 部署指南的一部分。
如果您已決定設定環境以擴充至工作區,請參閱跨工作區和租用戶擴充 Microsoft Sentinel 和使用工作區管理員集中管理針對 Microsoft Sentinel 啟用的多個 Log Analytics 工作區。 如果您的組織計劃上線至 Microsoft Defender 入口網站,請參閱 Microsoft Defender 多租使用者管理。
需要使用多個工作區
當您將 Microsoft Sentinel 上線時,您的第一個步驟是選取 Log Analytics 工作區。 雖然您可以使用單一工作區獲得 Microsoft Sentinel 體驗的完整優點,但在某些情況下,您可能想要擴充工作區來查詢和分析工作區和租用戶的資料。
下表列出其中一些案例,並在可能的情況下建議您如何將單一工作區用於該案例。
需求 | 描述 | 減少工作區計數的方法 |
---|---|---|
主權和法規合規性 | 工作區會繫結至特定區域。 若要將資料保留在不同的 Azure 地理位置以滿足法規需求,請將資料分割成不同的工作區。 在 Microsoft Sentinel 中,資料大多會儲存並處理在相同的地理位置或區域中,但有一些例外狀況,例如使用利用 Microsoft 機器學習的偵測規則時。 在這種情況下,資料可能會被複製到工作區地理位置之外以進行處理。 |
|
資料擁有權 | 使用個別的工作區,可更精確地描繪資料擁有權的界限 (例如由子公司或相關公司所擁有)。 | |
多個 Azure 租用戶 | Microsoft Sentinel 僅在自己的 Microsoft Entra 租用戶界限內,才支援從 Microsoft 和 Azure SaaS 資源的資料收集。 因此,每個 Microsoft Entra 租用戶都需要個別的工作區。 | |
細微資料存取控制 | 組織可能需要允許組織內部或外部不同群組存取 Microsoft Sentinel 所收集的部分資料。 例如:
|
使用資源 Azure RBAC 或資料表層級 Azure RBAC |
細微保留設定 | 在過去,多個工作區是針對不同資料類型設定不同保留期間的唯一方式。 這在許多情況下已不再需要,因為引進了資料表層級保留設定。 | 使用資料表層級保留設定或自動資料刪除 |
分開計費 | 將工作區放在個別的訂用帳戶中,即可將帳單寄給不同的當事人。 | 使用方式報告和交叉收費 |
舊版結構 | 多個工作區的使用,可能是因為過去設計所考慮的限制和最佳做法不再適用所造成。 也可能是任意設計選擇,可加以修改以更符合 Microsoft Sentinel。 範例包含:
|
重新建構工作區 |
判斷要使用的租用戶和工作區數目時,請考慮大部分的 Microsoft Sentinel 功能都是使用單一工作區或 Microsoft Sentinel 執行個體運作,而 Microsoft Sentinel 會內嵌工作區內存放的所有記錄。
受控安全性服務提供者 (MSSP)
在 MSSP 的案例中,如果上述需求並非全都適用,最佳做法是跨租用戶設定多個工作區。 具體而言,建議您為每個 Microsoft Entra 租用戶建立至少一個工作區,以支援內建、服務對服務資料連接器,該連接器只能在自己的Microsoft Entra 租用戶內運作。
以診斷設定為基礎的連接器無法連線到與資源位在不同租用戶的工作區。 這適用於 Azure 防火牆、Azure 儲存體、Azure 活動或 Microsoft Entra ID 等連接器。
合作夥伴資料連線器通常以 API 或代理程式集為基礎,因此不會連結至特定的 Microsoft Entra 租用戶。
請使用 Azure Lighthouse 來管理不同租用戶中的多個 Microsoft Sentinel 執行個體。
Microsoft Sentinel 多工作區架構
如上述需求所隱含,在某些情況下需要由單一 SOC 集中監視和管理多個針對 Microsoft Sentinel 啟用的 Log Analytics 工作區,可能跨 Microsoft Entra 租用戶之間。
- MSSP Microsoft Sentinel 服務。
- 為多家各有其當地 SOC 的子公司提供服務的全球 SOC。
- 在組織內監視多個 Microsoft Entra 租用戶的 SOC。
為瞭解決這些案例,Microsoft Sentinel 提供多項工作區功能來進行集中監視、設定和管理,並提供單一窗格,適用於 SOC 涵蓋的所有內容。 下圖顯示這類使用案例的範例架構。
相較於所有資料都會複製到單一工作區的完全集中式模型,此模型的優點更多:
- 彈性角色指派給全域和當地 SOC,或指派給 MSSP 及其客戶。
- 資料擁有權、資料隱私權和法規合規性方面的挑戰較少。
- 最少的網路延遲和費用。
- 輕鬆就能讓新的子公司或客戶上線和離線。
下一步
在本文中,您已了解 Microsoft Sentinel 如何跨多個工作區和租用戶擴充。