Przygotuj się na wiele obszarów roboczych i dzierżaw w usłudze Microsoft Sentinel

Ważna

Po 31 marca 2027 r. Microsoft Sentinel nie będą już obsługiwane w Azure Portal i będą dostępne tylko w portalu Microsoft Defender. Wszyscy klienci korzystający z Microsoft Sentinel w Azure Portal zostaną przekierowane do portalu usługi Defender i będą używać Microsoft Sentinel tylko w portalu usługi Defender.

Jeśli nadal używasz Microsoft Sentinel w Azure Portal, zalecamy rozpoczęcie planowania przejścia do portalu usługi Defender w celu zapewnienia płynnego przejścia i pełnego wykorzystania ujednoliconego środowiska operacji zabezpieczeń oferowanego przez Microsoft Defender.

Aby przygotować się do wdrożenia, należy określić, czy architektura wielu obszarów roboczych jest odpowiednia dla danego środowiska. W tym artykule dowiesz się, jak Microsoft Sentinel można rozszerzyć na wiele obszarów roboczych i dzierżaw, aby określić, czy ta funkcja odpowiada potrzebom organizacji. Ten artykuł jest częścią przewodnika wdrażania dla Microsoft Sentinel.

Użyj jednego z następujących zestawów instrukcji konfiguracji, w zależności od tego, którego portalu używasz do rozszerzania Microsoft Sentinel w obszarach roboczych:

Portal Informacje
Portal usługi Microsoft Defender - Wiele obszarów roboczych Microsoft Sentinel w portalu usługi Defender
- Zarządzanie Microsoft Defender w środowisku wielodostępnym
Azure Portal - Rozszerz usługę Microsoft Sentinel na różne obszary robocze i dzierżawy
- Centralne zarządzanie wieloma obszarami roboczymi usługi Log Analytics włączonymi dla Microsoft Sentinel za pomocą menedżera obszarów roboczych

Konieczność używania wielu obszarów roboczych

Po dołączeniu Microsoft Sentinel pierwszym krokiem jest wybranie obszaru roboczego usługi Log Analytics. Chociaż przy użyciu jednego obszaru roboczego możesz w pełni korzystać z możliwości oferowanych przez Microsoft Sentinel, w niektórych przypadkach warto rozszerzyć możliwości obszaru roboczego, aby wykonywać zapytania i analizować dane w wielu obszarach roboczych i dzierżawach.

W tej tabeli wymieniono niektóre z tych scenariuszy i, jeśli to możliwe, sugeruje, jak można użyć jednego obszaru roboczego w tym scenariuszu.

Wymóg Opis Sposoby zmniejszania liczby obszarów roboczych
Niezależność i zgodność z przepisami Obszar roboczy jest powiązany z określonym regionem. Aby przechowywać dane w różnych regionach geograficznych platformy Azure, tak aby spełnić wymogi regulacyjne, podziel dane na oddzielne obszary robocze.

W Microsoft Sentinel dane są głównie przechowywane i przetwarzane w tej samej lokalizacji geograficznej lub regionie, z pewnymi wyjątkami, takimi jak używanie reguł wykrywania korzystających z uczenia maszynowego firmy Microsoft. W takich przypadkach dane mogą być kopiowane poza obszarem roboczym geograficznym na potrzeby przetwarzania.
Własność danych Granice własności danych, na przykład przez podmioty zależne lub firmy powiązane, są lepiej wyznaczane przy użyciu oddzielnych obszarów roboczych.
Wiele dzierżaw platformy Azure Microsoft Sentinel obsługuje zbieranie danych z zasobów SaaS platform Microsoft i Azure tylko w obrębie własnej dzierżawy Microsoft Entra. Dlatego każda dzierżawa usługi Microsoft Entra wymaga oddzielnego obszaru roboczego.
Szczegółowa kontrola dostępu do danych Organizacja może wymagać zezwolenia różnym grupom w organizacji lub poza nią na dostęp do niektórych danych zebranych przez Microsoft Sentinel. Przykład:
  • Dostęp właścicieli zasobów do danych dotyczących ich zasobów
  • Dostęp regionalnych lub podrzędnych SOC do danych dotyczących odpowiednich części organizacji
Użyj kontroli dostępu do zasobów platformy Azure opartej na rolach (Azure RBAC) lub Azure RBAC na poziomie tabeli
Szczegółowe ustawienia przechowywania W przeszłości wiele obszarów roboczych było jedynym sposobem ustawiania różnych okresów przechowywania dla różnych typów danych. Nie jest to już potrzebne w wielu przypadkach, dzięki wprowadzeniu ustawień przechowywania na poziomie tabeli. Używanie ustawień przechowywania na poziomie tabeli lub automatyzowanie usuwania danych
Dzielenie rozliczeń Umieszczenie obszarów roboczych w oddzielnych subskrypcjach umożliwia ich rozliczanie oddzielnie dla różnych podmiotów. Raportowanie użycia i ładowanie krzyżowe
Starsza architektura Korzystanie z wielu obszarów roboczych może wynikać z historycznego projektu, który uwzględnia ograniczenia lub najlepsze rozwiązania, które nie są już prawdziwe. Może to być również arbitralna decyzja projektowa, którą można zmodyfikować, aby lepiej dostosować ją do Microsoft Sentinel.

Na przykład:
  • Używanie domyślnego obszaru roboczego dla subskrypcji podczas wdrażania Microsoft Defender dla Chmury
  • Potrzeba szczegółowych ustawień kontroli dostępu lub przechowywania, dla których rozwiązania są stosunkowo nowe
Ponowne projektowanie obszarów roboczych

Przy określaniu liczby dzierżaw i obszarów roboczych, których należy użyć, należy wziąć pod uwagę, że większość funkcji Microsoft Sentinel działa w oparciu o pojedynczy obszar roboczy lub wystąpienie Microsoft Sentinel, a Microsoft Sentinel importuje wszystkie dzienniki przechowywane w tym obszarze roboczym.

Dostawca usług zabezpieczeń zarządzanych (MSSP)

W przypadku MSSP wiele, jeśli nie wszystkie, z powyższych wymagań ma zastosowanie, co sprawia, że najlepszą praktyką jest korzystanie z wielu obszarów roboczych w wielu dzierżawach. W szczególności zalecamy utworzenie co najmniej jednego obszaru roboczego dla każdej dzierżawy w usłudze Microsoft Entra, aby obsługiwać wbudowane łączniki danych typu usługa-usługa, które działają tylko w obrębie własnej dzierżawy w usłudze Microsoft Entra.

  • Łączników opartych na ustawieniach diagnostycznych nie można połączyć z obszarem roboczym, który nie znajduje się w tej samej dzierżawie, w której znajduje się zasób. Dotyczy to łączników, takich jak Azure Firewall, Azure Storage, Azure Activity lub Microsoft Entra ID.

  • Łączniki danych partnerów są często oparte na interfejsach API lub agentach, dlatego nie są przypisane do konkretnej dzierżawy Microsoft Entra.

Używanie usługi Azure Lighthouse do zarządzania wieloma wystąpieniami Microsoft Sentinel w różnych dzierżawach.u

Microsoft Sentinel architektura wielu obszarów roboczych

Jak wynika z powyższych wymagań, zdarzają się przypadki, w których pojedynczy SOC musi centralnie zarządzać wieloma obszarami roboczymi usługi Log Analytics z włączoną usługą Microsoft Sentinel i je monitorować, potencjalnie w różnych dzierżawach Microsoft Entra.

  • Usługa MSSP Microsoft Sentinel.
  • Globalne centrum SOC obsługujące wiele spółek zależnych, z których każda ma własne lokalne centrum SOC.
  • SOC monitorujące wiele dzierżaw Microsoft Entra w ramach organizacji.

Aby obsłużyć te przypadki, Microsoft Sentinel oferuje obsługę wielu obszarów roboczych, która umożliwia centralne monitorowanie, konfigurację i zarządzanie, zapewniając jeden scentralizowany widok wszystkich zasobów objętych zakresem działania SOC. Na tym diagramie przedstawiono przykładową architekturę dla takich przypadków użycia.

Diagram przedstawiający rozszerzanie obszaru roboczego w wielu dzierżawach: architektura.

Ten model oferuje znaczące korzyści w stosunku do w pełni scentralizowanego modelu, w którym wszystkie dane są kopiowane do jednego obszaru roboczego:

  • Elastyczne przypisywanie ról do globalnych i lokalnych SOC-ów lub do klientów MSSP.
  • Mniej wyzwań dotyczących własności danych, prywatności danych i zgodności z przepisami.
  • Minimalne opóźnienia sieciowe i opłaty.
  • Łatwe dołączanie i odłączanie nowych spółek zależnych lub klientów.

Następne kroki

W tym artykule dowiesz się, jak usługa Microsoft Sentinel może rozszerzać swoje działanie na wiele obszarów roboczych i w wielu dzierżawach.