Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ważna
Po 31 marca 2027 r. Microsoft Sentinel nie będą już obsługiwane w Azure Portal i będą dostępne tylko w portalu Microsoft Defender. Wszyscy klienci korzystający z Microsoft Sentinel w Azure Portal zostaną przekierowane do portalu usługi Defender i będą używać Microsoft Sentinel tylko w portalu usługi Defender.
Jeśli nadal używasz Microsoft Sentinel w Azure Portal, zalecamy rozpoczęcie planowania przejścia do portalu usługi Defender w celu zapewnienia płynnego przejścia i pełnego wykorzystania ujednoliconego środowiska operacji zabezpieczeń oferowanego przez Microsoft Defender.
Aby przygotować się do wdrożenia, należy określić, czy architektura wielu obszarów roboczych jest odpowiednia dla danego środowiska. W tym artykule dowiesz się, jak Microsoft Sentinel można rozszerzyć na wiele obszarów roboczych i dzierżaw, aby określić, czy ta funkcja odpowiada potrzebom organizacji. Ten artykuł jest częścią przewodnika wdrażania dla Microsoft Sentinel.
Użyj jednego z następujących zestawów instrukcji konfiguracji, w zależności od tego, którego portalu używasz do rozszerzania Microsoft Sentinel w obszarach roboczych:
Konieczność używania wielu obszarów roboczych
Po dołączeniu Microsoft Sentinel pierwszym krokiem jest wybranie obszaru roboczego usługi Log Analytics. Chociaż przy użyciu jednego obszaru roboczego możesz w pełni korzystać z możliwości oferowanych przez Microsoft Sentinel, w niektórych przypadkach warto rozszerzyć możliwości obszaru roboczego, aby wykonywać zapytania i analizować dane w wielu obszarach roboczych i dzierżawach.
W tej tabeli wymieniono niektóre z tych scenariuszy i, jeśli to możliwe, sugeruje, jak można użyć jednego obszaru roboczego w tym scenariuszu.
| Wymóg | Opis | Sposoby zmniejszania liczby obszarów roboczych |
|---|---|---|
| Niezależność i zgodność z przepisami | Obszar roboczy jest powiązany z określonym regionem. Aby przechowywać dane w różnych regionach geograficznych platformy Azure, tak aby spełnić wymogi regulacyjne, podziel dane na oddzielne obszary robocze. W Microsoft Sentinel dane są głównie przechowywane i przetwarzane w tej samej lokalizacji geograficznej lub regionie, z pewnymi wyjątkami, takimi jak używanie reguł wykrywania korzystających z uczenia maszynowego firmy Microsoft. W takich przypadkach dane mogą być kopiowane poza obszarem roboczym geograficznym na potrzeby przetwarzania. |
|
| Własność danych | Granice własności danych, na przykład przez podmioty zależne lub firmy powiązane, są lepiej wyznaczane przy użyciu oddzielnych obszarów roboczych. | |
| Wiele dzierżaw platformy Azure | Microsoft Sentinel obsługuje zbieranie danych z zasobów SaaS platform Microsoft i Azure tylko w obrębie własnej dzierżawy Microsoft Entra. Dlatego każda dzierżawa usługi Microsoft Entra wymaga oddzielnego obszaru roboczego. | |
| Szczegółowa kontrola dostępu do danych | Organizacja może wymagać zezwolenia różnym grupom w organizacji lub poza nią na dostęp do niektórych danych zebranych przez Microsoft Sentinel. Przykład:
|
Użyj kontroli dostępu do zasobów platformy Azure opartej na rolach (Azure RBAC) lub Azure RBAC na poziomie tabeli |
| Szczegółowe ustawienia przechowywania | W przeszłości wiele obszarów roboczych było jedynym sposobem ustawiania różnych okresów przechowywania dla różnych typów danych. Nie jest to już potrzebne w wielu przypadkach, dzięki wprowadzeniu ustawień przechowywania na poziomie tabeli. | Używanie ustawień przechowywania na poziomie tabeli lub automatyzowanie usuwania danych |
| Dzielenie rozliczeń | Umieszczenie obszarów roboczych w oddzielnych subskrypcjach umożliwia ich rozliczanie oddzielnie dla różnych podmiotów. | Raportowanie użycia i ładowanie krzyżowe |
| Starsza architektura | Korzystanie z wielu obszarów roboczych może wynikać z historycznego projektu, który uwzględnia ograniczenia lub najlepsze rozwiązania, które nie są już prawdziwe. Może to być również arbitralna decyzja projektowa, którą można zmodyfikować, aby lepiej dostosować ją do Microsoft Sentinel. Na przykład:
|
Ponowne projektowanie obszarów roboczych |
Przy określaniu liczby dzierżaw i obszarów roboczych, których należy użyć, należy wziąć pod uwagę, że większość funkcji Microsoft Sentinel działa w oparciu o pojedynczy obszar roboczy lub wystąpienie Microsoft Sentinel, a Microsoft Sentinel importuje wszystkie dzienniki przechowywane w tym obszarze roboczym.
Dostawca usług zabezpieczeń zarządzanych (MSSP)
W przypadku MSSP wiele, jeśli nie wszystkie, z powyższych wymagań ma zastosowanie, co sprawia, że najlepszą praktyką jest korzystanie z wielu obszarów roboczych w wielu dzierżawach. W szczególności zalecamy utworzenie co najmniej jednego obszaru roboczego dla każdej dzierżawy w usłudze Microsoft Entra, aby obsługiwać wbudowane łączniki danych typu usługa-usługa, które działają tylko w obrębie własnej dzierżawy w usłudze Microsoft Entra.
Łączników opartych na ustawieniach diagnostycznych nie można połączyć z obszarem roboczym, który nie znajduje się w tej samej dzierżawie, w której znajduje się zasób. Dotyczy to łączników, takich jak Azure Firewall, Azure Storage, Azure Activity lub Microsoft Entra ID.
Łączniki danych partnerów są często oparte na interfejsach API lub agentach, dlatego nie są przypisane do konkretnej dzierżawy Microsoft Entra.
Używanie usługi Azure Lighthouse do zarządzania wieloma wystąpieniami Microsoft Sentinel w różnych dzierżawach.u
Microsoft Sentinel architektura wielu obszarów roboczych
Jak wynika z powyższych wymagań, zdarzają się przypadki, w których pojedynczy SOC musi centralnie zarządzać wieloma obszarami roboczymi usługi Log Analytics z włączoną usługą Microsoft Sentinel i je monitorować, potencjalnie w różnych dzierżawach Microsoft Entra.
- Usługa MSSP Microsoft Sentinel.
- Globalne centrum SOC obsługujące wiele spółek zależnych, z których każda ma własne lokalne centrum SOC.
- SOC monitorujące wiele dzierżaw Microsoft Entra w ramach organizacji.
Aby obsłużyć te przypadki, Microsoft Sentinel oferuje obsługę wielu obszarów roboczych, która umożliwia centralne monitorowanie, konfigurację i zarządzanie, zapewniając jeden scentralizowany widok wszystkich zasobów objętych zakresem działania SOC. Na tym diagramie przedstawiono przykładową architekturę dla takich przypadków użycia.
Ten model oferuje znaczące korzyści w stosunku do w pełni scentralizowanego modelu, w którym wszystkie dane są kopiowane do jednego obszaru roboczego:
- Elastyczne przypisywanie ról do globalnych i lokalnych SOC-ów lub do klientów MSSP.
- Mniej wyzwań dotyczących własności danych, prywatności danych i zgodności z przepisami.
- Minimalne opóźnienia sieciowe i opłaty.
- Łatwe dołączanie i odłączanie nowych spółek zależnych lub klientów.
Następne kroki
W tym artykule dowiesz się, jak usługa Microsoft Sentinel może rozszerzać swoje działanie na wiele obszarów roboczych i w wielu dzierżawach.