مشاركة عبر

الاستعداد لمساحات عمل ومستأجرين متعددين في Microsoft Sentinel

  • مقالة

للتحضير للنشر الخاص بك، تحتاج إلى تحديد ما إذا كانت بنية مساحة العمل المتعددة ذات صلة بالبيئة الخاصة بك. في هذه المقالة، ستتعرف على كيفية توسيع Microsoft Sentinel عبر مساحات عمل ومستأجرين متعددين حتى تتمكن من تحديد ما إذا كانت هذه الإمكانية تناسب احتياجات مؤسستك. هذه المقالة هي جزء من دليل النشر ل Microsoft Sentinel.

إذا قررت إعداد بيئتك للتوسع عبر مساحات العمل، فشاهد توسيع Microsoft Sentinel عبر مساحات العمل والمستأجرين وإدارة مساحات عمل Microsoft Sentinel متعددة مركزيا باستخدام مدير مساحة العمل.

الحاجة إلى استخدام مساحات عمل Microsoft Sentinel متعددة

عند إلحاق Microsoft Sentinel، فإن خطوتك الأولى عبارة عن تحديد مساحة عمل Log Analytics الخاصة بك. بينما يمكنك الحصول على الفائدة الكاملة من تجربة Microsoft Sentinel مع مساحة عمل واحدة، في بعض الحالات، قد ترغب في توسيع مساحة العمل للاستعلام عن بياناتك وتحليلها عبر مساحات العمل والمستأجرين.

يسرد هذا الجدول بعض هذه السيناريوهات، وعندما يكون ذلك ممكنا، يقترح كيفية استخدام مساحة عمل واحدة للسيناريو.

المتطلبات الوصف طرق تقليل عدد مساحات العمل
السيادة والامتثال التنظيمي ترتبط مساحة العمل بمنطقة معينة. للاحتفاظ بالبيانات في مناطق جغرافية Azure مختلفة لتلبية المتطلبات التنظيمية، قم بتقسيم البيانات إلى مساحات عمل منفصلة.
ملكية البيانات يتم تحديد حدود ملكية البيانات، على سبيل المثال من قبل الشركات الفرعية أو الشركات التابعة لها، بشكل أفضل باستخدام مساحات عمل منفصلة.
مستأجرون متعددون من Azure يدعم Microsoft Sentinel جمع البيانات من موارد Microsoft وAzure SaaS فقط ضمن حدود مستأجر Microsoft Entra الخاصة به. لذلك، يتطلب كل مستأجر Microsoft Entra مساحة عمل منفصلة.
التحكم في الوصول إلى البيانات بصورة دقيقة قد تحتاج المؤسسة إلى السماح لمجموعات مختلفة، داخل المؤسسة أو خارجها، بالوصول إلى بعض البيانات التي تم جمعها بواسطة Microsoft Sentinel. على سبيل المثال:
  • وصول مالكي الموارد إلى البيانات المتعلقة بمواردهم
  • وصول SOCs الإقليمية أو الفرعية إلى البيانات ذات الصلة بأجزاء المؤسسة الخاصة بها
 استخدام المورد Azure RBAC أو مستوى الجدول Azure RBAC
إعدادات الاستبقاء متعدد المستويات تاريخيًا، كانت مساحات العمل المتعددة هي الطريقة الوحيدة لتعيين فترات استبقاء مختلفة لبعض أنواع البيانات المختلفة. لم تعد هناك حاجة إلى ذلك في العديد من الحالات، وذلك بفضل إدخال إعدادات استبقاء مستوى الجدول. استخدام إعدادات استبقاء مستوى الجدول أو أتمتة حذف البيانات
تقسيم الفواتير من خلال وضع مساحات العمل في اشتراكات منفصلة، يمكن إصدار فواتير لها إلى أطراف مختلفة. تقارير الاستخدام والتكلفة المشتركة
التصميم القديم قد ينبع استخدام مساحات عمل متعددة من تصميم تاريخي أخذ في الاعتبار القيود أو أفضل الممارسات التي لم تعد صحيحة. قد يقع الاختيار أيضًا على تصميم عشوائي يمكن تعديله ليتناسب مع Microsoft Sentinel بصورة أفضل.

تشمل الأمثلة:
  • استخدام مساحة عمل افتراضية لكل اشتراك عند نشر Microsoft Defender for Cloud
  • الحاجة إلى إعدادات التحكم في الوصول أو الاستبقاء الدقيقة، والحلول الجديدة نسبيًا
 إعادة تصميم مساحات العمل

موفر خدمة الأمان المدار (MSSP)

في حالة MSSP، تنطبق العديد من المتطلبات المذكورة أعلاه إن لم تكن كلها، مما يجعل مساحات عمل متعددة، عبر المستأجرين، أفضل الممارسات. يمكن لـ MSSP استخدام Azure Lighthouse لتوسيع قدرات مساحة العمل عبر Microsoft Sentinel عبر المستأجرين.

تصميم مساحات العمل المتعددة في Microsoft Sentinel

كما هو مضمن في المتطلبات أعلاه، هناك حالات يحتاج فيها SOC واحد إلى إدارة مساحات عمل Microsoft Sentinel متعددة ومراقبتها مركزيا، وربما عبر مستأجري Microsoft Entra.

  • خدمة MSSP Microsoft Sentinel.

  • SOC عالمية تخدم شركات فرعية متعددة، ولكل منها SOC محلي خاص بها.

  • تراقب SOC العديد من مستأجري Microsoft Entra داخل المؤسسة.

لمعالجة هذه الحالات، يوفر Microsoft Sentinel قدرات مساحة عمل متعددة تمكن المراقبة المركزية والتكوين والإدارة، ما يوفر جزءًا واحدًا من الزجاج عبر كل ما يغطيه SOC. يوضح هذا الرسم التخطيطي مثالًا على البنية لحالات الاستخدام هذه.

Diagram showing extend workspace across multiple tenants: architecture.

يوفر هذا النموذج مزايا كبيرة مقارنة بنموذج مركزي بالكامل يتم فيه نسخ جميع البيانات إلى مساحة عمل واحدة:

  • تعيين دور مرن لـ SOCs العالمية والمحلية، أو إلى MSSP وعملائه.

  • تحديات أقل فيما يتعلق بملكية البيانات وخصوصيتها والامتثال التنظيمي.

  • تقليل زمن الانتقال في الشبكة ورسومها.

  • سهولة إعداد الشركات الفرعية والعملاء الجدد وإلغاء إعدادهم.

في الأقسام التالية، سنشرح كيفية تشغيل هذا النموذج، وخاصة كيفية:

  • مراقبة مساحات عمل متعددة مركزيًا، من المحتمل أن تكون عبر المستأجرين، ما يوفر لـ SOC جزءًا واحدًا من الزجاج.

  • تكوين مساحات عمل متعددة وإدارتها مركزيًا، وربما عبر المستأجرين، باستخدام الأتمتة.

الخطوات التالية

في هذه المقالة، تعرفت على كيفية توسيع Microsoft Sentinel عبر مساحات عمل ومستأجرين متعددين.

تحديد أولويات موصلات البيانات