Microsoft Sentinel نموذج تصميمات مساحة العمل

  • مقالة
  • قراءة خلال 10 دقائق

ملاحظة

يسمى Azure Sentinel الآن Microsoft Sentinel، وسنقوم بتحديث هذه الصفحات في الأسابيع القادمة. تعرف على المزيد حول التحسينات الأمنية الأخيرة لـ Microsoft.

توضح هذه المقالة تصميمات مساحات العمل المقترحة للمؤسسات التي تحتوي على نماذج المتطلبات التالية:

  • تعدد المستأجرين والمناطق، مع متطلبات سيادة البيانات الأوروبية
  • مستأجر واحد مع سحابات متعددة
  • مستأجرون متعددون، مع مناطق متعددة وأمان مركزي

تستخدم العينات الموجودة في هذه المقالة شجرة قرار تصميم مساحة عمل Microsoft Sentinel لتحديد أفضل تصميم لمساحة العمل لكل مؤسسة. لمزيد من المعلومات، راجع أفضل ممارسات بنية مساحة عمل Microsoft Sentinel.

نموذج 1: مستأجرون ومناطق متعددة

شركة Contoso Corporation هي شركة متعددة الجنسيات يقع مقرها الرئيسي في لندن. لدى Contoso مكاتب في جميع أنحاء العالم ، مع مراكز مهمة في مدينة نيويورك وطوكيو. في الآونة الأخيرة ، قامت Contoso بترحيل مجموعة الإنتاجية الخاصة بها إلى Office 365 ، مع ترحيل العديد من أعباء العمل إلى Azure.

مستأجرو Contoso

نظرا لعملية استحواذ منذ عدة سنوات ، تمتلك Contoso اثنين من مستأجري Azure AD: contoso.onmicrosoft.com و wingtip.onmicrosoft.com. لكل مستأجر مثيل Office 365 خاص به واشتراكات Azure متعددة، كما هو موضح في الصورة التالية:

Diagram of Contoso tenants, each with separate sets of subscriptions.

الامتثال ل Contoso والنشر الإقليمي

لدى Contoso حاليا موارد Azure مستضافة في ثلاث مناطق مختلفة: شرق الولايات المتحدة وشمال الاتحاد الأوروبي وغرب اليابان، ومتطلبات صارمة للحفاظ على جميع البيانات التي تم إنشاؤها في أوروبا داخل مناطق أوروبا.

يمتلك كل من مستأجري Azure AD من Contoso موارد في جميع المناطق الثلاث: شرق الولايات المتحدة وشمال الاتحاد الأوروبي وغرب اليابان

أنواع موارد Contoso ومتطلبات التحصيل

تحتاج Contoso إلى جمع الأحداث من مصادر البيانات التالية:

  • Office 365
  • Azure AD Sign-in and Audit logs
  • Azure Activity
  • أمن Windows الأحداث، من مصادر أجهزة Azure الظاهرية المحلية وAzure على حد سواء
  • Syslog، من مصادر أجهزة ظاهرية محلية وAzure على حد سواء
  • CEF ، من أجهزة شبكات محلية متعددة ، مثل Palo Alto و Cisco ASA و Cisco Meraki
  • موارد Azure PaaS المتعددة، مثل Azure Firewall وAKS Key Vault وAzure Storage وAzure SQL
  • Cisco Umbrella

تقع أجهزة Azure VM في الغالب في منطقة شمال الاتحاد الأوروبي، مع وجود عدد قليل منها فقط في شرق وغرب اليابان في الولايات المتحدة. تستخدم Contoso Microsoft Defender للخوادم الموجودة على جميع أجهزة Azure الظاهرية الخاصة بها.

تتوقع Contoso استيعاب حوالي 300 جيجابايت / يوم من جميع مصادر البيانات الخاصة بها.

متطلبات الوصول إلى Contoso

تحتوي بيئة Azure الخاصة ب Contoso بالفعل على مساحة عمل Log Analytics واحدة موجودة يستخدمها فريق العمليات لمراقبة البنية التحتية. تقع مساحة العمل هذه في Contoso AAD (دليل Azure النشط) مستأجر، ضمن منطقة شمال الاتحاد الأوروبي، ويتم استخدامها لجمع السجلات من أجهزة Azure الظاهرية في جميع المناطق. يتناولون حاليا حوالي 50 جيجابايت / يوم.

يحتاج فريق عمليات Contoso إلى الوصول إلى جميع السجلات الموجودة لديهم حاليا في مساحة العمل، والتي تتضمن العديد من أنواع البيانات التي لا يحتاجها SOC، مثل PerfوInsightsMetricsوContainerLog والمزيد. يجب ألا يكون لدى فريق العمليات حق الوصول إلى السجلات الجديدة التي سيتم تجميعها في Microsoft Sentinel.

حل كونتوسو

تطبق الخطوات التالية شجرة قرار تصميم مساحة عمل Microsoft Sentinel لتحديد أفضل تصميم لمساحة العمل ل Contoso:

  1. لدى Contoso بالفعل مساحة عمل موجودة ، حتى نتمكن من استكشاف تمكين Microsoft Sentinel في نفس مساحة العمل هذه.

    يبلغ استيعاب البيانات غير SOC أقل من 100 جيجابايت / يوم ، حتى نتمكن من الاستمرار في الخطوة 2 ، والتأكد من تحديد الخيار ذي الصلة في الخطوة 5.

  2. لدى Contoso متطلبات تنظيمية، لذلك نحتاج إلى مساحة عمل Microsoft Sentinel واحدة على الأقل في أوروبا.

  3. لدى Contoso مستأجران مختلفان ل Azure AD، ويتم تجميعها من مصادر البيانات على مستوى المستأجر، مثل Office 365 وسجلات تسجيل الدخول والتدقيق في Azure AD، لذلك نحتاج إلى مساحة عمل واحدة على الأقل لكل مستأجر.

  4. لا يحتاج Contoso إلى رد المبالغ المدفوعة ، حتى نتمكن من المتابعة في الخطوة 5.

  5. تحتاج Contoso إلى جمع بيانات غير SOC ، على الرغم من عدم وجود أي تداخل بين بيانات SOC وبيانات غير SOC. أيضا ، تمثل بيانات SOC حوالي 250 جيجابايت / يوم ، لذلك يجب عليهم استخدام مساحات عمل منفصلة من أجل كفاءة التكلفة.

  6. غالبية الأجهزة الظاهرية لشركة Contoso هي منطقة شمال الاتحاد الأوروبي ، حيث لديهم بالفعل مساحة عمل. لذلك ، في هذه الحالة ، لا تشكل تكاليف النطاق الترددي مصدر قلق.

  7. لدى Contoso فريق SOC واحد سيستخدم Microsoft Sentinel ، لذلك لا يلزم فصل إضافي.

  8. سيتمكن جميع أعضاء فريق SOC في Contoso من الوصول إلى جميع البيانات ، لذلك لا يلزم فصل إضافي.

يتم توضيح تصميم مساحة عمل Microsoft Sentinel الناتج ل Contoso في الصورة التالية:

Diagram of Contoso's solution, with a separate workspace for the Ops team.

ويشمل الحل المقترح ما يلي:

  • مساحة عمل منفصلة ل Log Analytics لفريق عمليات Contoso. ستحتوي مساحة العمل هذه فقط على البيانات التي لا يحتاجها فريق SOC في Contoso ، مثل جداول Perf أو InsightsMetrics أو ContainerLog .

  • مساحتا عمل Microsoft Sentinel، واحدة في كل مستأجر Azure AD، لاستيعاب البيانات من Office 365 وAzure Activity وAzure AD وجميع خدمات Azure PaaS.

  • يمكن توجيه جميع البيانات الأخرى، القادمة من مصادر البيانات المحلية، إلى إحدى مساحتي عمل Microsoft Sentinel.

نموذج 2: مستأجر واحد مع سحابات متعددة

Fabrikam هي منظمة مقرها الرئيسي في مدينة نيويورك ومكاتب في جميع أنحاء الولايات المتحدة. تبدأ شركة Fabrikam رحلتها السحابية، ولا تزال بحاجة إلى نشر أول منطقة هبوط Azure وترحيل أعباء العمل الأولى. لدى Fabrikam بالفعل بعض أعباء العمل على AWS ، والتي يعتزمون مراقبتها باستخدام Microsoft Sentinel.

متطلبات الإيجار في فابريكام

لدى Fabrikam مستأجر Azure AD واحد.

الامتثال ل Fabrikam والنشر الإقليمي

لا يوجد لدى Fabrikam متطلبات الامتثال. لدى Fabrikam موارد في العديد من مناطق Azure الموجودة في الولايات المتحدة ، ولكن تكاليف النطاق الترددي عبر المناطق ليست مصدر قلق كبير.

أنواع موارد Fabrikam ومتطلبات التحصيل

تحتاج Fabrikam إلى جمع الأحداث من مصادر البيانات التالية:

  • Azure AD Sign-in and Audit logs
  • Azure Activity
  • أحداث الأمان، من مصادر أجهزة Azure الظاهرية المحلية وAzure على حد سواء
  • Windows الأحداث، من مصادر أجهزة Azure الظاهرية المحلية وAzure على حد سواء
  • بيانات الأداء، من كل من مصادر الأجهزة الظاهرية المحلية وAzure
  • AWS CloudTrail
  • سجلات التدقيق والأداء AKS

متطلبات الوصول إلى Fabrikam

يحتاج فريق عمليات Fabrikam إلى الوصول إلى:

  • أحداث الأمان والأحداث Windows، من مصادر الأجهزة الظاهرية المحلية وAzure على حد سواء
  • بيانات الأداء، من كل من مصادر الأجهزة الظاهرية المحلية وAzure
  • أداء AKS (Insights الحاويات) وسجلات التدقيق
  • All Azure Activity data

يحتاج فريق Fabrikam SOC إلى الوصول:

  • Azure AD Signin and Audit logs
  • All Azure Activity data
  • أحداث الأمان، من مصادر أجهزة Azure الظاهرية المحلية وAzure على حد سواء
  • سجلات AWS CloudTrail
  • سجلات تدقيق AKS
  • بوابة Microsoft Sentinel الكاملة

حل فابريكام

تطبق الخطوات التالية شجرة قرار تصميم مساحة عمل Microsoft Sentinel لتحديد أفضل تصميم مساحة عمل ل Fabrikam:

  1. لا يحتوي Fabrikam على مساحة عمل موجودة، لذا تابع إلى الخطوة 2.

  2. ليس لدى Fabrikam متطلبات تنظيمية ، لذا استمر في الخطوة 3.

  3. لدى Fabrikam بيئة مستأجر واحد. لذا استمر في الخطوة 4.

  4. لا يحتاج Fabrikam إلى تقسيم الرسوم ، لذا استمر في الخطوة 5.

  5. ستحتاج Fabrikam إلى مساحات عمل منفصلة لفرق SOC والعمليات:

    يحتاج فريق عمليات Fabrikam إلى جمع بيانات الأداء ، من كل من VMs و AKS. نظرا لأن AKS يعتمد على إعدادات التشخيص ، فيمكنهم تحديد سجلات محددة لإرسالها إلى مساحات عمل محددة. يمكن ل Fabrikam اختيار إرسال سجلات تدقيق AKS إلى مساحة عمل Microsoft Sentinel ، وجميع سجلات AKS إلى مساحة عمل منفصلة ، حيث لا يتم تمكين Microsoft Sentinel. في مساحة العمل حيث لم يتم تمكين Microsoft Sentinel ، سيقوم Fabrikam بتمكين حل Insights الحاوية.

    بالنسبة Windows الأجهزة الظاهرية، يمكن ل Fabrikam استخدام عامل مراقبة Azure (AMA) لتقسيم السجلات وإرسال أحداث الأمان إلى مساحة عمل Microsoft Sentinel والأداء Windows الأحداث إلى مساحة العمل بدون Microsoft Sentinel.

    يختار Fabrikam اعتبار بياناته المتداخلة، مثل أحداث الأمان وأحداث نشاط Azure، كبيانات SOC فقط، ويرسل هذه البيانات إلى مساحة العمل باستخدام Microsoft Sentinel.

  6. تكاليف النطاق الترددي ليست مصدر قلق كبير لشركة Fabrikam ، لذا استمر في الخطوة 7.

  7. قررت شركة Fabrikam بالفعل استخدام مساحات عمل منفصلة لفرق SOC والعمليات. ليست هناك حاجة إلى مزيد من الفصل.

  8. يحتاج Fabrikam إلى التحكم في الوصول للبيانات المتداخلة، بما في ذلك أحداث الأمان وأحداث نشاط Azure، ولكن لا يوجد متطلب على مستوى الصف.

    لا تعد أحداث الأمان أو أحداث نشاط Azure سجلات مخصصة، لذا يمكن ل Fabrikam استخدام RBAC على مستوى الجدول لمنح حق الوصول إلى هذين الجدولين لفريق العمليات.

يتم توضيح تصميم مساحة عمل Microsoft Sentinel الناتج ل Fabrikam في الصورة التالية ، بما في ذلك مصادر السجل الرئيسية فقط من أجل بساطة التصميم:

Diagram of Fabrikam's solution, with a separate workspace for the Ops team.

ويشمل الحل المقترح ما يلي:

  • مساحتا عمل منفصلتان في منطقة الولايات المتحدة: واحدة لفريق SOC مع تمكين Microsoft Sentinel ، والأخرى لفريق العمليات ، بدون Microsoft Sentinel.

  • عامل مراقبة Azure (AMA)، يستخدم لتحديد السجلات التي يتم إرسالها إلى كل مساحة عمل من Azure والأجهزة الظاهرية المحلية.

  • إعدادات التشخيص، تستخدم لتحديد السجلات التي يتم إرسالها إلى كل مساحة عمل من موارد Azure مثل AKS.

  • البيانات المتداخلة التي يتم إرسالها إلى مساحة عمل Microsoft Sentinel، مع RBAC على مستوى الجدول لمنح حق الوصول إلى فريق العمليات حسب الحاجة.

نموذج 3: مستأجرون ومناطق متعددة وأمان مركزي

Adventure Works هي شركة متعددة الجنسيات يقع مقرها الرئيسي في طوكيو. لدى Adventure Works 10 كيانات فرعية مختلفة ، مقرها في بلدان مختلفة حول العالم.

تعد Adventure Works عميلا Microsoft 365 E5، ولديها بالفعل أحمال عمل في Azure.

متطلبات الإيجار من أعمال المغامرات

لدى Adventure Works ثلاثة مستأجرين مختلفين في Azure AD ، واحد لكل قارة من القارات التي لديهم فيها كيانات فرعية: آسيا وأوروبا وأفريقيا. ولمختلف بلدان الكيانات الفرعية هوياتها في مستأجر القارة التي تنتمي إليها. على سبيل المثال، المستخدمون اليابانيون موجودون في المستأجر الآسيوي والمستخدمون الألمان في المستأجر الأوروبي والمستخدمون المصريون في المستأجرالأفريقي.

الامتثال لأعمال المغامرات والمتطلبات الإقليمية

تستخدم Adventure Works حاليا ثلاث مناطق Azure، كل منها يتماشى مع القارة التي توجد فيها الكيانات الفرعية. لا تحتوي Adventure Works على متطلبات امتثال صارمة.

أنواع موارد Adventure Works ومتطلبات التجميع

تحتاج Adventure Works إلى جمع مصادر البيانات التالية لكل كيان فرعي:

  • Azure AD Sign-in and Audit logs
  • سجلات Office 365
  • Microsoft 365 Defender لسجلات Endpoint الأولية
  • Azure Activity
  • Microsoft Defender للسحابة
  • Azure PaaS resources, like from Azure Firewall, Azure Storage, Azure SQL, and Azure WAF
  • أحداث الأمان والنوافذ من أجهزة Azure الظاهرية
  • سجلات المركز من أجهزة الشبكة المحلية

تنتشر أجهزة Azure الظاهرية عبر القارات الثلاث، ولكن تكاليف النطاق الترددي ليست مصدر قلق.

متطلبات الوصول إلى Adventure Works

لدى Adventure Works فريق SOC مركزي واحد يشرف على العمليات الأمنية لجميع الكيانات الفرعية المختلفة.

لدى Adventure Works أيضا ثلاثة فرق SOC مستقلة ، واحدة لكل قارة. يجب أن يكون فريق SOC في كل قارة قادرا على الوصول فقط إلى البيانات التي تم إنشاؤها داخل منطقتها ، دون رؤية البيانات من القارات الأخرى. على سبيل المثال، يجب على فريق Asia SOC الوصول فقط إلى البيانات من موارد Azure المنشورة في آسيا، AAD (دليل Azure النشط) عمليات تسجيل الدخول من مستأجر آسيا، وسجلات Defender for Endpoint من مستأجر آسيا.

يحتاج فريق SOC في كل قارة إلى الوصول إلى تجربة مدخل Microsoft Sentinel الكاملة.

يعمل فريق عمليات Adventure Works بشكل مستقل ، ولديه مساحات عمل خاصة به بدون Microsoft Sentinel.

حل أعمال المغامرة

تطبق الخطوات التالية شجرة قرارات تصميم مساحة عمل Microsoft Sentinel لتحديد أفضل تصميم لمساحة العمل ل Adventure Works:

  1. يمتلك فريق عمليات Adventure Works مساحات عمل خاصة به ، لذا استمر في الخطوة 2.

  2. ليس لدى Adventure Works متطلبات تنظيمية ، لذا استمر في الخطوة 3.

  3. لدى Adventure Works ثلاثة مستأجرين من Azure AD، وتحتاج إلى جمع مصادر بيانات على مستوى المستأجر، مثل سجلات Office 365. لذلك ، يجب على Adventure Works إنشاء مساحات عمل Microsoft Sentinel على الأقل ، واحدة لكل مستأجر.

  4. لا تحتاج Adventure Works إلى تقسيم الرسوم ، لذا استمر في الخطوة 5.

  5. نظرا لأن فريق عمليات Adventure Works لديه مساحات عمل خاصة به ، استخدام جميع البيانات التي تم أخذها في الاعتبار في هذا القرار من قبل فريق SOC في Adventure Works.

  6. تكاليف النطاق الترددي ليست مصدر قلق كبير ل Adventure Works ، لذا تابع الخطوة 7.

  7. تحتاج Adventure Works إلى فصل البيانات حسب الملكية، حيث يحتاج فريق SOC لكل محتوى إلى الوصول فقط إلى البيانات ذات الصلة بهذا المحتوى. ومع ذلك ، يحتاج فريق SOC في كل قارة أيضا إلى الوصول إلى بوابة Microsoft Sentinel الكاملة.

  8. لا يحتاج Adventure Works إلى التحكم في الوصول إلى البيانات عن طريق الجدول.

يتم توضيح تصميم مساحة عمل Microsoft Sentinel الناتج ل Adventure Works في الصورة التالية، بما في ذلك مصادر السجلات الرئيسية فقط من أجل بساطة التصميم:

Diagram of Adventure Works's solution, with a separate workspaces for each Azure AD tenant.

ويشمل الحل المقترح ما يلي:

  • مساحة عمل Microsoft Sentinel منفصلة لكل مستأجر Azure AD. تقوم كل مساحة عمل بتجميع البيانات المتعلقة بالمستأجر الخاص بها لجميع مصادر البيانات.

  • لا يمكن لفريق SOC في كل قارة الوصول إلا إلى مساحة العمل في المستأجر الخاص به ، مما يضمن أن السجلات التي تم إنشاؤها داخل حدود المستأجر فقط يمكن الوصول إليها من قبل كل فريق SOC.

  • لا يزال بإمكان فريق SOC المركزي العمل من مستأجر Azure AD منفصل، باستخدام Azure Lighthouse للوصول إلى كل بيئة من بيئات Microsoft Sentinel المختلفة. إذا لم يكن هناك مستأجر إضافي، فلا يزال بإمكان فريق SOC المركزي استخدام Azure Lighthouse للوصول إلى مساحات العمل البعيدة.

  • يمكن لفريق SOC المركزي أيضا إنشاء مساحة عمل إضافية إذا كان بحاجة إلى تخزين القطع الأثرية التي تظل مخفية عن فرق SOC في القارة ، أو إذا كان يرغب في استيعاب بيانات أخرى غير ذات صلة بفرق SOC في القارة.

الخطوات التالية

على متن مايكروسوفت سنتينل

الحصول على رؤية في التنبيهات