Příprava na více pracovních prostorů a tenantů v Microsoft Sentinelu
Pokud chcete připravit nasazení, musíte určit, jestli je pro vaše prostředí relevantní více architektur pracovního prostoru. V tomto článku se dozvíte, jak microsoft Sentinel může rozšířit více pracovních prostorů a tenantů, abyste mohli zjistit, jestli tato funkce vyhovuje potřebám vaší organizace. Tento článek je součástí průvodce nasazením pro Microsoft Sentinel.
Pokud jste se rozhodli nastavit prostředí tak, aby se rozšířilo mezi pracovní prostory, přečtěte si téma Rozšíření služby Microsoft Sentinel mezi pracovní prostory a tenanty a centrální správa více pracovních prostorů Microsoft Sentinelu pomocí správce pracovních prostorů.
Potřeba používat více pracovních prostorů Microsoft Sentinelu
Při onboardingu služby Microsoft Sentinel je vaším prvním krokem výběr pracovního prostoru služby Log Analytics. I když můžete získat plnou výhodu prostředí Microsoft Sentinelu s jedním pracovním prostorem, v některých případech můžete chtít rozšířit pracovní prostor tak, aby se dotazovat a analyzovat data napříč pracovními prostory a tenanty.
Tato tabulka uvádí některé z těchto scénářů a pokud je to možné, navrhuje, jak pro scénář použít jeden pracovní prostor.
| Požadavek | Popis | Způsoby snížení počtu pracovních prostorů |
|---|---|---|
| Suverenita a dodržování právních předpisů | Pracovní prostor je vázaný na konkrétní oblast. Pokud chcete zachovat data v různých geografických oblastech Azure, aby splňovala zákonné požadavky, rozdělte data do samostatných pracovních prostorů. | |
| Vlastnictví dat | Hranice vlastnictví dat, například dceřinými společnostmi nebo přidruženými společnostmi, jsou lépe vymezeny pomocí samostatných pracovních prostorů. | |
| Více tenantů Azure | Microsoft Sentinel podporuje shromažďování dat z prostředků Microsoft a Azure SaaS pouze v rámci vlastní hranice tenanta Microsoft Entra. Každý tenant Microsoft Entra proto vyžaduje samostatný pracovní prostor. | |
| Odstupňované řízení přístupu k datům | Organizace může potřebovat povolit různým skupinám v rámci organizace nebo mimo ni přístup k některým datům shromážděným službou Microsoft Sentinel. Příklad:
|
Použití Azure RBAC na úrovni prostředku nebo azure RBAC na úrovni tabulky |
| Nastavení podrobného uchovávání informací | V minulosti bylo více pracovních prostorů jediným způsobem, jak nastavit různá období uchovávání pro různé datové typy. V mnoha případech už to není potřeba, a to díky zavedení nastavení uchovávání na úrovni tabulky. | Použití nastavení uchovávání informací na úrovni tabulky nebo automatizace odstraňování dat |
| Rozdělená fakturace | Umístěním pracovních prostorů do samostatných předplatných je možné je fakturovat různým stranám. | Použijte vykazování a přeúčtování. |
| Zastaralá architektura | Použití více pracovních prostorů může vycházet z historického návrhu, který zohlednil omezení nebo osvědčené postupy, které už nejsou pravdivé. Může to být také libovolná volba návrhu, kterou je možné upravit tak, aby lépe vyhovovala službě Microsoft Sentinel. Příkladem může být:
|
Změňte architekturu pracovních prostorů. |
Poskytovatel spravované služby zabezpečení (MSSP)
V případě mssp platí mnoho z výše uvedených požadavků, což je osvědčeným postupem pro více pracovních prostorů napříč tenanty. Poskytovatel MSSP může azure Lighthouse použít k rozšíření možností microsoft Sentinelu mezi pracovními prostory napříč tenanty.
Architektura více pracovních prostorů v Microsoft Sentinelu
Jak vyplývá z výše uvedených požadavků, existují případy, kdy jeden SOC musí centrálně spravovat a monitorovat více pracovních prostorů Microsoft Sentinelu, potenciálně napříč tenanty Microsoft Entra.
Služba MSSP Microsoft Sentinel.
Globální SOC obsluhující více dceřiných společností, z nichž každá má vlastní místní SOC.
SOC monitoruje více tenantů Microsoft Entra v rámci organizace.
Pro řešení těchto případů nabízí Microsoft Sentinel funkce s více pracovními prostory, které umožňují centrální monitorování, konfiguraci a správu a poskytují jediné podokno skla ve všech oblastech, na které se vztahuje SOC. Tento diagram znázorňuje ukázkovou architekturu pro takové případy použití.
Tento model nabízí významné výhody oproti plně centralizovaného modelu, ve kterém se všechna data kopírují do jednoho pracovního prostoru:
Flexibilní přiřazení role ke globálním a místním socům nebo k mssp jeho zákazníkům.
Méně problémů týkajících se vlastnictví dat, ochrany osobních údajů a dodržování právních předpisů
Minimální latence sítě a poplatky
Snadné onboarding a odpojování nových poboček nebo zákazníků.
V následujících částech si vysvětlíme, jak pracovat s tímto modelem, a zejména s postupy:
Centrálně monitorujte více pracovních prostorů, potenciálně napříč tenanty a poskytuje SOC jediné podokno skla.
Centrálně konfigurujte a spravujte více pracovních prostorů, potenciálně napříč tenanty pomocí automatizace.
Další kroky
V tomto článku jste zjistili, jak může Microsoft Sentinel rozšířit více pracovních prostorů a tenantů.