Ukázkové návrhy pracovních prostorů služby Microsoft Sentinel

  • Článek

Tento článek popisuje návrhy návrhů pracovních prostorů pro organizace s následujícími ukázkovými požadavky:

  • Více tenantů a oblastí s požadavky na evropskou suverenitu dat
  • Jeden tenant s několika cloudy
  • Více tenantů s více oblastmi a centralizovaným zabezpečením

Ukázky v tomto článku používají rozhodovací strom návrhu pracovního prostoru Microsoft Sentinel k určení nejlepšího návrhu pracovního prostoru pro každou organizaci. Další informace najdete v osvědčených postupech architektury pracovního prostoru služby Microsoft Sentinel.

Tento článek je součástí průvodce nasazením pro Microsoft Sentinel.

Ukázka 1: Více tenantů a oblastí

Společnost Contoso Corporation je nadnárodní firma s ústředím v Londýně. Contoso má pobočky po celém světě s důležitými rozbočovači v New Yorku a Tokiu. Společnost Contoso nedávno migrovala svou sadu produktivity do Office 365 s mnoha úlohami migrovanými do Azure.

Tenanti Společnosti Contoso

Společnost Contoso má před několika lety dva tenanty Microsoft Entra: contoso.onmicrosoft.com a wingtip.onmicrosoft.com. Každý tenant má vlastní instanci Office 365 a několik předplatných Azure, jak je znázorněno na následujícím obrázku:

Diagram of Contoso tenants, each with separate sets of subscriptions.

Dodržování předpisů a regionální nasazení společnosti Contoso

Společnost Contoso má aktuálně prostředky Azure hostované ve třech různých oblastech: USA – východ, USA – sever a Západní Japonsko a striktní požadavek na zachování všech dat generovaných v Evropě v rámci oblastí Evropy.

Oba tenanti Microsoft Entra společnosti Contoso mají prostředky ve všech třech oblastech: USA – východ, EVROPA – sever a Západní Japonsko

Požadavky na prostředky a požadavky na shromažďování prostředků Společnosti Contoso

Společnost Contoso potřebuje shromažďovat události z následujících zdrojů dat:

  • Office 365
  • Protokoly přihlášení a auditu Microsoft Entra
  • Aktivity v Azure
  • Zabezpečení Windows události z místních i místních zdrojů virtuálních počítačů Azure
  • Syslog z místních i místních zdrojů virtuálních počítačů Azure
  • CEF z několika místních síťových zařízení, jako jsou Palo Alto, Cisco ASA a Cisco Meraki
  • Několik prostředků Azure PaaS, jako jsou Azure Firewall, AKS, Key Vault, Azure Storage a Azure SQL
  • Cisco Umbrella

Virtuální počítače Azure se většinou nacházejí v oblasti USA – sever, jen několik v oblasti USA – východ a Západní Japonsko. Společnost Contoso používá Microsoft Defender pro servery na všech svých virtuálních počítačích Azure.

Společnost Contoso očekává, že bude ingestovat přibližně 300 GB za den ze všech svých zdrojů dat.

Požadavky na přístup společnosti Contoso

Prostředí Azure společnosti Contoso už má k monitorování infrastruktury jeden existující pracovní prostor služby Log Analytics, který používá provozní tým. Tento pracovní prostor se nachází v tenantovi Microsoft Entra společnosti Contoso v oblasti SEVERNÍ EU a používá se ke shromažďování protokolů z virtuálních počítačů Azure ve všech oblastech. V současné době ingestují přibližně 50 GB za den.

Provozní tým společnosti Contoso musí mít přístup ke všem protokolům, které aktuálně mají v pracovním prostoru, a to včetně několika datových typů, které SOC nepotřebuje, jako je Perf, Přehledy Metrics, ContainerLog a další. Provozní tým nesmí mít přístup k novým protokolům shromážděným v Microsoft Sentinelu.

Řešení společnosti Contoso

Následující kroky použijí rozhodovací strom návrhu pracovního prostoru Služby Microsoft Sentinel k určení nejvhodnějšího návrhu pracovního prostoru pro Společnost Contoso:

  1. Společnost Contoso už má existující pracovní prostor, abychom mohli prozkoumat povolení služby Microsoft Sentinel ve stejném pracovním prostoru.

    Příjem dat mimo SOC je menší než 100 GB za den, takže můžeme pokračovat krokem 2 a vybrat příslušnou možnost v kroku 5.

  2. Contoso má zákonné požadavky, takže potřebujeme alespoň jeden pracovní prostor Microsoft Sentinelu v Evropě.

  3. Contoso má dva různé tenanty Microsoft Entra a shromažďuje ze zdrojů dat na úrovni tenanta, jako jsou přihlášení k Office 365 a protokoly auditu Microsoft Entra, takže potřebujeme alespoň jeden pracovní prostor na tenanta.

  4. Společnost Contoso nepotřebuje vrácení zpět, takže můžeme pokračovat krokem 5.

  5. Společnost Contoso potřebuje shromažďovat data mimo SOC, i když se mezi daty SOC a jiným než SOC nepřekrývá. Datové účty SOC také po dobu přibližně 250 GB za den, takže by měly kvůli nákladové efektivitě používat samostatné pracovní prostory.

  6. Většina virtuálních počítačů Společnosti Contoso je severní oblastí EU, kde už mají pracovní prostor. V tomto případě se proto náklady na šířku pásma netýkají.

  7. Contoso má jeden tým SOC, který bude používat Microsoft Sentinel, takže není potřeba žádné další oddělení.

  8. Všichni členové týmu SOC společnosti Contoso budou mít přístup ke všem datům, takže není potřeba žádné další oddělení.

Výsledný návrh pracovního prostoru Microsoft Sentinel pro Společnost Contoso je znázorněný na následujícím obrázku:

Diagram of Contoso's solution, with a separate workspace for the Ops team.

Navrhované řešení zahrnuje:

  • Samostatný pracovní prostor služby Log Analytics pro provozní tým Společnosti Contoso. Tento pracovní prostor bude obsahovat jenom data, která tým SOC společnosti Contoso nepotřebuje, například tabulky Perf, Přehledy Metrics nebo ContainerLog.

  • Dva pracovní prostory Microsoft Sentinelu, jeden v každém tenantovi Microsoft Entra, pro příjem dat z Office 365, aktivita Azure, ID Microsoft Entra a všechny služby Azure PaaS.

  • Všechna ostatní data pocházející z místních zdrojů dat je možné směrovat do jednoho ze dvou pracovních prostorů Služby Microsoft Sentinel.

Ukázka 2: Jeden tenant s více cloudy

Fabrikam je organizace s ústředím v New Yorku a pobočkami kolem USA. Společnost Fabrikam spouští svou cestu ke cloudu a stále potřebuje nasadit první cílovou zónu Azure a migrovat první úlohy. Společnost Fabrikam už má některé úlohy v AWS, které mají v úmyslu monitorovat pomocí Služby Microsoft Sentinel.

Požadavky na tenanty Fabrikam

Fabrikam má jednoho tenanta Microsoft Entra.

Dodržování předpisů a regionální nasazení Fabrikam

Fabrikam nemá žádné požadavky na dodržování předpisů. Společnost Fabrikam má prostředky v několika oblastech Azure umístěných v USA, ale náklady na šířku pásma napříč oblastmi nejsou zásadním problémem.

Požadavky na prostředky Fabrikam a požadavky na kolekci

Společnost Fabrikam potřebuje shromažďovat události z následujících zdrojů dat:

  • Protokoly přihlášení a auditu Microsoft Entra
  • Aktivity v Azure
  • Události zabezpečení z místních i místních i virtuálních počítačů Azure
  • Události Windows z místních i místních zdrojů virtuálních počítačů Azure
  • Data o výkonu z místních i místních zdrojů virtuálních počítačů Azure
  • AWS CloudTrail
  • Protokoly auditu a výkonu AKS

Požadavky na přístup ke službě Fabrikam

Provozní tým společnosti Fabrikam potřebuje přístup:

  • Události zabezpečení a události Windows z místních i místních zdrojů virtuálních počítačů Azure
  • Data o výkonu z místních i místních zdrojů virtuálních počítačů Azure
  • Výkon AKS (Přehledy kontejnerů) a protokoly auditu
  • Všechna data aktivit Azure

Tým SOC společnosti Fabrikam potřebuje přístup:

  • Protokoly přihlášení a auditu Microsoft Entra
  • Všechna data aktivit Azure
  • Události zabezpečení z místních i místních zdrojů virtuálních počítačů Azure
  • Protokoly AWS CloudTrail
  • Protokoly auditu AKS
  • Úplný portál Microsoft Sentinel

Řešení společnosti Fabrikam

Následující kroky použijí rozhodovací strom návrhu pracovního prostoru Služby Microsoft Sentinel k určení nejlepšího návrhu pracovního prostoru pro Fabrikam:

  1. Fabrikam nemá žádný existující pracovní prostor, takže pokračujte krokem 2.

  2. Společnost Fabrikam nemá žádné zákonné požadavky, proto pokračujte krokem 3.

  3. Fabrikam má prostředí s jedním tenantem. pokračujte krokem 4.

  4. Společnost Fabrikam nemusí rozdělovat poplatky, takže pokračujte krokem 5.

  5. Společnost Fabrikam bude pro své týmy SOC a Operations potřebovat samostatné pracovní prostory:

    Provozní tým Fabrikam potřebuje shromažďovat údaje o výkonu z virtuálních počítačů i AKS. Vzhledem k tomu, že AKS je založená na nastavení diagnostiky, můžou vybrat konkrétní protokoly, které se mají odesílat do konkrétních pracovních prostorů. Společnost Fabrikam se může rozhodnout odesílat protokoly auditu AKS do pracovního prostoru Microsoft Sentinelu a všechny protokoly AKS do samostatného pracovního prostoru, kde není povolená služba Microsoft Sentinel. V pracovním prostoru, kde není služba Microsoft Sentinel povolená, povolí Fabrikam řešení Container Přehledy.

    U virtuálních počítačů s Windows může společnost Fabrikam pomocí agenta Azure Monitoring Agent (AMA) rozdělit protokoly, odesílat události zabezpečení do pracovního prostoru Služby Microsoft Sentinel a výkon a události Windows do pracovního prostoru bez Microsoft Sentinelu.

    Společnost Fabrikam se rozhodne vzít v úvahu překrývající se data, jako jsou události zabezpečení a události aktivit Azure, pouze data SOC, a tato data odesílá do pracovního prostoru pomocí služby Microsoft Sentinel.

  6. Náklady na šířku pásma nejsou pro Fabrikam zásadním problémem, proto pokračujte krokem 7.

  7. Společnost Fabrikam se už rozhodla používat samostatné pracovní prostory pro týmy SOC a Operations. Není potřeba žádné další oddělení.

  8. Společnost Fabrikam potřebuje řídit přístup k překrývajícím se datům, včetně událostí zabezpečení a událostí aktivit Azure, ale nevyžaduje se žádná úroveň řádků.

    Události zabezpečení a události aktivit Azure nejsou vlastní protokoly, takže Fabrikam může pomocí řízení přístupu na úrovni tabulky udělit přístup k těmto dvěma tabulkám provoznímu týmu.

Výsledný návrh pracovního prostoru Služby Microsoft Sentinel pro Fabrikam je znázorněný na následujícím obrázku, včetně pouze klíčových zdrojů protokolů kvůli jednoduchosti návrhu:

Diagram of Fabrikam's solution, with a separate workspace for the Ops team.

Navrhované řešení zahrnuje:

  • Dva samostatné pracovní prostory v oblasti USA: jeden pro tým SOC s povolenou službou Microsoft Sentinel a druhý pro provozní tým bez Microsoft Sentinelu.

  • Agent monitorování Azure (AMA) sloužící k určení protokolů odesílaných do každého pracovního prostoru z Azure a místních virtuálních počítačů.

  • Nastavení diagnostiky, které slouží k určení protokolů odesílaných do jednotlivých pracovních prostorů z prostředků Azure, jako je AKS.

  • Překrývající se data odesílaná do pracovního prostoru Microsoft Sentinelu, přičemž řízení přístupu na úrovni tabulky umožňuje podle potřeby udělit přístup provoznímu týmu.

Ukázka 3: Více tenantů a oblastí a centralizované zabezpečení

Adventure Works je nadnárodní společnost s ústředím v Tokiu. Adventure Works má 10 různých dílčích entit založených na různých zemích/oblastech po celém světě.

Adventure Works je zákazník Microsoft 365 E5 a už má úlohy v Azure.

Požadavky na tenanty Adventure Works

Adventure Works má tři různé tenanty Microsoft Entra, jednoho pro každý kontinent, kde mají dílčí entity: Asie, Evropa a Afrika. Země nebo oblasti různých dílčích entit mají své identity v tenantovi kontinentu, ke kterým patří. Japonské uživatele jsou například v tenantovi Asie , německé uživatele jsou v tenantovi Evropy a egyptští uživatelé jsou v tenantovi Afriky .

Dodržování předpisů a regionální požadavky společnosti Adventure Works

Adventure Works v současné době používá tři oblasti Azure, které jsou v souladu s kontinentem, ve kterém se nacházejí dílčí entity. Adventure Works nemá přísné požadavky na dodržování předpisů.

Požadavky na prostředky Adventure Works a požadavky na kolekci

Společnost Adventure Works potřebuje shromáždit následující zdroje dat pro každou dílčí entitu:

  • Protokoly přihlášení a auditu Microsoft Entra
  • Protokoly Office 365
  • Nezpracované protokoly XDR v programu Microsoft Defender pro koncový bod
  • Aktivity v Azure
  • Microsoft Defender for Cloud
  • Prostředky Azure PaaS, jako jsou Azure Firewall, Azure Storage, Azure SQL a Azure WAF
  • Události zabezpečení a Windows z virtuálních počítačů Azure
  • Protokoly CEF z místních síťových zařízení

Virtuální počítače Azure jsou rozptýlené napříč třemi kontinenty, ale náklady na šířku pásma se netýkají.

Požadavky na přístup k Adventure Works

Adventure Works má jeden centralizovaný tým SOC, který dohlíží na operace zabezpečení pro všechny různé dílčí entity.

Adventure Works má také tři nezávislé týmy SOC, jeden pro každý kontinent. Tým SOC každého kontinentu by měl mít přístup jenom k datům vygenerovaným v rámci své oblasti, aniž by viděl data z jiných kontinentů. Například tým SOC v Asii by měl přistupovat k datům jenom z prostředků Azure nasazených v Asii, přihlášení Microsoft Entra z tenanta Asie a protokoly Defenderu for Endpoint z tenanta Asie.

Tým SOC každého kontinentu potřebuje přístup k celému prostředí portálu Microsoft Sentinel.

Provozní tým společnosti Adventure Works běží nezávisle a má vlastní pracovní prostory bez Microsoft Sentinelu.

Řešení Adventure Works

Následující kroky použijí rozhodovací strom návrhu pracovního prostoru Služby Microsoft Sentinel k určení nejlepšího návrhu pracovního prostoru pro Adventure Works:

  1. Provozní tým společnosti Adventure Works má vlastní pracovní prostory, takže pokračujte krokem 2.

  2. Adventure Works nemá žádné zákonné požadavky, proto pokračujte krokem 3.

  3. Adventure Works má tři tenanty Microsoft Entra a potřebuje shromažďovat zdroje dat na úrovni tenanta, jako jsou protokoly Office 365. Proto by společnost Adventure Works měla vytvořit alespoň pracovní prostory Služby Microsoft Sentinel, jeden pro každého tenanta.

  4. Adventure Works nemusí rozdělovat poplatky, takže pokračujte krokem 5.

  5. Vzhledem k tomu, že provozní tým Společnosti Adventure Works má své vlastní pracovní prostory, budou všechna data, která v tomto rozhodnutí považuje tým SOC společnosti Adventure Works.

  6. Náklady na šířku pásma nejsou pro Adventure Works zásadním problémem, proto pokračujte krokem 7.

  7. Společnost Adventure Works potřebuje oddělit data podle vlastnictví, protože tým SOC každého obsahu potřebuje přístup jenom k datům, která jsou pro daný obsah relevantní. Tým SOC každého kontinentu ale potřebuje také přístup k celému portálu Microsoft Sentinel.

  8. Adventure Works nemusí řídit přístup k datům podle tabulky.

Výsledný návrh pracovního prostoru Microsoft Sentinelu pro Adventure Works je znázorněný na následujícím obrázku, včetně pouze klíčových zdrojů protokolů kvůli jednoduchosti návrhu:

Diagram of Adventure Works's solution, with separate workspaces for each Azure AD tenant.

Navrhované řešení zahrnuje:

  • Samostatný pracovní prostor Microsoft Sentinelu pro každého tenanta Microsoft Entra. Každý pracovní prostor shromažďuje data související s jeho tenantem pro všechny zdroje dat.

  • Tým SOC každého kontinentu má přístup jenom k pracovnímu prostoru ve vlastním tenantovi a zajišťuje, aby každý tým SOC byl přístupný jenom k protokolům vygenerovaným v rámci hranice tenanta.

  • Centrální tým SOC může dál pracovat z samostatného tenanta Microsoft Entra pomocí služby Azure Lighthouse pro přístup ke každému z různých prostředí Microsoft Sentinelu. Pokud neexistuje žádný jiný tenant, centrální tým SOC může k přístupu ke vzdáleným pracovním prostorům dál používat Azure Lighthouse.

  • Centrální tým SOC může také vytvořit další pracovní prostor, pokud potřebuje ukládat artefakty, které zůstávají skryté od týmů SOC kontinentu, nebo pokud chce ingestovat další data, která nejsou relevantní pro týmy SOC kontinentu.

Další kroky

V tomto článku jste si prostudovali sadu navrhovaných návrhů pracovních prostorů pro organizace.

Příprava na více pracovních prostorů