Préparer plusieurs espaces de travail et tenants dans Microsoft Sentinel
Pour préparer votre déploiement, vous devez déterminer si une architecture de plusieurs espaces de travail est pertinente pour votre environnement. Dans cet article, vous allez découvrir comment Microsoft Sentinel peut s’étendre à plusieurs espaces de travail et tenants afin de déterminer si cette capacité répond aux besoins de votre organisation. Cet article fait partie du guide de déploiement de Microsoft Sentinel.
Si vous avez décidé de configurer votre environnement pour qu’il s’étende sur plusieurs espaces de travail, consultez Étendre Microsoft Sentinel dans les espaces de travail et les locataires et Gérer de manière centralisée plusieurs espaces de travail Microsoft Sentinel avec le gestionnaire d’espace de travail.
Nécessité d’utiliser plusieurs espaces de travail Microsoft Sentinel
Lorsque vous intégrez Microsoft Sentinel, votre première étape consiste à sélectionner votre espace de travail Log Analytics. Bien que vous puissiez tirer pleinement parti de l’expérience Microsoft Sentinel avec un seul espace de travail, dans certains cas, vous pouvez étendre votre espace de travail pour interroger et analyser vos données entre les espaces de travail et les locataires.
Ce tableau répertorie certains de ces scénarios et, dans la mesure du possible, suggère comment vous pourriez utiliser un seul espace de travail pour le scénario.
| Condition requise | Description | Comment réduire le nombre d’espaces de travail |
|---|---|---|
| Souveraineté et conformité réglementaire | Un espace de travail est lié à une région spécifique. Pour conserver les données dans différentes zones géographiques Azure afin de répondre aux exigences réglementaires, divisez les données en espaces de travail distincts. | |
| Propriétaire des données | Les limites de la propriété des données, par exemple par les filiales ou les sociétés affiliées, sont mieux définies à l’aide d’espaces de travail distincts. | |
| Plusieurs locataires Azure | Microsoft Sentinel prend en charge la collecte de données à partir de ressources Microsoft et SaaS Azure uniquement dans sa propre limite de locataire Microsoft Entra. Par conséquent, chaque locataire Microsoft Entra requiert un espace de travail distinct. | |
| Contrôle d’accès granulaire aux données | Une organisation pourrait avoir besoin d’autoriser des groupes différents, au sein ou à l’extérieur de l’organisation, à accéder à certaines des données collectées par Microsoft Sentinel. Par exemple :
|
Utilisez le contrôle RBAC Azure des ressources ou Azure RBAC au niveau de la table |
| Paramètres de rétention granulaires | Historiquement, disposer de plusieurs espaces de travail était la seule solution pour définir des périodes de rétention différentes pour différents types de données. Cela n’est plus nécessaire dans de nombreux cas, grâce à l’introduction des paramètres de rétention au niveau table. | Utilisez les paramètres de rétention au niveau table ou automatisez la suppression des données |
| Facturation fractionnée | Placer des espaces de travail dans des abonnements distincts permet de les facturer à différentes parties. | Rapports d’utilisation et facturation interne |
| Architecture héritée | L’utilisation de plusieurs espaces de travail pourrait provenir d’une conception historique qui a pris en compte des limitations ou des pratiques recommandées qui ne sont plus valables. Il peut également s’agir d’un choix de conception arbitraire qui peut être modifié pour mieux prendre en charge Microsoft Sentinel. Voici quelques exemples :
|
Restructurer les espaces de travail |
Fournisseur de services de sécurité managés (MSSP)
Dans le cas d’un MSSP, beaucoup, pour ne pas dire toutes les exigences ci-dessus s’appliquent ; ainsi, avoir plusieurs espaces de travail parmi les locataires constitue la meilleure pratique. Le MSSP peut utiliser Azure Lighthouse pour étendre les capacités interespaces de travail Microsoft Sentinel entre les locataires.
Architecture d’espaces de travail multiples Microsoft Sentinel
Comme nous l’avons vu dans les exigences ci-dessus, il existe des cas où plusieurs espaces de travail Microsoft Sentinel, potentiellement dans plusieurs locataires Microsoft Entra, doivent être surveillés et gérés de manière centralisée par un seul SOC.
Un service Microsoft Sentinel de MSSP.
Un SOC international desservant plusieurs filiales, chacune ayant son propre SOC local.
Un SOC surveillant plusieurs locataires Microsoft Entra au sein d’une organisation.
Pour répondre à ces cas, Microsoft Sentinel propose des capacités d’espaces de travail multiples qui permettent une surveillance, une configuration et une gestion centralisées, en fournissant un seul et même volet pour tous les éléments couverts par le SOC, comme indiqué dans le schéma ci-dessous. Ce diagramme montre un exemple d’architecture pour ces cas d’usage.
Ce modèle offre des avantages significatifs par rapport à un modèle entièrement centralisé dans lequel toutes les données sont copiées dans un espace de travail unique :
Attribution de rôle flexible aux SOC internationaux et locaux, ou aux MSSP de leurs clients.
Moins de défis concernant la propriété des données, la confidentialité des données et la conformité réglementaire.
Facturation et latence minimales du réseau.
Intégration et débarquement faciles de nouvelles filiales ou de nouveaux clients.
Dans les sections suivantes, nous expliquerons comment utiliser ce modèle, et notamment comment :
Surveiller de manière centralisée plusieurs espaces de travail, potentiellement entre les locataires, en fournissant au SOC un seul volet de transparence.
Configurer et gérer de manière centralisée plusieurs espaces de travail, potentiellement entre les locataires, à l’aide de l’automatisation.
Étapes suivantes
Dans cet article, vous avez appris comment Microsoft Sentinel peut s’étendre à plusieurs espaces de travail et tenants.