Voorbereiden op meerdere werkruimten en tenants in Microsoft Sentinel

  • Artikel

Als u zich wilt voorbereiden op uw implementatie, moet u bepalen of een architectuur met meerdere werkruimten relevant is voor uw omgeving. In dit artikel leert u hoe Microsoft Sentinel kan uitbreiden naar meerdere werkruimten en tenants, zodat u kunt bepalen of deze mogelijkheid aansluit bij de behoeften van uw organisatie. Dit artikel maakt deel uit van de implementatiehandleiding voor Microsoft Sentinel.

Als u hebt besloten om uw omgeving in te stellen voor uitbreiding tussen werkruimten, raadpleegt u Microsoft Sentinel uitbreiden tussen werkruimten en tenants en meerdere Microsoft Sentinel-werkruimten centraal beheren met werkruimtebeheer.

De noodzaak om meerdere Microsoft Sentinel-werkruimten te gebruiken

Wanneer u Microsoft Sentinel onboardt, moet u eerst uw Log Analytics-werkruimte selecteren. Hoewel u het volledige voordeel van de Microsoft Sentinel-ervaring met één werkruimte kunt krijgen, kunt u in sommige gevallen uw werkruimte uitbreiden om uw gegevens op te vragen en te analyseren in werkruimten en tenants.

Deze tabel bevat enkele van deze scenario's en stelt, indien mogelijk, voor hoe u één werkruimte voor het scenario kunt gebruiken.

Vereiste Omschrijving Manieren om het aantal werkruimten te verminderen
Soevereiniteit en naleving van regelgeving Een werkruimte is gekoppeld aan een bepaalde regio. Als u gegevens in verschillende Azure-geografische gebieden wilt bewaren om te voldoen aan wettelijke vereisten, splitst u de gegevens op in afzonderlijke werkruimten.
Eigendom van gegevens De grenzen van het gegevenseigendom, bijvoorbeeld door dochterondernemingen of gelieerde bedrijven, worden beter afgebakend met behulp van afzonderlijke werkruimten.
Meerdere Azure-tenants Microsoft Sentinel ondersteunt het verzamelen van gegevens uit Microsoft- en Azure SaaS-resources alleen binnen de eigen Microsoft Entra-tenantgrens. Daarom vereist elke Microsoft Entra-tenant een afzonderlijke werkruimte.
Gedetailleerde controle over gegevenstoegang Een organisatie moet mogelijk verschillende groepen, binnen of buiten de organisatie, toegang geven tot een deel van de gegevens die door Microsoft Sentinel zijn verzameld. Bijvoorbeeld:
  • Toegang van resource-eigenaren tot gegevens die betrekking hebben op hun resources
  • Regionale of ondersteunende SOC's toegang tot gegevens die relevant zijn voor hun onderdelen van de organisatie
 Azure RBAC of azure RBAC op tabelniveau gebruiken
Gedetailleerde bewaarinstellingen In het verleden waren meerdere werkruimten de enige manier om verschillende bewaarperioden in te stellen voor verschillende gegevenstypen. Dit is in veel gevallen niet meer nodig, dankzij de introductie van instellingen voor retentie op tabelniveau. Bewaarinstellingen op tabelniveau gebruiken of het verwijderen van gegevens automatiseren
Gesplitste facturering Door werkruimten in afzonderlijke abonnementen te plaatsen, kunnen ze worden gefactureerd aan verschillende partijen. Gebruiksrapportages en doorberekening
Verouderde architectuur Het gebruik van meerdere werkruimten kan voortvloeien uit een historisch ontwerp dat rekening hield met beperkingen of aanbevolen procedures die niet meer waar zijn. Het kan ook een willekeurige ontwerpkeuze zijn die kan worden aangepast om Microsoft Sentinel beter te kunnen gebruiken.

Voorbeelden zijn:
  • Een standaardwerkruimte per abonnement gebruiken bij het implementeren van Microsoft Defender voor Cloud
  • De behoefte aan gedetailleerde instellingen voor toegangsbeheer of retentie, de oplossingen waarvoor relatief nieuw zijn
 Werkruimten opnieuw ontwerpen

Managed Security Service Provider (MSSP)

In het geval van een MSSP zijn veel, indien niet alle bovenstaande vereisten van toepassing, waardoor meerdere werkruimten, in meerdere tenants, de best practice zijn. De MSSP kan Azure Lighthouse gebruiken om de mogelijkheden voor meerdere werkruimten van Microsoft Sentinel uit te breiden tussen tenants.

Architectuur voor meerdere werkruimten in Microsoft Sentinel

Zoals wordt geïmpliceerd door de bovenstaande vereisten, zijn er gevallen waarin één SOC centraal meerdere Microsoft Sentinel-werkruimten moet beheren en bewaken, mogelijk tussen Microsoft Entra-tenants.

  • Een MSSP Microsoft Sentinel-service.

  • Een wereldwijde SOC die meerdere dochterondernemingen bedient, elk met een eigen lokale SOC.

  • Een SOC-bewaking van meerdere Microsoft Entra-tenants binnen een organisatie.

Om deze gevallen aan te pakken, biedt Microsoft Sentinel mogelijkheden voor meerdere werkruimten die centrale bewaking, configuratie en beheer mogelijk maken, waardoor één glasdeelvenster wordt geboden over alles dat wordt gedekt door de SOC. In dit diagram ziet u een voorbeeldarchitectuur voor dergelijke gebruiksvoorbeelden.

Diagram showing extend workspace across multiple tenants: architecture.

Dit model biedt aanzienlijke voordelen ten opzichte van een volledig gecentraliseerd model waarin alle gegevens naar één werkruimte worden gekopieerd:

  • Flexibele roltoewijzing aan de globale en lokale SOC's of aan de MSSP-klanten.

  • Minder uitdagingen met betrekking tot gegevenseigendom, gegevensprivacy en naleving van regelgeving.

  • Minimale netwerklatentie en -kosten.

  • Eenvoudig onboarden en offboarding van nieuwe dochterondernemingen of klanten.

In de volgende secties wordt uitgelegd hoe u dit model kunt gebruiken, en met name hoe:

  • Bewaak meerdere werkruimten, mogelijk binnen tenants, zodat de SOC met één deelvenster glas kan worden geleverd.

  • Configureer en beheer meerdere werkruimten centraal, mogelijk tussen tenants, met behulp van automatisering.

Volgende stappen

In dit artikel hebt u geleerd hoe Microsoft Sentinel meerdere werkruimten en tenants kan uitbreiden.

Gegevensconnectors prioriteren