Uw Microsoft Sentinel-werkruimtearchitectuur ontwerpen
Notitie
Azure Sentinel heet nu Microsoft Sentinel en we zullen deze pagina's in de komende weken bijwerken. Meer informatie over recente beveiligingsverbeteringen van Microsoft.
Dit artikel bevat een beslissingsstructuur om u te helpen belangrijke beslissingen te nemen over het ontwerpen van uw Microsoft Sentinel-werkruimtearchitectuur. Zie Microsoft Sentinel-voorbeeldwerkruimteontwerpen en best practices voor Microsoft Sentinel-werkruimtearchitectuur voor meer informatie.
Vereisten
Voordat u door de beslissingsstructuur gaat, moet u de volgende informatie hebben:
| Vereiste | Description |
|---|---|
| Wettelijke vereisten met betrekking tot Azure-gegevensstatus | Microsoft Sentinel kan worden uitgevoerd op werkruimten in de meeste, maar niet alle regio's die worden ondersteund in GA voor Log Analytics. Het kan enige tijd duren voordat nieuw ondersteunde Log Analytics-regio's de Microsoft Sentinel-service onboarden. Gegevens die worden gegenereerd door Microsoft Sentinel, zoals incidenten, bladwijzers en analyseregels, bevatten mogelijk klantgegevens die afkomstig zijn uit de Log Analytics-werkruimten van de klant. Zie Geografische beschikbaarheid en gegevensstatus voor meer informatie. |
| Gegevensbronnen | Ontdek welke gegevensbronnen u nodig hebt om verbinding te maken, inclusief ingebouwde connectors voor zowel Microsoft- als niet-Microsoft-oplossingen. U kunt ook Common Event Format (CEF), Syslog of REST-API gebruiken om uw gegevensbronnen te verbinden met Microsoft Sentinel. Als u azure-VM's hebt op meerdere Azure-locaties waar u de logboeken van moet verzamelen en het besparen op de kosten voor het uitvoeren van gegevens belangrijk voor u is, moet u de kosten voor het uitvoeren van gegevens berekenen met behulp van de prijscalculator voor bandbreedte voor elke Azure-locatie. |
| Gebruikersrollen en gegevenstoegangsniveaus/-machtigingen | Microsoft Sentinel maakt gebruik van op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) om ingebouwde rollen te bieden die kunnen worden toegewezen aan gebruikers, groepen en services in Azure. Alle ingebouwde Rollen van Microsoft Sentinel verlenen leestoegang tot de gegevens in uw Microsoft Sentinel-werkruimte. Daarom moet u na gaan of de toegang tot gegevens per gegevensbron of rijniveau moet worden bepaald, omdat dit van invloed is op de ontwerpbeslissing van de werkruimte. Zie Aangepaste rollen en geavanceerde Azure RBAC voor meer informatie. |
| Dagelijkse opnamesnelheid | Het dagelijkse opnamepercentage, meestal in GB/dag, is een van de belangrijkste factoren voor kostenbeheer en planningsoverwegingen en het ontwerp van werkruimten voor Microsoft Sentinel. In de meeste cloud- en hybride omgevingen produceren netwerkapparaten, zoals firewalls of Windows- en Linux-servers, de meest opgenomen gegevens. Voor de meest nauwkeurige resultaten raadt Microsoft een uitgebreide inventarisatie van gegevensbronnen aan. De Kostencalculator van Microsoft Sentinel bevat ook tabellen die handig zijn om footprints van gegevensbronnen te schatten. Belangrijk: deze schattingen zijn een beginpunt en de instellingen en werkbelasting van logboekverkenningen produceren afwijkingen. U wordt aangeraden uw systeem regelmatig te controleren om eventuele wijzigingen bij te houden. Regelmatige bewaking wordt aanbevolen op basis van uw scenario. Zie Gebruik en kosten beheren met de logboeken Azure Monitor meer informatie. |
Beslissingsstructuur
In de volgende afbeelding ziet u een stroomdiagram met een volledige beslissingsstructuur om inzicht te krijgen in hoe u uw werkruimte het beste kunt ontwerpen.
De volgende secties bieden een volledige tekstversie van deze beslissingsstructuur, met inbegrip van de volgende opmerkingen waarnaar wordt verwezen vanuit de afbeelding:
Opmerking 1 | Opmerking 2 | Opmerking 3 | Opmerking 4 | Opmerking 5 | Opmerking 6 | Opmerking 7 | Opmerking 8 | Opmerking 9 | Opmerking 10
Stap 1: Nieuwe of bestaande werkruimte?
Hebt u een bestaande werkruimte die u voor Microsoft Sentinel kunt gebruiken?
Als dat niet het geval is en u in elk geval een nieuwe werkruimte maakt, gaat u rechtstreeks verder met stap 2.
Als u een bestaande werkruimte hebt die u kunt gebruiken, kunt u overwegen hoeveel gegevens u wilt opnemen.
Als u meer dan 100 GB per dag gaat opnemen, raden we u aan een afzonderlijke werkruimte te gebruiken om de kosten te optimaliseren.
Als u minder dan 100 GB per dag gaat opnemen, gaat u verder met stap 2 voor verdere evaluatie. Houd deze vraag opnieuw in overweging wanneer deze zich in stap 5 voordoet.
Stap 2: Gegevens bewaren in verschillende Azure-geografieën?
Als u wettelijke vereisten hebt om gegevens in verschillende Azure-geografieën te houden, gebruikt u een afzonderlijke Microsoft Sentinel-werkruimte voor elke Azure-regio met nalevingsvereisten. Zie Regiooverwegingen voor meer informatie.
Als u geen gegevens in verschillende Azure-geografieën hoeft te bewaren, gaat u verder met stap 3.
Stap 3: Hebt u meerdere Azure-tenants?
Als u slechts één tenant hebt, gaat u rechtstreeks verder met stap 4.
Als u meerdere Azure-tenants hebt, kunt u overwegen of u logboeken verzamelt die specifiek zijn voor een tenantgrens, zoals Office 365 of Microsoft 365 Defender.
Als u geen tenantspecifieke logboeken hebt, gaat u rechtstreeks verder met stap 4.
Als u tenantspecifieke logboeken verzamelt, gebruikt u een afzonderlijke Microsoft Sentinel-werkruimte voor elke Azure AD-tenant. Ga verder met stap 4 voor andere overwegingen.
Beslissingsstructuur opmerking 1:logboeken die specifiek zijn voor tenantgrenzen, zoals van Office 365 en Microsoft Defender for Cloud, kunnen alleen worden opgeslagen in de werkruimte binnen dezelfde tenant.
Hoewel het mogelijk is om aangepaste collectoren te gebruiken om tenantspecifieke logboeken te verzamelen van een werkruimte in een andere tenant, raden we dit niet aan vanwege de volgende nadelen:
- Gegevens die door aangepaste connectors worden verzameld, worden opgenomen in aangepaste tabellen. Daarom kunt u niet alle ingebouwde regels en werkmappen gebruiken.
- Aangepaste tabellen worden niet in aanmerking genomen door een aantal van de ingebouwde functies, zoals UEBA en machine learning regels.
- Extra kosten en inspanningen die nodig zijn voor de aangepaste connectors, zoals het gebruik van Azure Functions en Logic Apps.
Als deze nadelen geen probleem zijn voor uw organisatie, gaat u verder met stap 4 in plaats van afzonderlijke Microsoft Sentinel-werkruimten te gebruiken.
Stap 4: Facturering/terugkosten splitsen?
Als u uw facturering of terugboeking wilt opsplitsen, kunt u overwegen of de gebruiksrapportage of handmatige kruiskosten voor u werken.
Als u uw facturering of terugrekening niet hoeft te splitsen, gaat u verder met stap 5.
Als u uw facturering of terugboeking moet opsplitsen, kunt u overwegen of gebruiksrapportage of handmatige kruiskosten voor u werken.
Als gebruiksrapportages of handmatige kosten voor u werken, gaat u verder met stap 5.
Als geen van beide gebruiksrapportages of handmatige kruiskosten voor u werkt, gebruikt u een afzonderlijke Microsoft Sentinel-werkruimte voor elke kosteneigenaar.
Beslissingsstructuur opmerking #2:zie Microsoft Sentinel-kosten en facturering voor meer informatie.
Stap 5: Alle niet-SOC-gegevens verzamelen?
Als u geen niet-SOC-gegevens verzamelt, zoals operationele gegevens, kunt u direct naar stap 6 gaan.
Als u niet-SOC-gegevens verzamelt, moet u overwegen of er overlappingen zijn, waarbij dezelfde gegevensbron vereist is voor zowel SOC- als niet-SOC-gegevens.
Als er wel overlappingen zijn tussen SOC- en niet-SOC-gegevens, behandelt u de overlappende gegevens alleen als SOC-gegevens. Overweeg vervolgens of de opname voor soc- en niet-SOC-gegevens afzonderlijk minder is dan 100 GB/dag, maar meer dan 100 GB/dag in combinatie:
- Ja: ga verder met stap 6 voor verdere evaluatie.
- Nee: we raden u niet aan om dezelfde werkruimte te gebruiken omwille van de kostenefficiëntie. Ga verder met stap 6 voor verdere evaluatie.
In beide gevallen , zie opmerking 10 voor meer informatie.
**** Als u geen overlappende gegevens hebt, moet u overwegen of de opname voor zowel SOC- als niet-SOC-gegevens afzonderlijk minder is dan 100 GB per dag, maar meer dan 100 GB/dag in combinatie:
- Ja: ga verder met stap 6 voor verdere evaluatie. Zie opmerking 3 voor meer informatie.
- Nee: we raden u niet aan om dezelfde werkruimte te gebruiken omwille van de kostenefficiëntie. Ga verder met stap 6 voor verdere evaluatie.
Uw SOC en niet-SOC-gegevens combineren
Opmerking bij beslissingsstructuur #3:Hoewel we klanten over het algemeen adviseren om een afzonderlijke werkruimte te bewaren voor hun niet-SOC-gegevens, zodat niet-SOC-gegevens niet onderhevig zijn aan Microsoft Sentinel-kosten, kunnen er situaties zijn waarin het combineren van SOC- en niet-SOC-gegevens minder duur is dan het scheiden ervan.
Denk bijvoorbeeld aan een organisatie met beveiligingslogboeken die worden opgenomen op 50 GB/dag, operationele logboeken die worden opgenomen op 50 GB/dag en een werkruimte in de regio VS - oost.
In de volgende tabel worden werkruimteopties met en zonder afzonderlijke werkruimten vergeleken.
Notitie
Kosten en termen die in de volgende tabel worden vermeld, zijn niet waar en worden alleen gebruikt voor illustratieve doeleinden. Zie de Microsoft Sentinel-prijscalculator voor actuele kosteninformatie.
| Werkruimtearchitectuur | Description |
|---|---|
| Het SOC-team heeft een eigen werkruimte, met Microsoft Sentinel ingeschakeld. Het Ops-team heeft een eigen werkruimte, zonder dat Microsoft Sentinel is ingeschakeld. |
SOC-team: De kosten voor Microsoft Sentinel voor 50 GB per dag zijn $ 6500 per maand. De eerste drie maanden van retentie zijn gratis. Ops-team: - De kosten van Log Analytics voor 50 GB per dag zijn ongeveer $ 3500 per maand. - De eerste 31 dagen van de retentieperiode zijn gratis. De totale kosten voor beide zijn gelijk aan $ 10.000 per maand. |
| Zowel SOC- als Ops-teams delen dezelfde werkruimte met Microsoft Sentinel ingeschakeld. | Door beide logboeken te combineren, is de opname 100 GB per dag, wat in aanmerking komt voor toezeggingslaag (50% voor Sentinel en 15% voor LA). De kosten van Microsoft Sentinel voor 100 GB/dag zijn gelijk aan $ 9.000 per maand. |
In dit voorbeeld zou u een kostenbesparing van $ 1.000 per maand hebben door beide werkruimten te combineren. Het Ops-team profiteert ook van 3 maanden gratis retentie in plaats van slechts 31 dagen.
Dit voorbeeld is alleen relevant wanneer zowel SOC- als niet-SOC-gegevens elk een opnamegrootte hebben van >=50 GB/dag en <100 GB/dag.
Beslissingsstructuur opmerking #10:We raden u aan een afzonderlijke werkruimte te gebruiken voor niet-SOC-gegevens, zodat niet-SOC-gegevens niet onderhevig zijn aan de kosten van Microsoft Sentinel.
Deze aanbeveling voor afzonderlijke werkruimten voor niet-SOC-gegevens is echter afkomstig uit een puur op kosten gebaseerd perspectief en er zijn andere belangrijke ontwerpfactoren die moeten worden onderzocht bij het bepalen of u één of meerdere werkruimten wilt gebruiken. Om dubbele opnamekosten te voorkomen, kunt u overwegen overlappende gegevens alleen te verzamelen in één werkruimte met Azure RBAC op tabelniveau.
Stap 6: Meerdere regio's?
Als u alleen logboeken verzamelt van Azure-VM's in één regio , gaat u rechtstreeks verder met stap 7.
Als u logboeken verzamelt van Azure-VM's in meerdere regio's, maakt u zich zorgen over de kosten voor gegevens die uit de gegevens afkomstig zijn?
Opmerking bij beslissingsstructuur #4:Gegevens die uit de gegevens worden genomen, verwijzen naar de bandbreedtekosten voor het verplaatsen van gegevens uit Azure-datacenters. Zie Regiooverwegingen voor meer informatie.
Als het verminderen van de hoeveelheid inspanning die nodig is om afzonderlijke werkruimten te onderhouden een prioriteit is, gaat u verder met stap 7.
Als de kosten voor gegevensuitwijsing voldoende van belang zijn om het onderhouden van afzonderlijke werkruimten de moeite waard te maken, gebruikt u een afzonderlijke Microsoft Sentinel-werkruimte voor elke regio waar u de kosten voor gegevensuitwijsing wilt verlagen.
Beslissingsstructuur opmerking #5:We raden u aan zo weinig mogelijk werkruimten te hebben. Gebruik de Azure-prijscalculator om een schatting te maken van de kosten en om te bepalen welke regio's u daadwerkelijk nodig hebt, en combineer werkruimten voor regio's met lage kosten voorgressen. Bandbreedtekosten kunnen slechts een klein deel van uw Azure-factuur uitmaken in vergelijking met afzonderlijke opnamekosten van Microsoft Sentinel en Log Analytics.
Uw kosten kunnen bijvoorbeeld als volgt worden geschat:
- 1000 VM's, die elk 1 GB/dag genereren;
- Gegevens verzenden van een regio in de VS naar een EU-regio;
- Een 2:1-compressiesnelheid gebruiken in de agent
De berekening voor deze geschatte kosten zou zijn:
1000 VMs * (1GB/day ÷ 2) * 30 days/month * $0.05/GB = $750/month bandwidth costDeze voorbeeldkosten zouden veel goedkoper zijn in vergelijking met de maandelijkse kosten van een afzonderlijke Microsoft Sentinel- en Log Analytics-werkruimte.
Notitie
Vermelde kosten zijn valse en worden alleen gebruikt voor illustratieve doeleinden. Zie de Microsoft Sentinel-prijscalculator voor actuele kosteninformatie.
Stap 7: Gegevens scheiden of grenzen definiëren op eigendom?
Als u geen gegevens hoeft te scheiden of eigendomsgrenzen hoeft te definiëren, gaat u rechtstreeks door met stap 8.
Als u gegevens wilt scheiden of grenzen wilt definiëren op basis van eigendom, moet elke gegevenseigenaar dan de Microsoft Sentinel-portal gebruiken?
Als elke gegevenseigenaar toegang moet hebben tot de Microsoft Sentinel-portal, gebruikt u een afzonderlijke Microsoft Sentinel-werkruimte voor elke eigenaar.
Beslissingsstructuur opmerking #6:Voor toegang tot de Microsoft Sentinel-portal moet elke gebruiker een rol hebben van ten minste een Microsoft Sentinel-lezer,met lezersmachtigingen voor alle tabellen in de werkruimte. Als een gebruiker geen toegang heeft tot alle tabellen in de werkruimte, moet deze Log Analytics gebruiken om toegang te krijgen tot de logboeken in zoekquery's.
Als toegang tot de logboeken via Log Analytics voldoende is voor eigenaren zonder toegang tot de Microsoft Sentinel-portal, gaat u verder met stap 8.
Zie Machtigingen in Microsoft Sentinel voor meer informatie.
Stap 8: Gegevenstoegang beheren per gegevensbron/tabel?
Als u de toegang tot gegevens niet per bron of tabel hoeft te beheren, gebruikt u één Microsoft Sentinel-werkruimte.
Als u de toegang tot gegevens per bron of tabel wilt bepalen, kunt u in de volgende situaties overwegen om resourcecontext RBAC te gebruiken:
Als u de toegang op rijniveau wilt bepalen, zoals het verstrekken van meerdere eigenaren voor elke gegevensbron of tabel
Als u meerdere, aangepaste gegevensbronnen/tabellen hebt, waarbij elke bron afzonderlijke machtigingen nodig heeft
In andere gevallen kunt u, wanneer u de toegang op rijniveau niet hoeft te beheren, meerdere, aangepaste gegevensbronnen/tabellen met afzonderlijke machtigingen bieden, één Microsoft Sentinel-werkruimte gebruiken, met RBAC op tabelniveau voor gegevenstoegangsbeheer.
Overwegingen voor resourcecontext of RBAC op tabelniveau
Houd rekening met het volgende wanneer u van plan bent om RBAC op resource- of tabelniveau te gebruiken:
Beslissingsstructuur opmerking #7:als u RBAC voor resourcecontext wilt configureren voor niet-Azure-resources, kunt u een resource-id koppelen aan de gegevens bij het verzenden naar Microsoft Sentinel, zodat de machtiging kan worden beperkt met behulp van resourcecontext RBAC. Zie RBAC voor resourcecontext expliciet configureren en Toegangsmodi per implementatie voor meer informatie.
Beslissingsstructuur opmerking #8: Met resourcemachtigingen of resourcecontext kunnen gebruikers logboeken alleen weergeven voor resources waar ze toegang toe hebben. De toegangsmodus voor de werkruimte moet zijn ingesteld op Gebruikersresource of werkruimtemachtigingen. Alleen tabellen die relevant zijn voor de resources waar de gebruiker machtigingen voor heeft, worden opgenomen in de zoekresultaten van de pagina Logboeken in Microsoft Sentinel.
Beslissingsstructuur opmerking #9:met RBAC op tabelniveau kunt u naast de andere machtigingen ook gedetailleerdere controle definiëren voor gegevens in een Log Analytics-werkruimte. Met dit besturingselement kunt u specifieke gegevenstypen definiëren die alleen toegankelijk zijn voor een specifieke set gebruikers. Zie RBAC op tabelniveau in Microsoft Sentinel voor meer informatie.
Volgende stappen
Zie Microsoft Sentinel-voorbeeldwerkruimteontwerpen voor voorbeelden van deze beslissingsstructuur in de praktijk.
Zie voor meer informatie: