Подготовка к нескольким рабочим областям и клиентам в Microsoft Sentinel
Чтобы подготовиться к развертыванию, необходимо определить, относится ли архитектура нескольких рабочих областей к вашей среде. Из этой статьи вы узнаете, как Microsoft Sentinel может расширяться между несколькими рабочими областями и клиентами, чтобы определить, соответствует ли эта возможность потребностям вашей организации. Эта статья является частью руководства по развертыванию Microsoft Sentinel.
Если вы решили настроить среду для расширения рабочих областей, ознакомьтесь с разделом "Расширение Microsoft Sentinel" между рабочими областями и клиентами и централизованное управление несколькими рабочими областями Microsoft Sentinel с помощью диспетчера рабочих областей.
Необходимость в использовании нескольких рабочих областей Microsoft Sentinel
При подключении Microsoft Sentinel прежде всего необходимо выбрать рабочую область Log Analytics. Хотя вы можете использовать все возможности Microsoft Sentinel с одной рабочей областью, в некоторых случаях может потребоваться расширить рабочую область, чтобы запрашивать и анализировать данные в нескольких рабочих областях и клиентах.
В этой таблице перечислены некоторые из этих сценариев и, когда это возможно, предполагается, как можно использовать одну рабочую область для сценария.
Требование | Description | Способы сокращения количества рабочих областей |
---|---|---|
Независимость и соответствие нормативным требованиям | Рабочая область связана с конкретным регионом. Если данные должны храниться в разных географических регионах Azure для выполнения нормативных требований, их необходимо разделить на отдельные рабочие области. | |
Владение данными | Границы владения данными, например для дочерних компаний или аффилированных организаций, удобнее устанавливать с помощью отдельных рабочих областей. | |
Несколько клиентов Azure | Microsoft Sentinel поддерживает сбор данных из ресурсов Microsoft и SaaS только в пределах собственной границы клиента Microsoft Entra. Поэтому для каждого клиента Microsoft Entra требуется отдельная рабочая область. | |
Детальное управление доступом к данным | Организации может потребоваться разрешить различным группам, в пределах или за пределами организации, доступ к некоторым данным, собранным Microsoft Sentinel. Например:
|
Используйте RBAC Azure ресурса или RBAC Azure уровня таблицы |
Детальные параметры хранения | Исторически несколько рабочих областей были единственным способом задать разные сроки хранения для разных типов данных. Благодаря вводу параметров хранения на уровне таблицы, в большинстве случаев это больше не нужно. | Используйте параметры хранения на уровне таблицы или автоматизируйте удаление данных |
Раздельное выставление счетов | При размещении рабочих областей в разных подписках счета на оплату могут выставляться разным сторонам. | Отчеты об использовании и перекрестное выставление счетов |
Устаревшая архитектура | Использование нескольких рабочих областей может происходить из исторической структуры, которая учитывала ограничения или рекомендации, которые больше не имеют значения true. Это также может быть проект с произвольной архитектурой, который можно изменить для лучшего соответствия Microsoft Sentinel. Вот некоторые примеры.
|
Перепроектирование рабочих областей |
Управляемый поставщик службы безопасности (MSSP)
Для MSSP применяются многие если не все из перечисленных выше требований, поэтому рекомендуется создать несколько рабочих областей в разных клиентах. MSSP может использовать Azure Lighthouse для расширения возможностей работы Microsoft Sentinel с несколькими рабочими областями, распределенными между клиентами.
Архитектура с несколькими рабочими областями Microsoft Sentinel
Как подразумевается в приведенных выше требованиях, существуют случаи, когда один SOC должен централизованно управлять несколькими рабочими областями Microsoft Sentinel, возможно, в клиентах Microsoft Entra.
Служба Microsoft Sentinel MSSP.
Глобальный SOC, обслуживающий несколько дочерних компаний, у каждой из которых есть свой локальный SOC.
SoC отслеживает несколько клиентов Microsoft Entra в организации.
Для таких сценариев Microsoft Sentinel предлагает использовать возможности нескольких рабочих областей, позволяющих централизованно выполнять мониторинг, настройку и управление, предоставляя единую панель управления для всей сферы ответственности SOC. Пример архитектуры для таких вариантов использования показан на следующей схеме.
Такая модель обеспечивает значительные преимущества по сравнению с полностью централизованной моделью, в которой все данные копируются в одну рабочую область:
гибкое назначение ролей глобальным и локальным SOC или MSSP соответствующими клиентами;
меньшее количество проблем, связанных с владением данными, конфиденциальностью данных и соблюдением нормативных требований;
сокращение сетевых задержек и расходов;
простота подключения и отключения новых дочерних компаний и клиентов.
В следующих разделах объясняется, как использовать эту модель и, в частности, как выполнять следующие действия:
Централизованный мониторинг нескольких рабочих областей, возможно в разных клиентах, предоставляющий SOC с единой панелью управления.
Централизованная настройка и управление несколькими рабочими областями с помощью автоматизации, возможно, в разных клиентах.
Следующие шаги
В этой статье вы узнали, как Microsoft Sentinel может расширяться между несколькими рабочими областями и клиентами.