Microsoft Sentinel çalışma alanı mimarisi en iyi yöntemleri

Microsoft Sentinel çalışma alanı dağıtımınızı planlarken Log Analytics çalışma alanı mimarinizi de tasarlamanız gerekir. Çalışma alanı mimarisiyle ilgili kararlar genellikle iş ve teknik gereksinimlere göre oluşturulur. Bu makalede, aşağıdakiler de dahil olmak üzere kuruluşunuz için doğru çalışma alanı mimarisini belirlemenize yardımcı olacak önemli karar faktörleri incelenmektedir:

• Tek bir kiracı mı yoksa birden çok kiracı mı kullanacağınız
• Veri toplama ve depolama için sahip olduğunuz tüm uyumluluk gereksinimleri
• Microsoft Sentinel verilerine erişimi denetleme
• Farklı senaryolar için maliyet etkileri

Daha fazla bilgi için bkz . Microsoft Sentinel çalışma alanı mimarinizi tasarlama ve Yaygın senaryolar için örnek çalışma alanı tasarımları ve Microsoft Sentinel'i dağıtmak için dağıtım öncesi etkinlikler ve önkoşullar.

Videomuza bakın: Başarı için SecOps Mimarisi Oluşturma: Microsoft Sentinel Dağıtımı için En İyi Yöntemler.

Bu makale, Microsoft Sentinel dağıtım kılavuzunun bir parçasıdır.

Kiracıyla ilgili dikkat edilmesi gerekenler

Daha az çalışma alanı daha kolay yönetilebilir ancak birden çok kiracı ve çalışma alanı için belirli gereksinimleriniz olabilir. Örneğin, birçok kuruluşun birden çok Microsoft Entra kiracısı içeren bir bulut ortamı vardır. Bu ortam, birleşme ve alımlardan veya kimlik ayrımı gereksinimlerinden kaynaklanır.

Kaç kiracı ve çalışma alanı kullanılacağını belirlerken, Microsoft Sentinel özelliklerinin çoğunun tek bir çalışma alanı veya Microsoft Sentinel örneği kullanılarak çalıştığını ve Microsoft Sentinel'in çalışma alanında yer alan tüm günlükleri aldığına dikkat edin.

Maliyetler, Microsoft Sentinel mimarisini belirlerken dikkat edilmesi gereken ana noktalardan biridir. Daha fazla bilgi için bkz . Microsoft Sentinel maliyetleri ve faturalaması.

Birden çok kiracıyla çalışma

Yönetilen bir güvenlik hizmeti sağlayıcısı (MSSP) gibi birden çok kiracınız varsa, her Microsoft Entra kiracısı için yalnızca kendi Microsoft Entra kiracısında çalışan yerleşik hizmet-hizmet veri bağlayıcılarını desteklemek üzere en az bir çalışma alanı oluşturmanızı öneririz.

Tanılama ayarlarına dayalı tüm bağlayıcılar, kaynağın bulunduğu kiracıda olmayan bir çalışma alanına bağlanamaz. Bu, Azure Güvenlik Duvarı, Azure Depolama, Azure Etkinliği veya Microsoft Entra Id gibi bağlayıcılar için geçerlidir.

Azure Lighthouse'u kullanarak farklı kiracılardaki birden çok Microsoft Sentinel örneğini yönetmeye yardımcı olun.

Dekont

İş ortağı veri bağlayıcıları genellikle API veya aracı koleksiyonlarını temel alır ve bu nedenle belirli bir Microsoft Entra kiracısına bağlı değildir.

Uyumluluk değerlendirmesi

Verileriniz toplandıktan, depolandıktan ve işlendikten sonra uyumluluk, Microsoft Sentinel mimarinizi önemli ölçüde etkileyip önemli bir tasarım gereksinimi haline gelebilir. Tüm koşullar altında kimlerin hangi verilere erişebildiğini doğrulayıp kanıtlayabilme becerisine sahip olmak, birçok ülkede ve bölgede kritik bir veri hakimiyeti gereksinimidir ve riskleri değerlendirmek ve Microsoft Sentinel iş akışlarında içgörü elde etmek birçok müşteri için bir önceliktir.

Microsoft Sentinel'de veriler, Microsoft'un Machine learning'inden yararlanan algılama kurallarının kullanılması gibi bazı özel durumlar dışında çoğunlukla aynı coğrafyada veya bölgede depolanır ve işlenir. Böyle durumlarda veriler işlenmek üzere çalışma alanınızın dışına kopyalanabilir.

Daha fazla bilgi için bkz.

• Coğrafi kullanılabilirlik ve veri yerleşimi
• Azure'da veri yerleşimi
• AB verilerini AB'de depolama ve işleme - AB politikası blogu

Uyumluluğunuzu doğrulamaya başlamak için veri kaynaklarınızı ve bunların verileri nasıl ve nereye gönderdiğini değerlendirin.

Dekont

Log Analytics aracısı, aracı ile Log Analytics hizmeti arasında aktarım sırasında veri güvenliğinin yanı sıra FIPS 140 standardını sağlamak için TLS 1.2'yi destekler.

Gönderen kaynağın Azure'da bulunup bulunmadığından bağımsız olarak Microsoft Sentinel çalışma alanınızdan farklı bir coğrafyaya veya bölgeye veri gönderiyorsanız, aynı coğrafyada veya bölgede bir çalışma alanı kullanmayı göz önünde bulundurun.

Bölgeyle ilgili dikkat edilmesi gerekenler

Her bölge için ayrı Microsoft Sentinel örnekleri kullanın. Microsoft Sentinel birden çok bölgede kullanılabilse de, verileri ekip, bölge veya siteye göre ayırma gereksinimleriniz ya da çok bölgeli modelleri imkansız veya gerekenden daha karmaşık hale getiren düzenlemeler ve denetimler olabilir. Her bölge için ayrı örneklerin ve çalışma alanlarının kullanılması, verileri bölgeler arasında taşımaya yönelik bant genişliği/çıkış maliyetlerini önlemeye yardımcı olur.

Birden çok bölgeyle çalışırken aşağıdakileri göz önünde bulundurun:

• Çıkış maliyetleri genellikle Log Analytics veya Azure İzleyici aracısının sanal makinelerde olduğu gibi günlükleri toplaması gerektiğinde geçerlidir.

• İnternet çıkışı da ücretlendirilir. Bu ücret, Log Analytics çalışma alanınızın dışına veri aktarmadığınız sürece sizi etkilemeyebilir. Örneğin, Log Analytics verilerinizi şirket içi bir sunucuya aktarırsanız İnternet çıkış ücretlerine tabi olabilirsiniz.

• Bant genişliği maliyetleri, kaynak ve hedef bölgeye ve toplama yöntemine bağlı olarak değişir. Daha fazla bilgi için bkz.

  • Bant genişliği fiyatlandırması
  • Log Analytics kullanarak veri aktarımı ücretleri.

• Dağıtımlarınızı daha verimli hale getirmek için analiz kurallarınız, özel sorgularınız, çalışma kitaplarınız ve diğer kaynaklarınız için şablonları kullanın. Her bölgedeki her kaynağı el ile dağıtmak yerine şablonları dağıtın.

• Tanılama ayarlarını temel alan Bağlan örler bant genişliği içi maliyetlere neden olmaz. Daha fazla bilgi için bkz . Log Analytics kullanarak veri aktarımı ücretleri.

Örneğin, Doğu ABD'deki Sanal Makineler günlükleri toplamaya ve bunları Batı ABD'deki bir Microsoft Sentinel çalışma alanına göndermeye karar verirseniz veri aktarımı için giriş maliyetleri ücretlendirilirsiniz. Log Analytics aracısı aktarımdaki verileri sıkıştırdığından, bant genişliği için ücretlendirilen boyut Microsoft Sentinel'deki günlüklerin boyutundan daha düşük olabilir.

Dünyanın dört bir yanındaki birden çok kaynaktan Syslog ve CEF günlükleri topluyorsanız, uyumluluk sorun oluşturmaması koşuluyla bant genişliği maliyetlerinden kaçınmak için Microsoft Sentinel çalışma alanınızla aynı bölgede bir Syslog toplayıcısı ayarlamak isteyebilirsiniz.

Bant genişliği maliyetlerinin ayrı Microsoft Sentinel çalışma alanlarını gerekçelendirip gerekçelendirmediğini anlamak, bölgeler arasında aktarmanız gereken veri hacmine bağlıdır. Maliyetlerinizi tahmin etmek için Azure Fiyatlandırma Hesaplayıcısı'nı kullanın.

Daha fazla bilgi için bkz . Azure'da veri yerleşimi.

Erişimle ilgili dikkat edilmesi gerekenler

Farklı ekiplerin aynı verilere erişmesi gereken durumlar planlanıyor olabilir. Örneğin, SOC ekibinizin tüm Microsoft Sentinel verilerine erişmesi gerekirken operasyon ve uygulama ekiplerinin yalnızca belirli bölümlere erişmesi gerekir. Bağımsız güvenlik ekiplerinin Microsoft Sentinel özelliklerine de erişmesi gerekebilir, ancak farklı veri kümeleriyle.

Ekiplerinize çoğu kullanım örneğini desteklemesi gereken çok çeşitli erişim seçenekleri sağlamak için kaynak bağlamı RBAC ve tablo düzeyinde RBAC'yi birleştirin.

Daha fazla bilgi için bkz . Microsoft Sentinel'de izinler.

Kaynak bağlamı RBAC

Aşağıdaki görüntüde, güvenlik ve operasyon ekiplerinin farklı veri kümelerine erişmesi gereken ve gerekli izinleri sağlamak için kaynak bağlamı RBAC'sinin kullanıldığı basitleştirilmiş bir çalışma alanı mimarisi sürümü gösterilmektedir.

Bu görüntüde Microsoft Sentinel çalışma alanı, izinleri daha iyi yalıtmak için ayrı bir aboneliğe yerleştirilir.

Dekont

Bir diğer seçenek de Microsoft Sentinel'i, yalnızca en az izin atamalarının devralınmasını sağlayacak, güvenliğe ayrılmış ayrı bir yönetim grubuna yerleştirmektir. Güvenlik ekibinde, birkaç gruba işlevlerine göre izinler atanır. Bu ekiplerin çalışma alanının tamamına erişimi olduğundan, yalnızca atandıkları Microsoft Sentinel rolleri tarafından kısıtlanan tam Microsoft Sentinel deneyimine erişebilirler. Daha fazla bilgi için bkz . Microsoft Sentinel'de izinler.

Güvenlik aboneliğine ek olarak, uygulama ekiplerinin iş yüklerini barındırması için ayrı bir abonelik kullanılır. Uygulama ekiplerine, kaynaklarını yönetebilecekleri ilgili kaynak gruplarına erişim verilir. Bu ayrı abonelik ve kaynak bağlamı RBAC, günlükler doğrudan erişimi olmayan bir çalışma alanında depolansa bile, bu ekiplerin erişimi olan tüm kaynaklar tarafından oluşturulan günlükleri görüntülemesine olanak tanır. Uygulama ekipleri günlüklerine Azure portalının Günlükler alanı üzerinden erişebilir, belirli bir kaynağın günlüklerini veya Azure İzleyici aracılığıyla aynı anda erişebilecekleri tüm günlükleri gösterebilir.

Azure kaynakları, kaynak bağlamı RBAC için yerleşik desteğe sahiptir, ancak Azure dışı kaynaklarla çalışırken ek ince ayarlama gerektirebilir. Daha fazla bilgi için bkz . Kaynak bağlamı RBAC'sini açıkça yapılandırma.

Tablo düzeyinde RBAC

Tablo düzeyinde RBAC, yalnızca belirli bir kullanıcı kümesi için erişilebilir olacak belirli veri türlerini (tabloları) tanımlamanızı sağlar.

Örneğin, mimarisi yukarıdaki görüntüde açıklanan kuruluşun bir iç denetim ekibine Office 365 günlüklerine de erişim izni vermesi gerekip gerekmediğini düşünün. Bu durumda, başka bir tabloya izin vermeden denetim ekibine OfficeActivity tablosunun tamamına erişim vermek için tablo düzeyinde RBAC kullanabilirler.

Birden çok çalışma alanıyla ilgili erişimle ilgili dikkat edilmesi gerekenler

Kuruluşunuzda farklı varlıklar, yan kuruluşlar veya coğrafyalar varsa, her biri Microsoft Sentinel'e erişmesi gereken kendi güvenlik ekiplerine sahipse, her varlık veya yan kuruluş için ayrı çalışma alanları kullanın. Azure Lighthouse kullanarak tek bir Microsoft Entra kiracısı içinde veya birden çok kiracıda ayrı çalışma alanlarını uygulayın.

Merkezi SOC ekibiniz analiz kuralları veya çalışma kitapları gibi merkezi yapıtları yönetmek için isteğe bağlı ek bir Microsoft Sentinel çalışma alanı da kullanabilir.

Daha fazla bilgi için bkz . Birden çok çalışma alanıyla çalışmayı basitleştirme.

Çalışma alanınızı oluşturmak için teknik en iyi yöntemler

Microsoft Sentinel için kullanacağınız Log Analytics çalışma alanını oluştururken aşağıdaki en iyi yöntem kılavuzunu kullanın:

• Çalışma alanınızı adlandırırken, diğer çalışma alanlarınız arasında kolayca tanımlanabilmesi için microsoft sentinel veya başka bir gösterge ekleyin.

• Hem Microsoft Sentinel hem de Bulut için Microsoft Defender için aynı çalışma alanını kullanın; böylece Bulut için Microsoft Defender tarafından toplanan tüm günlükler Microsoft Sentinel tarafından da alınıp kullanılabilir. Bulut için Microsoft Defender tarafından oluşturulan varsayılan çalışma alanı, Microsoft Sentinel için kullanılabilir bir çalışma alanı olarak görünmez.

• Tahmini veri alımınız günde yaklaşık 1 TB veya daha fazlaysa ayrılmış bir çalışma alanı kümesi kullanın. Ayrılmış küme, Microsoft Sentinel verileriniz için kaynakların güvenliğini sağlamanızı sağlar ve bu da büyük veri kümeleri için daha iyi sorgu performansı sağlar. Ayrılmış kümeler, kuruluşunuzun anahtarlarının daha fazla şifreleme ve denetimi için de seçenek sağlar.

Microsoft Sentinel için kullanacağınız Log Analytics çalışma alanına kaynak kilidi uygulamayın. Çalışma alanında bir kaynak kilidi birçok Microsoft Sentinel işlemi başarısız olabilir.

Birden çok çalışma alanıyla çalışmayı basitleştirme

Birden çok çalışma alanıyla çalışmanız gerekiyorsa, her Microsoft Sentinel örneğindeki tüm olayları tek bir konumda daraltıp listeleyerek olay yönetiminizi ve araştırmanızı basitleştirin.

Çalışma alanları arası çalışma kitapları gibi diğer Microsoft Sentinel çalışma alanlarında tutulan verilere başvurmak için çalışma alanları arası sorgular kullanın.

Çalışma alanları arası sorguları kullanmak için en iyi zaman, değerli bilgilerin farklı bir çalışma alanında, abonelikte veya kiracıda depolandığı ve geçerli eyleminize değer sağlayabildiği zamandır. Örneğin, aşağıdaki kod örnek bir çalışma alanları arası sorguyu gösterir:

union Update, workspace("contosoretail-it").Update, workspace("WORKSPACE ID").Update
| where TimeGenerated >= ago(1h)
| where UpdateState == "Needed"
| summarize dcount(Computer) by Classification

Daha fazla bilgi için bkz . Microsoft Sentinel'i çalışma alanları ve kiracılar arasında genişletme.

Sonraki adımlar

Bu makalede, kuruluşlarınız için doğru çalışma alanı mimarisini belirlemenize yardımcı olacak önemli karar faktörleri hakkında bilgi edindiyseniz.

Microsoft Sentinel çalışma alanı mimarinizi tasarlama