Microsoft Sentinel çalışma alanı mimarisi en iyi uygulamaları
Not
Azure Sentinel artık Microsoft Sentinel olarak anılmıştır ve önümüzdeki haftalarda bu sayfaları güncelleştiriyor olacağız. En son Microsoft güvenlik geliştirmeleri hakkında daha fazla bilgi.
Microsoft Sentinel çalışma alanı dağıtımınızı planlarken Log Analytics çalışma alanı mimarinizi de tasarlamanız gerekir. Çalışma alanı mimarisi hakkında kararlar genellikle iş ve teknik gereksinimlere göre yapılır. Bu makalede aşağıdakiler de dahil olmak üzere kurumlarınızın doğru çalışma alanı mimarisini belirlemenize yardımcı olacak temel karar faktörleri incelenir:
- Tek bir kiracı veya birden çok kiracı kullanıp kullanmayacağınızı
- Veri toplama ve depolama için sahip olduğunuz tüm uyumluluk gereksinimleri
- Microsoft Sentinel verilerine erişimi denetleme
- Farklı senaryolar için maliyet etkileri
Daha fazla bilgi için bkz. Microsoft Sentinel çalışma alanı mimarinizi tasarlama ve genel senaryolar için örnek çalışma alanı tasarımlarınız , Microsoft Sentinel dağıtımı için dağıtım öncesi etkinlikler ve Önkoşullar.
Videolarımıza bakın: başarılı olup olmadığını gösteren mimari: Microsoft Sentinel dağıtımı Için En Iyi Yöntemler
Kiralılık konuları
Daha az çalışma alanı yönetilmesi daha basit olsa da, birden fazla kiracı ve çalışma alanı için özel gereksinimleriniz olabilir. örneğin, birçok kuruluşun birden çok Azure Active Directory (Azure AD) kiracılarıiçeren bulut ortamları vardır. bu, birleşmeler ve alımlar nedeniyle ya da kimlik ayrımı gereksinimlerine göre yapılır.
Kaç kiracının ve çalışma alanının kullanılacağını belirlerken, Microsoft Sentinel özelliklerinin çoğunu tek bir çalışma alanı veya Microsoft Sentinel örneği kullanarak işletiğini ve Microsoft 'un çalışma alanı içinde tüm günlükleri Barındırmadığını kabul etmeyi düşünün.
Önemli
Ücretler, Microsoft Sentinel mimarisini belirlerken başlıca önemli noktalara biridir. Daha fazla bilgi için bkz. Microsoft Sentinel maliyetler ve faturalandırma.
Birden çok kiracıyla çalışma
Yönetilen bir güvenlik hizmeti sağlayıcısıysanız (MSSP) gibi birden çok kiracıya sahipseniz, yalnızca kendi Azure AD kiracısında çalışan yerleşik, hizmet ve hizmet veri bağlayıcılarını desteklemek için her BIR Azure AD kiracısı için en az bir çalışma alanı oluşturmanızı öneririz.
Tanılama ayarlarını temel alan tüm bağlayıcılar, kaynağın bulunduğu kiracıda bulunmayan bir çalışma alanına bağlanamaz. bu, azure güvenlik duvarı, azure Depolama, azure etkinliği veya Azure Active Directorygibi bağlayıcılar için geçerlidir.
Farklı kiracılarda birden çok Microsoft Sentinel örneğinin yönetilmesine yardımcı olması için Azure açık thouse kullanın.
Not
Iş ortağı veri bağlayıcıları genellikle API veya aracı koleksiyonlarını temel alır ve bu nedenle belirli BIR Azure AD kiracısına eklenmez.
Uyumluluk konuları
Verileriniz toplandıktan, depolanır ve işlendikten sonra uyumluluk, Microsoft Sentinel mimariniz üzerinde önemli bir etkiye sahip önemli bir tasarım gereksinimi haline gelebilir. Tüm koşullarda hangi verilerin altında olduğunu doğrulama ve kanıtlamaya erişme imkanına sahip olmak, çok sayıda ülkede ve bölgede önemli bir veri egemenlik gereksinimi olduğunu ve riskleri değerlendirmek ve Microsoft Sentinel iş akışlarında Öngörüler elde etmek için birçok müşterinin bir önceliğidir.
Microsoft Sentinel 'de, veriler genellikle Microsoft 'un makine öğrenimini kullanan algılama kuralları kullanılırken olduğu gibi bazı özel durumlarla birlikte aynı Coğrafya veya bölgede depolanır ve işlenir. Bu gibi durumlarda, veriler işleme için çalışma alanı Coğrafya dışında kopyalanabilir.
Daha fazla bilgi için bkz.
- Coğrafi kullanılabilirlik ve veri yerleşimi
- Azure 'da veri yerleşimi
- AB-AB ilke bloguna AB verilerini depolama ve işleme
Uyumluluğunuzu doğrulamaya başlamak için veri kaynaklarınızı değerlendirin ve verilerin nasıl ve nereden gönderileceğini değerlendirin.
Not
Log Analytics Aracısı , aracı ile Log Analytics HIZMETI ve FIPS 140 standardı arasındaki geçişte veri güvenliğini sağlamak için TLS 1,2 ' i destekler.
Microsoft Sentinel çalışma alanınızdan farklı bir Coğrafya veya bölgeye veri gönderiyorsanız, gönderen kaynağın Azure 'da olup olmamasından bağımsız olarak, aynı Coğrafya veya bölgede bir çalışma alanı kullanmayı düşünün.
Bölge konuları
Her bölge için ayrı Microsoft Sentinel örnekleri kullanın. Microsoft Sentinel birden çok bölgede kullanılabilir olsa da, verileri takım, bölge veya site ya da çok bölgeli modelleri gerekenden çok daha karmaşık hale getirecek olan yönetmeliklere ve denetimlere göre ayırmak için gereken gereksinimlere sahip olabilirsiniz. Her bölge için ayrı örnekler ve çalışma alanları kullanmak, verileri bölgeler arasında taşımak için bant genişliği/çıkış maliyetlerini önlemeye yardımcı olur.
Birden çok bölgeyle çalışırken aşağıdakileri göz önünde bulundurun:
Egress maliyetler genellikle, sanal makineler gibi günlükleri toplamak için Log Analytics veya Azure izleyici aracısının gerekli olduğu durumlarda geçerlidir.
Ayrıca, Log Analytics çalışma alanınızın dışında verileri dışarı aktarmadığınız takdirde, Internet çıkışı da ücretlendirilir. Örneğin, Log Analytics verilerinizi şirket içi bir sunucuya dışa aktardığınızda Internet çıkış ücretlerine tabi olabilirsiniz.
Bant genişliği maliyetleri, kaynak ve hedef bölgeye ve koleksiyon yöntemine göre farklılık gösterir. Daha fazla bilgi için bkz.
Dağıtımlarınızın daha verimli olması için analiz kurallarınız, özel sorgular, çalışma kitapları ve diğer kaynaklarınız için şablonlar kullanın. Her bir bölgedeki her bir kaynağı el ile dağıtmak yerine şablonları dağıtın.
Tanılama ayarlarını temel alan bağlayıcılar bant genişliği maliyetlerine tabi değildir. Daha fazla bilgi için bkz. Azure Izleyici günlükleriyle kullanımı ve maliyetleri yönetme.
Örneğin, Doğu ABD ' de sanal makinelerden Günlükler toplamaya ve bunları Batı ABD bir Microsoft Sentinel çalışma alanına gönderme kararı verirseniz, veri aktarımı için ücretlendirilirsiniz. Log Analytics Aracısı yoldaki verileri sıkıştırdığından, bant genişliği için ücretlendirilen boyut, Microsoft Sentinel 'deki günlüklerin boyutundan daha düşük olabilir.
Dünyanın dört bir yanındaki birden fazla kaynaktan Syslog ve CEF günlükleri topluyorsanız, uyumluluk sorunu olmaması halinde bant genişliği maliyetlerini önlemek için Microsoft Sentinel çalışma alanınız ile aynı bölgede bir Syslog toplayıcısı ayarlamak isteyebilirsiniz.
Bant genişliği maliyetlerinin ayrı Microsoft Sentinel çalışma alanlarını, bölgeler arasında aktarılması gereken veri hacmine bağlı olup olmadığını anlama. Maliyetlerinizi tahmin etmek için Azure Fiyatlandırma hesaplayıcısı ' nı kullanın.
Daha fazla bilgi için bkz. Azure 'Da veriyerleşimi.
Erişim konuları
Farklı takımların aynı verilere erişmesi gereken durumlarda planlanmış durumlara sahip olabilirsiniz. Örneğin, SOC takımınızın tüm Microsoft Sentinel verilerine erişimi olması gerekir, ancak işlemler ve uygulamalar ekiplerin yalnızca belirli parçalara erişmesi gerekir. Bağımsız güvenlik ekiplerinin, Microsoft Sentinel özelliklerine, ancak değişen veri kümelerine erişmesi de gerekebilir.
Takımlarınıza birçok kullanım durumunu desteklemesi gereken çok çeşitli erişim seçenekleri sunmak için Resource-Context RBAC ve tablo düzeyi RBAC 'i birleştirin.
Daha fazla bilgi için bkz. Microsoft Sentinel 'Teki izinler.
Kaynak bağlamı RBAC
Aşağıdaki görüntüde, güvenlik ve operasyon ekiplerinin farklı veri kümelerine erişmesi gereken bir çalışma alanı mimarisinin basitleştirilmiş bir sürümü gösterilmektedir ve gerekli izinleri sağlamak için kaynak bağlamı RBAC kullanılır.
Bu görüntüde, Microsoft Sentinel çalışma alanı, izinleri daha iyi yalıtmak için ayrı bir aboneliğe yerleştirilir.
Not
Diğer bir seçenek de, Microsoft Sentinel 'i güvenlik için ayrılmış ayrı bir yönetim grubu altına yerleştirmek ve yalnızca minimum izin atamalarının devralınmasını sağlamak olacaktır. Güvenlik ekibinin içinde, çeşitli gruplara işlevlerine göre izinler atanır. Bu takımların tüm çalışma alanına erişimi olduğundan, yalnızca atandıkları Microsoft Sentinel rolleri tarafından kısıtlanan tam Microsoft Sentinel deneyimine erişebilir. Daha fazla bilgi için bkz. Microsoft Sentinel 'Teki izinler.
Güvenlik aboneliğine ek olarak, uygulama ekiplerinin iş yüklerini barındırması için ayrı bir abonelik kullanılır. Uygulama ekiplerine, kaynaklarını yönetebilecekleri ilgili kaynak gruplarına erişim verilir. Bu ayrı abonelik ve kaynak bağlamı RBAC, bu takımların, günlükler doğrudan erişimi olmayan bir çalışma alanında depolansa bile, erişimi olan herhangi bir kaynak tarafından oluşturulan günlükleri görüntülemesine olanak tanır. Uygulama takımları Azure portal Günlükler alanı aracılığıyla günlüklere erişebilir, belirli bir kaynağa ait günlükleri veya Azure izleyici aracılığıyla aynı anda erişebileceği tüm günlükleri gösterir.
Azure kaynaklarında Resource-Context RBAC için yerleşik destek vardır, ancak Azure dışı kaynaklarla çalışırken daha fazla ince ayar yapılması gerekebilir. Daha fazla bilgi için bkz. kaynak BAĞLAMı RBAC 'Yi açıkça yapılandırma.
Tablo düzeyinde RBAC
Tablo düzeyi RBAC, belirli veri türlerini (tablolar) yalnızca belirli bir kullanıcı kümesi için erişilebilir olacak şekilde tanımlamanızı sağlar.
örneğin, mimarinin yukarıdaki görüntüde açıklandığı kuruluşun bir iç denetim ekibine Office 365 günlüklerine erişim izni verilmesi gerektiğini göz önünde bulundurun. Bu durumda, denetim ekibine tüm Officeactivity tablosuna erişim sağlamak için tablo düzeyinde RBAC kullanabilir ve diğer tüm tablolar için izin verilemez.
Birden çok çalışma alanı ile erişim konuları
Kuruluşunuzda, her biri Microsoft Sentinel 'e erişmesi gereken kendi güvenlik ekiplerine sahip farklı varlıklar, yan kuruluşlar veya coğrafi başlıklar varsa, her bir varlık veya yan kuruluş için ayrı çalışma alanları kullanın. Tek bir Azure AD kiracısı içinde veya Azure açık Thouse kullanarak birden çok kiracı arasında ayrı çalışma alanlarını uygulayın.
Merkezi SOC ekibiniz, analiz kuralları veya çalışma kitapları gibi merkezi yapıtları yönetmek için ek, isteğe bağlı bir Microsoft Sentinel çalışma alanı da kullanabilir.
Daha fazla bilgi için bkz. birden çok çalışma alanıyla çalışmayı basitleştirme.
Çalışma alanınızı oluşturmaya yönelik teknik en iyi uygulamalar
Microsoft Sentinel için kullanacağınız Log Analytics çalışma alanını oluştururken aşağıdaki en iyi yöntem kılavuzunu kullanın:
Çalışma alanınızı adlandırırken, diğer çalışma alanlarınız arasında kolayca tanımlanabilmesi Için Microsoft Sentinel veya ada göre başka bir göstergeyi dahil edin.
Bulut için Microsoft Defender tarafından toplanan tüm günlüklerin da Microsoft Sentinel tarafından alınıp kullanılabilmesi için, bulut için Microsoft Sentinel ve Microsoft Defender için aynı çalışma alanını kullanın. Bulut için Microsoft Defender tarafından oluşturulan varsayılan çalışma alanı, Microsoft Sentinel için kullanılabilir bir çalışma alanı olarak görünmez.
Öngörülen veri alma işlemleriniz günde 1 TB 'den fazla olursa adanmış bir çalışma alanı kümesi kullanın. Adanmış bir küme , Microsoft Sentinel verilerinize yönelik kaynakları güvenli hale getirmenizi sağlar ve bu sayede büyük veri kümeleri için daha iyi sorgu performansı sağlanır. Adanmış kümeler, kuruluşunuzun anahtarlarının daha fazla şifrelenmesi ve denetlenmesi için de seçenek sağlar.
Birden çok çalışma alanıyla çalışmayı kolaylaştırma
Birden çok çalışma alanıyla çalışmanız gerekiyorsa, her bir Microsoft Sentinel örneğinden tek bir konumdaki tüm olaylarıazaltarak olay yönetiminizi ve araştırmanızı kolaylaştırın.
Çalışma alanları arası çalışma kitaplarındaolduğu gibi diğer Microsoft Sentinel çalışma alanlarında tutulan verilere başvurmak için, çalışma alanları arası sorgularıkullanın.
Çoklu çalışma alanı sorgularının kullanılması en iyi zaman, değerli bilgilerin farklı bir çalışma alanında, abonelikte veya kiracıda depolanması ve geçerli eyleminiz için değer sağlayabildiği bir işlemdir. Örneğin, aşağıdaki kod örnek bir çapraz çalışma alanı sorgusunu gösterir:
union Update, workspace("contosoretail-it").Update, workspace("WORKSPACE ID").Update
| where TimeGenerated >= ago(1h)
| where UpdateState == "Needed"
| summarize dcount(Computer) by Classification
Daha fazla bilgi için bkz. Microsoft Sentinel'i çalışma alanları ve kiracılar arasında genişletme.