Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Vigtigt!
Efter den 31. marts 2027 understøttes Microsoft Sentinel ikke længere i Azure Portal og er kun tilgængelig på Microsoft Defender-portalen. Alle kunder, der bruger Microsoft Sentinel i Azure Portal, omdirigeres til Defender-portalen og bruger kun Microsoft Sentinel på Defender-portalen.
Hvis du stadig bruger Microsoft Sentinel i Azure Portal, anbefaler vi, at du begynder at planlægge overgangen til Defender-portalen for at sikre en problemfri overgang og drage fuld fordel af den samlede oplevelse med sikkerhedshandlinger, der tilbydes af Microsoft Defender.
Som forberedelse til udrulningen skal du afgøre, om en arkitektur med flere arbejdsområder er relevant for dit miljø. I denne artikel får du mere at vide om, hvordan Microsoft Sentinel kan udvides på tværs af flere arbejdsområder og lejere, så du kan afgøre, om denne funktion passer til din organisations behov. Denne artikel er en del af installationsvejledningen til Microsoft Sentinel.
Brug en af følgende sæt konfigurationsinstruktioner, afhængigt af hvilken portal du bruger til at udvide Microsoft Sentinel på tværs af arbejdsområder:
Behovet for at bruge flere arbejdsområder
Når du onboarder Microsoft Sentinel, er dit første skridt at vælge dit Log Analytics-arbejdsområde. Selvom du kan få det fulde udbytte af Microsoft Sentinel oplevelse med et enkelt arbejdsområde, kan det i nogle tilfælde være en god idé at udvide dit arbejdsområde til at forespørge på og analysere dine data på tværs af arbejdsområder og lejere.
I denne tabel vises nogle af disse scenarier, og når det er muligt, foreslås det, hvordan du kan bruge et enkelt arbejdsområde til scenariet.
| Krav | Beskrivelse | Måder at reducere antallet af arbejdsområder på |
|---|---|---|
| Suverænitet og overholdelse af regler og standarder | Et arbejdsområde er knyttet til et bestemt område. Hvis du vil bevare data i forskellige Azure geografiske områder, så de opfylder lovmæssige krav, skal du opdele dataene i separate arbejdsområder. I Microsoft Sentinel gemmes og behandles data hovedsageligt i det samme geografiske område eller område med nogle undtagelser, f.eks. når du bruger regler for registrering, der udnytter Microsofts machine learning. I sådanne tilfælde kan data kopieres uden for arbejdsområdets geografiske område til behandling. |
|
| Dataejerskab | Grænserne for dataejerskab, f.eks. datterselskaber eller tilknyttede virksomheder, afgrænses bedre ved hjælp af separate arbejdsområder. | |
| Flere Azure lejere | Microsoft Sentinel understøtter kun dataindsamling fra Microsoft og Azure SaaS-ressourcer inden for sin egen Microsoft Entra lejergrænse. Derfor kræver hver Microsoft Entra lejer et separat arbejdsområde. | |
| Detaljeret dataadgangskontrol | En organisation skal muligvis give forskellige grupper i eller uden for organisationen adgang til nogle af de data, der indsamles af Microsoft Sentinel. Det kan f.eks. være:
|
Brug ressource Azure RBAC eller tabelniveau Azure RBAC |
| Indstillinger for detaljeret opbevaring | Historisk set var flere arbejdsområder den eneste måde at angive forskellige opbevaringsperioder for forskellige datatyper på. Dette er ikke længere nødvendigt i mange tilfælde takket være introduktionen af indstillinger for opbevaring på tabelniveau. | Brug indstillinger for opbevaring på tabelniveau , eller automatiser sletning af data |
| Opdelt fakturering | Ved at placere arbejdsområder i separate abonnementer kan de faktureres til forskellige parter. | Anvendelsesrapportering og krydsopladning |
| Ældre arkitektur | Brugen af flere arbejdsområder kan stamme fra et historisk design, der tog højde for begrænsninger eller bedste fremgangsmåder, som ikke længere er sande. Det kan også være et vilkårligt designvalg, der kan ændres, så det passer bedre til Microsoft Sentinel. Eksempler omfatter:
|
Omarkitektér arbejdsområder |
Når du bestemmer, hvor mange lejere og arbejdsområder der skal bruges, skal du overveje, at de fleste Microsoft Sentinel funktioner fungerer ved hjælp af et enkelt arbejdsområde eller en enkelt Microsoft Sentinel forekomst, og Microsoft Sentinel indtager alle logfiler, der er gemt i arbejdsområdet.
MSSP (Managed Security Service Provider)
I tilfælde af en MSSP gælder mange, hvis ikke alle ovenstående krav, hvilket gør flere arbejdsområder på tværs af lejere til bedste praksis. Vi anbefaler specifikt, at du opretter mindst ét arbejdsområde for hver Microsoft Entra lejer for at understøtte indbygget tjeneste til service af dataconnectors, der kun fungerer inden for deres egen Microsoft Entra lejer.
Forbindelser, der er baseret på diagnosticeringsindstillinger, kan ikke forbindes til et arbejdsområde, der ikke er placeret i den samme lejer, som ressourcen er placeret i. Dette gælder for forbindelser som f.eks. Azure Firewall, Azure Storage, Azure Activity eller Microsoft Entra ID.
Partnerdataconnectors er ofte baseret på API- eller agentsamlinger og er derfor ikke knyttet til en bestemt Microsoft Entra lejer.
Brug Azure Lighthouse som en hjælp til at administrere flere Microsoft Sentinel instanser i forskellige lejere.u
Microsoft Sentinel flere arbejdsområdearkitekturer
Som det fremgår af ovenstående krav, er der tilfælde, hvor en enkelt SOC skal administrere og overvåge flere Log Analytics-arbejdsområder, der er aktiveret for Microsoft Sentinel, muligvis på tværs af Microsoft Entra lejere.
- En MSSP-Microsoft Sentinel tjeneste.
- En global SOC, der betjener flere datterselskaber, og som hver især har sin egen lokale SOC.
- En SOC-overvågning af flere Microsoft Entra lejere i en organisation.
For at løse disse sager tilbyder Microsoft Sentinel funktioner i flere arbejdsområder, der muliggør central overvågning, konfiguration og administration, hvilket giver en enkelt rude af glas på tværs af alt, der er omfattet af SOC. I dette diagram vises en eksempelarkitektur for sådanne use cases.
Denne model giver betydelige fordele i forhold til en fuldt centraliseret model, hvor alle data kopieres til et enkelt arbejdsområde:
- Fleksibel rolletildeling til de globale og lokale SIC'er eller til MSSP'ens kunder.
- Færre udfordringer med hensyn til dataejerskab, beskyttelse af personlige oplysninger og lovmæssig overholdelse af angivne standarder.
- Minimal netværksventetid og gebyrer.
- Nem onboarding og offboarding af nye datterselskaber eller kunder.
Næste trin
I denne artikel har du lært, hvordan Microsoft Sentinel kan udvides på tværs af flere arbejdsområder og lejere.