Eksempel på design af Log Analytics-arbejdsområder til Microsoft Sentinel

I denne artikel beskrives foreslåede Log Analytics-arbejdsområdedesign for organisationer med følgende eksempelkrav:

  • Flere lejere og områder med krav til europæisk datasuverænitet
  • Enkelt lejer med flere cloudmiljøer
  • Flere lejere med flere områder og central sikkerhed

Du kan få flere oplysninger under Design en arkitektur til et Log Analytics-arbejdsområde.

Denne artikel er en del af installationsvejledningen til Microsoft Sentinel.

Eksempel 1: Flere lejere og områder

Contoso Corporation er en multinational virksomhed med hovedkvarter i London. Contoso har kontorer over hele verden med vigtige hubs i New York City og Tokyo. Contoso har for nylig migreret sin produktivitetspakke til Office 365, hvor mange arbejdsbelastninger er migreret til Azure.

Contoso-lejere

På grund af en overtagelse for flere år siden har Contoso to Microsoft Entra lejere: contoso.onmicrosoft.com og wingtip.onmicrosoft.com. Hver lejer har sin egen Office 365 forekomst og flere Azure abonnementer, som vist på følgende billede:

Diagram over Contoso-lejere, der hver især har separate abonnementssæt.

Contoso-overholdelse og regional udrulning

Contoso har i øjeblikket Azure ressourcer, der hostes i tre forskellige områder: Det østlige USA, det nordlige Europa og det vestlige Japan og et strengt krav om at bevare alle data, der genereres i Europa, i områder i Europa.

Begge Contosos Microsoft Entra lejere har ressourcer i alle tre områder: Det østlige USA, det nordlige Europa og det vestlige Japan

Contoso-ressourcetyper og indsamlingskrav

Contoso skal indsamle hændelser fra følgende datakilder:

  • Office 365
  • Microsoft Entra logon- og overvågningslogge
  • Azure aktivitet
  • Windows Sikkerhed hændelser fra både lokale og Azure VM-kilder
  • Syslog fra både lokale og Azure VM-kilder
  • CEF fra flere netværksenheder i det lokale miljø, f.eks. Palo Alto, Cisco ASA og Cisco Meraki
  • Flere Azure PaaS-ressourcer, f.eks. Azure Firewall, AKS, Key Vault, Azure Storage og Azure SQL
  • Cisco Umbrella

Azure VM'er er for det meste placeret i det nordlige EU-område med kun nogle få i det østlige og vestlige Japan. Contoso bruger Microsoft Defender til servere på alle deres Azure VM'er.

Contoso forventer at indtage omkring 300 GB pr. dag fra alle deres datakilder.

Contoso-adgangskrav

Contosos Azure miljø har allerede et enkelt eksisterende Log Analytics-arbejdsområde, der bruges af driftsteamet til at overvåge infrastrukturen. Dette arbejdsområde er placeret i Contoso Microsoft Entra lejer i det nordlige EU-område og bruges til at indsamle logge fra Azure VM'er i alle områder. De indtager i øjeblikket ca. 50 GB pr. dag.

Contoso Operations-teamet skal have adgang til alle de logge, de i øjeblikket har i arbejdsområdet, hvilket omfatter flere datatyper, der ikke er nødvendige for SOC, f.eks . Perf, InsightsMetrics, ContainerLog og meget mere. Handlingsteamet må ikke have adgang til de nye logge, der indsamles i Microsoft Sentinel.

Contosos løsning

Constoso-løsningen indeholder følgende overvejelser:

  • Contoso har allerede et eksisterende arbejdsområde, og de vil gerne udforske aktivering af Microsoft Sentinel i det samme arbejdsområde.
  • Contoso har lovmæssige krav, så vi har brug for mindst ét Log Analytics-arbejdsområde, der er aktiveret til Microsoft Sentinel i Europa.
  • De fleste af Contosos VM'er er det nordlige EU-område, hvor de allerede har et arbejdsområde. Derfor er båndbreddeomkostninger i dette tilfælde ikke et problem.
  • Contoso har to forskellige Microsoft Entra lejere og indsamler fra datakilder på lejerniveau, f.eks. Office 365 og Microsoft Entra logon- og overvågningslogge, og vi skal bruge mindst ét arbejdsområde pr. lejer.
  • Contoso skal indsamle ikke-SOC-data, selvom der ikke er nogen overlapning mellem SOC- og ikke-SOC-data. SOC-data tegner sig også for ca. 250 GB pr. dag, så de skal bruge separate arbejdsområder af hensyn til omkostningseffektiviteten.
  • Contoso har et enkelt SOC-team, der bruger Microsoft Sentinel, så der kræves ingen ekstra adskillelse.
  • Alle medlemmer af Contosos SOC-team har adgang til alle dataene, så der kræves ingen ekstra adskillelse.

Det resulterende arbejdsområdedesign for Contoso er illustreret på følgende billede:

Diagram over Contosos løsning med et separat arbejdsområde for Ops-teamet.

Den foreslåede løsning omfatter:

  • Et separat Log Analytics-arbejdsområde for Contoso Operations-teamet. Dette arbejdsområde indeholder kun data, der ikke er nødvendige for Contosos SOC-team, f.eks. tabellerne Perf, InsightsMetrics eller ContainerLog .
  • To Log Analytics-arbejdsområder, der er aktiveret for Microsoft Sentinel, ét i hver Microsoft Entra lejer, til at hente data fra Office 365, Azure Aktivitet, Microsoft Entra ID og alle Azure PaaS-tjenester.
  • Alle andre data, der kommer fra datakilder i det lokale miljø, kan distribueres til et af de to arbejdsområder.

Eksempel 2: Enkelt lejer med flere cloudmiljøer

Fabrikam er en organisation med hovedkvarter i New York City og kontorer rundt om i USA. Fabrikam starter deres cloudrejse og skal stadig udrulle deres første Azure landingszone og overføre deres første arbejdsbelastninger. Fabrikam har allerede nogle arbejdsbelastninger på AWS, som de vil overvåge ved hjælp af Microsoft Sentinel.

Fabrikam lejerkrav

Fabrikam har en enkelt Microsoft Entra lejer.

Fabrikam-overholdelse og regional installation

Fabrikam har ingen krav til overholdelse af angivne standarder. Fabrikam har ressourcer i flere Azure områder, der er placeret i USA, men omkostninger til båndbredde på tværs af områder er ikke et stort problem.

Fabrikam-ressourcetyper og indsamlingskrav

Fabrikam skal indsamle hændelser fra følgende datakilder:

  • Microsoft Entra logon- og overvågningslogge
  • Azure aktivitet
  • Sikkerhedshændelser fra både lokale og Azure VM-kilder
  • Windows-hændelser fra både lokale og Azure VM-kilder
  • Ydeevnedata fra både lokale og Azure VM-kilder
  • AWS CloudTrail
  • AKS-overvågnings- og ydeevnelogge

Fabrikam-adgangskrav

Fabrikam Operations-teamet skal have adgang til:

  • Sikkerhedshændelser og Windows-hændelser fra både lokale og Azure VM-kilder
  • Ydeevnedata fra både lokale og Azure VM-kilder
  • AKS-ydeevne (Container Insights) og overvågningslogge
  • Alle Azure aktivitetsdata

Fabrikam SOC-teamet skal have adgang til:

  • Microsoft Entra logon- og overvågningslogge
  • Alle Azure aktivitetsdata
  • Sikkerhedshændelser fra både lokale og Azure VM-kilder
  • AWS CloudTrail-logge
  • AKS-overvågningslogge
  • Hele Microsoft Sentinel-portalen

Fabrikams løsning

Fabrikams løsning omfatter følgende overvejelser:

  • Fabrikam har ikke et eksisterende arbejdsområde, så de skal automatisk bruge et nyt arbejdsområde.

  • Fabrikam har ingen lovmæssige krav, der kræver, at de skal holde data adskilt.

  • Fabrikam har et miljø med en enkelt lejer og behøver ikke separate arbejdsområder pr. lejer.

  • Fabrikam skal dog bruge separate arbejdsområder til deres SOC- og Operations-teams.

    Fabrikam Operations-teamet skal indsamle ydeevnedata fra både VM'er og AKS. Da AKS er baseret på diagnosticeringsindstillinger, kan de vælge specifikke logge, der skal sendes til bestemte arbejdsområder. Fabrikam kan vælge at sende AKS-overvågningslogge til det Log Analytics-arbejdsområde, der er aktiveret for Microsoft Sentinel, og alle AKS-logge til et separat arbejdsområde, hvor Microsoft Sentinel ikke er aktiveret. I det arbejdsområde, hvor Microsoft Sentinel ikke er aktiveret, aktiverer Fabrikam Container Insights-løsningen.

    For Windows VM'er kan Fabrikam bruge AMA (Azure Monitoring Agent) til at opdele loggene, sende sikkerhedshændelser til arbejdsområdet samt ydeevne og Windows-hændelser til arbejdsområdet uden Microsoft Sentinel.

    Fabrikam vælger at overveje deres overlappende data, f.eks. sikkerhedshændelser og Azure aktivitetshændelser, som kun SOC-data, og sender disse data til arbejdsområdet med Microsoft Sentinel.

  • Fabrikam skal styre adgangen til overlappende data, herunder sikkerhedshændelser og Azure aktivitetshændelser, men der er ingen krav på rækkeniveau. Da sikkerhedshændelser og Azure aktivitetshændelser ikke er brugerdefinerede logge, kan Fabrikam bruge RBAC på tabelniveau til at give adgang til disse to tabeller for operationsteamet.

Det resulterende arbejdsområdedesign for Fabrikam er illustreret på følgende billede, herunder kun vigtige logkilder af hensyn til designimplicitet:

Diagram over Fabrikams løsning med et separat arbejdsområde for Ops-teamet.

Den foreslåede løsning omfatter:

  • To separate arbejdsområder i området USA: ét for SOC-teamet med Microsoft Sentinel aktiveret og et andet for operationsteamet uden Microsoft Sentinel.
  • Den Azure overvågningsagent (AMA), der bruges til at bestemme, hvilke logge der sendes til hvert arbejdsområde fra Azure vm'er og vm'er i det lokale miljø.
  • Diagnosticeringsindstillinger, der bruges til at bestemme, hvilke logge der sendes til hvert arbejdsområde fra Azure ressourcer, f.eks. AKS.
  • Overlappende data, der sendes til Log Analytics-arbejdsområdet, der er aktiveret for Microsoft Sentinel, med RBAC på tabelniveau for at give adgang til operationsteamet efter behov.

Eksempel 3: Flere lejere og områder og central sikkerhed

Adventure Works er en multinational virksomhed med hovedkvarter i Tokyo. Adventure Works har 10 forskellige underenheder, der er baseret i forskellige lande/områder i hele verden.

Adventure Works er Microsoft 365 E5 kunde og har allerede arbejdsbelastninger i Azure.

Lejerkrav til Adventure Works

Adventure Works har tre forskellige Microsoft Entra lejere, ét for hvert kontinent, hvor de har underenheder: Asien, Europa og Afrika. De forskellige underenheders lande/områder har deres identiteter i lejeren af det kontinent, de tilhører. Japanske brugere er f.eks. i lejeren Asien , tyske brugere er i Lejeren Europa , og egyptiske brugere befinder sig i lejeren Afrika .

Overholdelse af angivne standarder og regionale krav i Adventure Works

Adventure Works bruger i øjeblikket tre Azure områder, der hver især er justeret efter det kontinent, hvor underenhederne er placeret. Adventure Works har ikke strenge krav til overholdelse af angivne standarder.

Adventure Works-ressourcetyper og indsamlingskrav

Adventure Works skal indsamle følgende datakilder for hver underenhed:

  • Microsoft Entra logon- og overvågningslogge
  • Office 365 logfiler
  • Microsoft Defender XDR for rå logfiler for slutpunkter
  • Azure aktivitet
  • Microsoft Defender for Cloud
  • Azure PaaS-ressourcer, f.eks. fra Azure Firewall, Azure Lager, Azure SQL og Azure WAF
  • Sikkerheds- og Windows-hændelser fra Azure VM'er
  • CEF-logge fra netværksenheder i det lokale miljø

Azure VM'er er spredt over de tre kontinenter, men omkostninger til båndbredde er ikke et problem.

Adgangskrav til Adventure Works

Adventure Works har et enkelt centraliseret SOC-team, der varetager sikkerhedshandlinger for alle de forskellige underenheder.

Adventure Works har også tre uafhængige SOC-teams, ét for hvert kontinent. Hvert kontinents SOC-team bør kun kunne få adgang til de data, der genereres i dets område, uden at se data fra andre kontinenter. Asia SOC-teamet bør f.eks. kun få adgang til data fra Azure ressourcer, der er udrullet i Asien, Microsoft Entra logon fra lejeren Asien og Defender for Endpoint-logge fra lejeren Asien.

Hvert kontinents SOC-team skal have adgang til hele Microsoft Sentinel portaloplevelsen.

Adventure Works' operationsteam kører uafhængigt af hinanden og har sine egne arbejdsområder uden Microsoft Sentinel.

Adventure Works-løsning

Adventure Works-løsningen indeholder følgende overvejelser:

  • Adventure Works' Operations-team har allerede sine egne arbejdsområder, så der er ingen grund til at oprette et nyt.

  • Adventure Works har ingen lovmæssige krav, der kræver, at de skal holde data adskilt.

  • Adventure Works har tre Microsoft Entra lejere og skal indsamle datakilder på lejerniveau, f.eks. Office 365 logge. Adventure Works skal derfor oprette mindst ét Log Analytics-arbejdsområde, der er aktiveret for Microsoft Sentinel i hver lejer.

  • Selvom alle data, der tages i betragtning i denne beslutning, bruges af Adventure Works SOC-teamet, skal de adskille data efter ejerskab, da hvert SOC-team kun skal have adgang til data, der er relevante for det pågældende team. Hvert SOC-team skal også have adgang til hele portalen Microsoft Sentinel. Adventure Works behøver ikke at styre dataadgang efter tabel.

Det resulterende arbejdsområdedesign til Adventure Works er illustreret på følgende billede, herunder kun vigtige logkilder af hensyn til design enkelthedens skyld:

Diagram over Adventure Works's løsning med separate arbejdsområder for hver Azure AD lejer.

Den foreslåede løsning omfatter:

  • Et separat Log Analytics-arbejdsområde, der er aktiveret for Microsoft Sentinel for hver Microsoft Entra lejer. Hvert arbejdsområde indsamler data, der er relateret til lejeren, for alle datakilder.
  • SOC-teamet på hvert kontinent har kun adgang til arbejdsområdet i sin egen lejer, så det sikres, at kun logge, der er genereret inden for lejergrænsen, er tilgængelige for hvert SOC-team.
  • Det centrale SOC-team kan stadig arbejde fra en separat Microsoft Entra lejer ved hjælp af Azure Lighthouse til at få adgang til hvert af de forskellige Microsoft Sentinel miljøer. Hvis der ikke er nogen anden lejer, kan det centrale SOC-team stadig bruge Azure Lighthouse til at få adgang til fjernarbejdsområder.
  • Det centrale SOC-team kan også oprette et andet arbejdsområde, hvis det skal gemme artefakter, der forbliver skjult fra SOC-teams på kontinentet, eller hvis det vil indtage andre data, der ikke er relevante for SOC-teams på kontinentet.

Næste trin

I denne artikel har du gennemset et sæt foreslåede arbejdsområdedesign for organisationer.

Forbered flere arbejdsområder

  • Last updated on