Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Tärkeää
31.3.2027 jälkeen Microsoft Sentinel ei enää tueta Azure-portaali ja se on käytettävissä vain Microsoft Defender-portaalissa. Kaikki asiakkaat, jotka käyttävät Microsoft Sentinel Azure-portaali, ohjataan Defender-portaaliin ja he käyttävät Microsoft Sentinel vain Defender-portaalissa.
Jos käytät edelleen Microsoft Sentinel Azure-portaali, suosittelemme, että aloitat Defender-portaaliin siirtymisen suunnittelun, jotta siirtyminen olisi sujuvaa ja jotta voit hyödyntää täysin Microsoft Defender tarjoamaa yhtenäistä suojaustoimintokokemusta.
Jotta voit valmistautua käyttöönottoon, sinun on määritettävä, liittyykö usean työtilan arkkitehtuuri ympäristöösi. Tässä artikkelissa kerrotaan, miten Microsoft Sentinel voivat kattaa useita työtiloja ja vuokraajia, jotta voit määrittää, sopiiko tämä ominaisuus organisaatiosi tarpeisiin. Tämä artikkeli on osa Microsoft Sentinel käyttöönotto-opasta.
Käytä jotakin seuraavista asennusohjeista sen mukaan, mitä portaalia käytät Microsoft Sentinel laajentamiseen työtiloissa:
| Portal | Lisätietoja |
|---|---|
| Microsoft Defender -portaali |
-
Useita Microsoft Sentinel työtiloja Defender-portaalissa - Microsoft Defender usean kohteen hallinta |
| Azure-portaali |
-
Laajenna Microsoft Sentinel työtiloissa ja vuokraajissa - Hallitse keskitetysti useita Log Analytics -työtiloja, jotka on otettu käyttöön Microsoft Sentinel työtilan hallinnan kanssa |
Tarve käyttää useita työtiloja
Kun olet perehdytät Microsoft Sentinel, ensimmäinen vaihe on valita Log Analytics -työtilasi. Voit hyödyntää Microsoft Sentinel täysin yhdessä työtilassa, mutta joissakin tapauksissa haluat ehkä laajentaa työtilaasi niin, että voit kysellä ja analysoida tietojasi työtiloissa ja vuokraajissa.
Tässä taulukossa on joitakin näistä skenaarioista, ja mahdollisuuksien mukaan siinä ehdotetaan, miten skenaariossa voitaisiin käyttää yksittäistä työtilaa.
| Vaatimus | Kuvaus | Työtilojen määrän pienentäminen |
|---|---|---|
| Suvereniteetti ja säädösten noudattaminen | Työtila on sidottu tiettyyn alueeseen. Jotta tiedot säilyvät eri Azure alueilla säädösten vaatimusten täyttämiseksi, jaa tiedot erillisiin työtiloihin. Microsoft Sentinel tiedot tallennetaan ja käsitellään enimmäkseen samalla maantieteellisellä alueella tai samalla alueella joitakin poikkeuksia lukuun ottamatta, esimerkiksi käytettäessä tunnistussääntöjä, jotka hyödyntävät Microsoftin koneoppimista. Tällaisissa tapauksissa tiedot voidaan kopioida työtilan maantieteellisen alueen ulkopuolelle käsiteltäviksi. |
|
| Tietojen omistajuus | Esimerkiksi tytäryhtiöiden tai konserniyhtiöiden datan omistajuuden rajat rajataan paremmin erillisten työtilojen avulla. | |
| Useita Azure vuokraajia | Microsoft Sentinel tukee tietojen keräämistä Microsoftilta ja Azure SaaS-resursseja vain sen oman Microsoft Entra vuokraajan rajan sisällä. Siksi jokainen Microsoft Entra vuokraaja edellyttää erillistä työtilaa. | |
| Hajautettujen tietojen käytön hallinta | Organisaation on ehkä sallittava organisaation sisällä tai ulkopuolella olevien eri ryhmien käyttää joitakin Microsoft Sentinel keräämiä tietoja. Esimerkki:
|
Käytä RBAC Azureresurssin tai taulukkotason Azure RBAC:tä |
| Eriytettyjä säilytysasetuksia | Historiallisesti useat työtilat olivat ainoa tapa määrittää eri säilytysjaksoja eri tietotyypeille. Tätä ei enää tarvita monissa tapauksissa taulukkotason säilytysasetusten käyttöönoton ansiosta. | Taulukkotason säilytysasetusten käyttäminen tai tietojen poistamisen automatisoiminen |
| Jaa laskutus osiin | Sijoittamalla työtilat erillisiin tilauksiin niitä voidaan laskuttaa eri osapuolille. | Käyttöraportointi ja ristiinlataus |
| Vanha arkkitehtuuri | Useiden työtilojen käyttö saattaa johtua historiallisesta rakenteesta, jossa otettiin huomioon rajoitukset tai parhaat käytännöt, jotka eivät enää pidä paikkaansa. Se voi myös olla mielivaltainen suunnitteluvalinta, jota voidaan muokata siten, että se sopii paremmin Microsoft Sentinel. Esimerkkeinä:
|
Työtilojen uudelleenarkkitehti |
Kun määrität, kuinka monta vuokraajaa ja työtilaa käytetään, ota huomioon, että useimmat Microsoft Sentinel ominaisuudet toimivat yksittäisen työtilan tai Microsoft Sentinel esiintymän avulla, ja Microsoft Sentinel käyttää kaikkia työtilassa olevia lokeja.
Hallittu suojauspalveluntarjoaja (MSSP)
JOS kyseessä on MSSP, monia, ellei kaikkia edellä mainittuja vaatimuksia, sovelletaan, mikä tekee useista työtiloista vuokraajan välillä parhaan käytännön. Suosittelemme erityisesti, että luot kullekin Microsoft Entra vuokraajalle vähintään yhden työtilan, jotta voit tukea sisäisiä palvelusta palveluun -tietoyhdistimiä, jotka toimivat vain niiden omassa Microsoft Entra vuokraajassa.
Diagnostiikka-asetuksiin perustuvia liittimiä ei voi yhdistää työtilaan, joka ei sijaitse samassa vuokraajassa, jossa resurssi sijaitsee. Tämä koskee liittimiä, kuten Azure-palomuuri, Azure Storage, Azure Activity tai Microsoft Entra ID.
Kumppanien tietoliittimet perustuvat usein ohjelmointirajapinta- tai agenttikokoelmien tietoihin, joten niitä ei ole liitetty tiettyyn Microsoft Entra vuokraajaan.
Azure majakan avulla voit hallita useita Microsoft Sentinel esiintymiä eri vuokraajissa.u
Microsoft Sentinel useita työtila-arkkitehtuureista
Edellä mainittujen vaatimusten mukaisesti on tapauksia, joissa yksittäisen SOC:n on hallittava ja valvottava keskitetysti useita log analytics -työtiloja, jotka on otettu käyttöön Microsoft Sentinel varten, mahdollisesti kaikissa Microsoft Entra vuokraajissa.
- MSSP Microsoft Sentinel -palvelu.
- Globaali SOC, joka palvelee useita tytäryhtiöitä, joilla kullakin on oma paikallinen SOC.
- SOC valvoo useita Microsoft Entra vuokraajia organisaatiossa.
Näiden tapausten käsittelemiseksi Microsoft Sentinel tarjoaa usean työtilan ominaisuuksia, jotka mahdollistavat keskitetyn seurannan, määrityksen ja hallinnan, tarjoten yhden lasiruudun kaikkeen SOC:n kattamaan. Tässä kaaviossa näytetään esimerkkiarkkitehtuuri tällaisille käyttötapauksille.
Tämä malli tarjoaa merkittäviä etuja täysin keskitettyihin malliin verrattuna, jossa kaikki tiedot kopioidaan yhteen työtilaan:
- Joustava roolimääritys yleisille ja paikallisille SOC:ille tai mssp:n asiakkaille.
- Vähemmän haasteita, jotka liittyvät tietojen omistajuuteen, tietosuojaan ja säädösten noudattamiseen.
- Verkon vähimmäisviive ja veloitukset.
- Helppo perehdyttäminen ja uusien tytäryhtiöiden tai asiakkaiden perehdyttäminen.
Seuraavat vaiheet
Tässä artikkelissa opit, miten Microsoft Sentinel voivat ulottua useisiin työtiloihin ja vuokraajiin.