Log Analytics -työtilamallien malli Microsoft Sentinel

Tässä artikkelissa kuvataan ehdotettuja Log Analytics -työtilamalleja organisaatioille, joilla on seuraavat mallivaatimukset:

  • Useita vuokraajia ja alueita, joilla on Eu roopaan liittyvät tietosuojan suvereniteettivaatimukset
  • Yksittäinen vuokraaja, jossa on useita pilvipalveluita
  • Useita vuokraajia, joilla on useita alueita ja keskitetty suojaus

Lisätietoja on artikkelissa Log Analytics -työtilaarkkitehtuurin suunnitteleminen.

Tämä artikkeli on osa Microsoft Sentinel käyttöönotto-opasta.

Malli 1: Useita vuokraajia ja alueita

Contoso Corporation on monikansallinen yritys, jonka pääkonttori on Lontoossa. Contosolla on toimistoja ympäri maailmaa, ja sillä on tärkeät keskukset New Yorkissa ja Tokiossa. Hiljattain Contoso on siirtänyt tuottavuuspakettinsa Office 365, ja monet kuormitukset on siirretty Azure.

Contoso-vuokraajat

Contoson yrityskaupan takia contosolla on kaksi Microsoft Entra vuokraajaa: contoso.onmicrosoft.com ja wingtip.onmicrosoft.com. Jokaisella vuokraajalla on oma Office 365-esiintymä ja useita Azure tilauksia seuraavassa kuvassa esitetyllä tavalla:

Contoson vuokraajien kaavio, jossa jokaisessa on erilliset tilausjoukot.

Contoson yhteensopivuus ja alueellinen käyttöönotto

Contosolla on tällä hetkellä Azure resursseja, joita isännöidään kolmella eri alueella: Yhdysvaltain itä-, EU:n pohjoinen ja Länsi-Japani, ja tiukka vaatimus pitää kaikki Euroopassa luodut tiedot Euroopan alueiden sisällä.

Molemmilla Contoson Microsoft Entra vuokraajilla on resursseja kaikilla kolmella alueella: Yhdysvaltain itä-, EU-pohjoinen ja Länsi-Japani

Contoson resurssityypit ja kokoelmavaatimukset

Contoson on kerättävä tapahtumia seuraavista tietolähteistä:

  • Office 365
  • Microsoft Entra kirjautumis- ja valvontalokit
  • Azure toiminto
  • Windowsin suojaus tapahtumat sekä paikallisista että Azure näennäiskonelähteistä
  • Syslog, sekä paikallisista että Azure näennäiskonelähteistä
  • CEF useista paikallisista verkkolaitteista, kuten Palo Alto, Cisco ASA ja Cisco Meraki
  • Useita Azure PaaS-resursseja, kuten Azure-palomuuri, AKS, Key Vault, Azure-tallennustila ja Azure SQL
  • Cisco-sateenvarjo

Azure näennäiskoneet sijaitsevat enimmäkseen EU:n pohjoisella alueella, ja niitä on vain muutama Yhdysvaltain itä- ja Länsi-Japanissa. Contoso käyttää Microsoft Defender palvelimille kaikissa Azure näennäiskoneissaan.

Contoso odottaa käyttävänsä noin 300 Gigatavua päivässä kaikista tietolähteistään.

Contoson käyttövaatimukset

Contoson Azure ympäristössä on jo yksi olemassa oleva Log Analytics -työtila, jota toimintotiimi käyttää infrastruktuurin valvontaan. Tämä työtila sijaitsee Contoson Microsoft Entra vuokraajassa EU:n pohjoisella alueella, ja sitä käytetään lokien keräämiseen Azure näennäiskoneista kaikilla alueilla. Ne ovat tällä hetkellä käytössä noin 50 Gt / päivä.

Contoso Operations -tiimillä on oltava pääsy kaikkiin lokeihin, joita heillä tällä hetkellä on työtilassa. Ne sisältävät useita tietotyyppejä, joita SOC ei tarvitse, kuten Perf, InsightsMetrics, ContainerLog ja paljon muuta. Toimintoryhmällä ei saa olla käyttöoikeuksia uusiin lokeihin, jotka kerätään Microsoft Sentinel.

Contoson ratkaisu

Constoson ratkaisu sisältää seuraavat seikat:

  • Contosolla on jo olemassa oleva työtila, ja he haluavat tutustua Microsoft Sentinel käyttöönottoon samassa työtilassa.
  • Contosolla on sääntelyvaatimuksia, joten tarvitsemme vähintään yhden Log Analytics -työtilan, joka on käytössä Microsoft Sentinel Euroopassa.
  • Suurin osa Contoson näennäiskoneista on EU:n pohjoista aluetta, jossa niillä on jo työtila. Tästä syystä kaistanleveyskustannukset eivät tässä tapauksessa aiheuta huolta.
  • Contosolla on kaksi erilaista Microsoft Entra vuokraajaa, ja se kerää tietoja vuokraajatason tietolähteistä, kuten Office 365 ja Microsoft Entra kirjautumis- ja valvontalokeista, ja tarvitsemme vähintään yhden työtilan vuokraajaa kohden.
  • Contoson on kerättävä tietoja, jotka eivät ole SOC-tietoja, vaikka SOC- ja muiden kuin SOC-tietojen välillä ei ole päällekkäisyyksiä. Lisäksi SOC-tietojen osuus on noin 250 Gt päivässä, joten niiden tulisi käyttää erillisiä työtiloja kustannustehokkuuden vuoksi.
  • Contosolla on yksi SOC-tiimi, joka käyttää Microsoft Sentinel, joten ylimääräistä erottelua ei tarvita.
  • Kaikilla Contoson SOC-tiimin jäsenillä on pääsy kaikkiin tietoihin, joten ylimääräistä erottelua ei tarvita.

Contoson tuloksena syntyvä työtilasuunnittelu on kuvattu seuraavassa kuvassa:

Contoson ratkaisukaavio, jossa on erillinen työtila Ops-tiimille.

Ehdotettu ratkaisu sisältää seuraavat:

  • Erillinen Log Analytics -työtila Contoso Operations -tiimille. Tämä työtila sisältää vain tietoja, joita Contoson SOC-tiimi ei tarvitse, kuten Perf-, InsightsMetrics- tai ContainerLog-taulukot .
  • Kaksi Log Analytics -työtilaa on otettu käyttöön Microsoft Sentinel, yksi kustakin Microsoft Entra -vuokraajasta Office 365 tietojen Office 365, Azure Activity-, Microsoft Entra ID- ja kaikkien paaS-palveluiden Azure.
  • Kaikki muut tiedot, jotka ovat peräisin paikallisista tietolähteistä, voidaan reitittää toiseen kahdesta työtilasta.

Esimerkki 2: Yksittäinen vuokraaja, jossa on useita pilvipalveluita

Fabrikam on organisaatio, jonka pääkonttori sijaitsee New Yorkissa ja joka toimipisteissä ympäri Yhdysvallat. Fabrikam aloittaa pilvipalvelumatkansa, ja hänen on vielä otettava käyttöön ensimmäinen Azure ja siirrettävä ensimmäiset kuormituksensa. Fabrikamilla on jo joitakin AWS-kuormituksia, joita ne aikovat valvoa Microsoft Sentinel avulla.

Fabrikam-vuokraajavaatimukset

Fabrikamilla on yksi Microsoft Entra vuokraaja.

Fabrikam-yhteensopivuus ja alueellinen käyttöönotto

Fabrikamilla ei ole yhteensopivuusvaatimuksia. Fabrikamilla on resursseja useilla Azure alueilla, jotka sijaitsevat Yhdysvalloissa, mutta kaistanleveyskustannukset eri alueilla eivät ole suuri huolenaihe.

Fabrikam-resurssityypit ja kokoelmavaatimukset

Fabrikamin on kerättävä tapahtumia seuraavista tietolähteistä:

  • Microsoft Entra kirjautumis- ja valvontalokit
  • Azure toiminto
  • Suojaustapahtumat sekä paikallisista että Azure näennäiskonelähteistä
  • Windows-tapahtumat sekä paikallisista että Azure näennäiskonelähteistä
  • Suorituskykytiedot sekä paikallisista että Azure näennäiskonelähteistä
  • AWS CloudTrail
  • AKS:n valvonta- ja suorituskykylokit

Fabrikam-käyttövaatimukset

Fabrikam Operations -tiimin on käytettävä:

  • Suojaustapahtumat ja Windows-tapahtumat sekä paikallisista että Azure näennäiskonelähteistä
  • Suorituskykytiedot sekä paikallisista että Azure näennäiskonelähteistä
  • AKS:n suorituskyky (säilön merkitykselliset tiedot) ja valvontalokit
  • Kaikki Azure toimintotiedot

Fabrikam SOC -tiimin on käytettävä seuraavaa:

  • Microsoft Entra kirjautumis- ja valvontalokit
  • Kaikki Azure toimintotiedot
  • Suojaustapahtumat sekä paikallisista että Azure näennäiskonelähteistä
  • AWS CloudTrail -lokit
  • AKS-valvontalokit
  • Koko Microsoft Sentinel portaali

Fabrikamin ratkaisu

Fabrikamin ratkaisu sisältää seuraavat seikat:

  • Fabrikamilla ei ole aiemmin luotua työtilaa, joten he tarvitsevat automaattisesti uuden työtilan.

  • Fabrikam ei edellytä, että fabrikam pitää tiedot erillisinä.

  • Fabrikam sisältää yhden vuokraajan ympäristön, eikä se tarvitse erillisiä työtiloja vuokraajaa kohden.

  • Fabrikam tarvitsee kuitenkin erilliset työtilat SOC- ja Operations-tiimeilleen.

    Fabrikam Operations -tiimin on kerättävä suorituskykytietoja sekä näennäiskoneilta että AKS:lta. Koska AKS perustuu diagnostiikka-asetuksiin, ne voivat valita tietyt lokit lähetettäväksi tiettyihin työtiloihin. Fabrikam voi lähettää AKS-valvontalokit Microsoft Sentinel käyttöön otettuun Log Analytics -työtilaan ja kaikki AKS-lokit erilliseen työtilaan, jossa Microsoft Sentinel ei ole käytössä. Työtilassa, jossa Microsoft Sentinel ei ole käytössä, Fabrikam ottaa käyttöön Säilön merkitykselliset tiedot -ratkaisun.

    Windows-näennäiskoneissa Fabrikam voi käyttää Azure Valvonta-agenttia (AMA) lokien jakamiseen, suojaustapahtumien lähettämiseen työtilaan sekä suorituskykyyn ja Windows-tapahtumiin työtilaan ilman Microsoft Sentinel.

    Fabrikam päättää tarkastella niiden päällekkäisiä tietoja, kuten suojaustapahtumia ja Azure toimintatapahtumia, vain SOC-tietoina, ja lähettää nämä tiedot työtilaan Microsoft Sentinel kanssa.

  • Fabrikamin on hallittava päällekkäisten tietojen, kuten suojaustapahtumien ja Azure toimintotapahtumien, käyttöoikeuksia, mutta rivitason vaatimusta ei ole. Koska suojaustapahtumat ja Azure toimintotapahtumat eivät ole mukautettuja lokeja, Fabrikam voi myöntää käyttöoikeuden näihin kahteen taulukkoon toimintotiimille taulukkotason RBAC:n avulla.

Fabrikamin tuloksena syntyvä työtilasuunnittelu on kuvattu seuraavassa kuvassa, mukaan lukien vain tärkeimmät lokilähteet rakenteen yksinkertaisuuden vuoksi:

Fabrikamin ratkaisukaavio, jossa on erillinen työtila Ops-tiimille.

Ehdotettu ratkaisu sisältää seuraavat:

  • Kaksi erillistä työtilaa Yhdysvaltain alueella: yksi SOC-tiimille, jossa on Microsoft Sentinel käytössä, ja toinen Operations-tiimille ilman Microsoft Sentinel.
  • Azure valvonta-agenttia (AMA) käytetään määrittämään, mitkä lokit lähetetään kuhunkin työtilaan Azure ja paikallisista näennäiskoneista.
  • Diagnostiikka-asetukset, joiden avulla määritetään, mitkä lokit lähetetään kuhunkin työtilaan Azure resursseista, kuten AKS:sta.
  • Päällekkäiset tiedot lähetetään log analytics -työtilaan, joka on otettu käyttöön Microsoft Sentinel, ja taulukkotason RBAC myöntää tarvittaessa käyttöoikeuden operaatiotiimille.

Esimerkki 3: Useita vuokraajia ja alueita sekä keskitetty suojaus

Adventure Works on monikansallinen yritys, jonka pääkonttori on Tokiossa. Adventure Worksissa on 10 eri alientiteettiä, jotka sijaitsevat eri maissa tai alueilla ympäri maailmaa.

Adventure Works on Microsoft 365 E5 asiakas, ja Azure on jo kuormituksia.

Adventure Worksin vuokraamisvaatimukset

Adventure Worksilla on kolme eri Microsoft Entra vuokraajaa, yksi kullekin mantereelle, jossa heillä on alientiteettejä: Aasia, Eurooppa ja Afrikka. Eri alaentiteettien mailla tai alueilla on käyttäjätietonsa sen maanosan vuokraajassa, johon ne kuuluvat. Esimerkiksi japanilaiset käyttäjät ovat Aasia-vuokraajassa , saksalaiset käyttäjät Ovat Euroopan vuokraajassa ja egyptiläiset käyttäjät ovat Afrikan vuokraajassa.

Adventure Worksin yhteensopivuus ja alueelliset vaatimukset

Adventure Works käyttää tällä hetkellä kolmea Azure aluetta, joista jokainen on tasattu maanosaan, jossa alientiteetit sijaitsevat. Adventure Worksissa ei ole tiukkoja yhteensopivuusvaatimuksia.

Adventure Worksin resurssityypit ja kokoelmavaatimukset

Adventure Worksin on kerättävä seuraavat tietolähteet kullekin alientiteetille:

  • Microsoft Entra kirjautumis- ja valvontalokit
  • Office 365 lokit
  • Microsoft Defender XDR päätepisteen raakalokeille
  • Azure toiminto
  • Microsoft Defender for Cloud
  • Azure PaaS-resursseja, kuten Azure-palomuuri, Azure Storagesta, Azure SQL:stä ja Azure WAF:stä
  • Azure näennäiskoneiden suojaus- ja windowstapahtumat
  • CEF-lokit paikallisista verkkolaitteista

Azure näennäiskoneet ovat hajallaan kolmella mantereella, mutta kaistanleveyskustannukset eivät ole huolenaihe.

Adventure Worksin käyttövaatimukset

Adventure Worksissa on yksi keskitetty SOC-tiimi, joka valvoo kaikkien eri alientiteettien suojaustoimintoja.

Adventure Worksissa on myös kolme itsenäistä SOC-tiimiä, yksi kullekin mantereelle. Kunkin maanosan SOC-tiimin pitäisi voida käyttää vain sen alueella luotuja tietoja näkemättä tietoja muilta mantereilta. Esimerkiksi Aasian SOC-tiimin tulee käyttää tietoja vain Aasiaan käyttöönotettuihin Azure resursseihin, Microsoft Entra kirjautumisia Aasia-vuokraajasta ja Defender for Endpoint -lokeja Aasia-vuokraajasta.

Kunkin maanosan SOC-tiimin on käytettävä kaikkia Microsoft Sentinel portaalia.

Adventure Worksin Operations-tiimi toimii itsenäisesti ja sillä on omat työtilansa ilman Microsoft Sentinel.

Adventure Works -ratkaisu

Adventure Works -ratkaisu sisältää seuraavat seikat:

  • Adventure Worksin toimintotiimillä on jo omat työtilansa, joten uutta ei tarvitse luoda.

  • Adventure Worksilla ei ole säädösvaatimuksia, jotka vaatisi tietojen pitämistä erillisinä.

  • Adventure Worksissa on kolme Microsoft Entra vuokraajaa, ja sen on kerättävä vuokraajatason tietolähteitä, kuten Office 365 lokeja. Siksi Adventure Worksin tulee luoda vähintään yksi Log Analytics -työtila, joka on käytössä Microsoft Sentinel kussakin vuokraajassa.

  • Vaikka Adventure Worksin SOC-tiimi käyttää kaikkia tässä päätöksessä käsiteltyjä tietoja, niiden on erotettava tiedot omistajuuden mukaan, koska kunkin SOC-tiimin on käytettävä vain kyseiselle tiimille merkityksellisiä tietoja. Jokainen SOC-tiimi tarvitsee myös pääsyn täydelliseen Microsoft Sentinel portaaliin. Adventure Worksin ei tarvitse hallita tietojen käyttöä taulukon mukaan.

Adventure Worksin tuloksena syntyvä työtilasuunnittelu on kuvattu seuraavassa kuvassa, mukaan lukien vain tärkeimmät lokilähteet suunnittelun yksinkertaisuuden vuoksi:

Adventure Worksin ratkaisun kaavio, jossa on erilliset työtilat kullekin Azure AD vuokraajalle.

Ehdotettu ratkaisu sisältää seuraavat:

  • Erillinen Log Analytics -työtila, joka on otettu käyttöön Microsoft Sentinel kullekin Microsoft Entra vuokraajalle. Kukin työtila kerää vuokraajaan liittyviä tietoja kaikista tietolähteistä.
  • Kunkin maanosan SOC-tiimillä on pääsy vain työtilaan omassa vuokraajassaan, mikä varmistaa, että kukin SOC-tiimi voi käyttää vain vuokraajan rajan sisällä luotuja lokeja.
  • SOC:n keskustiimi voi edelleen toimia erillisestä Microsoft Entra vuokraajasta ja käyttää Azure Lighthousea kaikkiin eri Microsoft Sentinel ympäristöihin. Jos muuta vuokraajaa ei ole, soc-keskustiimi voi edelleen käyttää Azure Majakka etätyötilojen käyttämiseen.
  • Keskitetty SOC-tiimi voi myös luoda toisen työtilan, jos sen on talletettava maanosan SOC-tiimeistä piilotettuina säilyviä artefakteja tai jos se haluaa käyttää muita tietoja, jotka eivät ole olennaisia maanosan SOC-tiimeille.

Seuraavat vaiheet

Tässä artikkelissa tutustuit organisaatioiden ehdotettuihin työtilamalleihin.

Valmistaudu useisiin työtiloihin

  • Last updated on