Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Importante
Après le 31 mars 2027, Microsoft Sentinel ne seront plus pris en charge dans le Portail Azure et ne seront disponibles que dans le portail Microsoft Defender. Tous les clients qui utilisent Microsoft Sentinel dans le Portail Azure sont redirigés vers le portail Defender et utilisent Microsoft Sentinel dans le portail Defender uniquement.
Si vous utilisez toujours Microsoft Sentinel dans le Portail Azure, nous vous recommandons de commencer à planifier votre transition vers le portail Defender pour garantir une transition en douceur et tirer pleinement parti de l’expérience unifiée des opérations de sécurité offerte par Microsoft Defender.
Pour préparer votre déploiement, vous devez déterminer si une architecture à plusieurs espaces de travail est pertinente pour votre environnement. Dans cet article, vous allez découvrir comment Microsoft Sentinel peuvent s’étendre sur plusieurs espaces de travail et locataires afin de déterminer si cette fonctionnalité répond aux besoins de votre organization. Cet article fait partie du Guide de déploiement pour Microsoft Sentinel.
Utilisez l’un des ensembles d’instructions d’installation suivants, en fonction du portail que vous utilisez pour étendre Microsoft Sentinel entre les espaces de travail :
Nécessité d’utiliser plusieurs espaces de travail
Lorsque vous intégrez Microsoft Sentinel, la première étape consiste à sélectionner votre espace de travail Log Analytics. Bien que vous puissiez tirer pleinement parti de l’expérience Microsoft Sentinel avec un seul espace de travail, dans certains cas, vous souhaiterez peut-être étendre votre espace de travail pour interroger et analyser vos données dans les espaces de travail et les locataires.
Ce tableau répertorie certains de ces scénarios et, si possible, suggère comment utiliser un seul espace de travail pour le scénario.
| Conditions requises | Description | Moyens de réduire le nombre d’espaces de travail |
|---|---|---|
| Souveraineté et conformité réglementaire | Un espace de travail est lié à une région spécifique. Pour conserver les données dans différentes zones géographiques Azure afin de répondre aux exigences réglementaires, divisez les données en espaces de travail distincts. Dans Microsoft Sentinel, les données sont principalement stockées et traitées dans la même zone géographique ou région, à quelques exceptions près, par exemple lors de l’utilisation de règles de détection qui tirent parti du Machine Learning de Microsoft. Dans ce cas, les données peuvent être copiées en dehors de la zone géographique de votre espace de travail à des fins de traitement. |
|
| Propriété des données | Les limites de la propriété des données, par exemple par des filiales ou des sociétés affiliées, sont mieux délimitées à l’aide d’espaces de travail distincts. | |
| Plusieurs locataires Azure | Microsoft Sentinel prend en charge la collecte de données à partir de Microsoft et Azure ressources SaaS uniquement dans sa propre limite de locataire Microsoft Entra. Par conséquent, chaque locataire Microsoft Entra nécessite un espace de travail distinct. | |
| Contrôle d’accès aux données granulaire | Un organization peut avoir besoin d’autoriser différents groupes, à l’intérieur ou à l’extérieur du organization, à accéder à certaines données collectées par Microsoft Sentinel. Par exemple :
|
Utiliser le contrôle d’accès en fonction du rôle de ressource Azure ou au niveau de la table Azure RBAC |
| Paramètres de rétention granulaires | Historiquement, plusieurs espaces de travail étaient le seul moyen de définir des périodes de rétention différentes pour différents types de données. Cela n’est plus nécessaire dans de nombreux cas, grâce à l’introduction des paramètres de rétention au niveau de la table. | Utiliser les paramètres de rétention au niveau de la table ou automatiser la suppression des données |
| Fractionner la facturation | En plaçant des espaces de travail dans des abonnements distincts, ils peuvent être facturés à différentes parties. | Rapports d’utilisation et facturation croisée |
| Architecture héritée | L’utilisation de plusieurs espaces de travail peut provenir d’une conception historique qui a pris en compte les limitations ou les meilleures pratiques qui ne sont plus vraies. Il peut également s’agir d’un choix de conception arbitraire qui peut être modifié pour mieux prendre en charge Microsoft Sentinel. Les exemples incluent :
|
Ré-architecturer les espaces de travail |
Lorsque vous déterminez le nombre de locataires et d’espaces de travail à utiliser, considérez que la plupart des fonctionnalités Microsoft Sentinel fonctionnent à l’aide d’un seul espace de travail ou Microsoft Sentinel instance, et Microsoft Sentinel ingère tous les journaux hébergés dans l’espace de travail.
Fournisseur de services de sécurité managés (MSSP)
Dans le cas d’un MSSP, la plupart des exigences ci-dessus, sinon toutes, s’appliquent, ce qui fait de plusieurs espaces de travail, parmi les locataires, la meilleure pratique. Plus précisément, nous vous recommandons de créer au moins un espace de travail pour chaque locataire Microsoft Entra afin de prendre en charge les connecteurs de données de service à service intégrés qui fonctionnent uniquement au sein de leur propre locataire Microsoft Entra.
Les connecteurs basés sur diagnostics paramètres ne peuvent pas être connectés à un espace de travail qui ne se trouve pas dans le même locataire que celui où réside la ressource. Cela s’applique aux connecteurs tels que Pare-feu Azure, stockage Azure, activité Azure ou Microsoft Entra ID.
Les connecteurs de données partenaires sont souvent basés sur des regroupements d’API ou d’agents et ne sont donc pas attachés à un locataire Microsoft Entra spécifique.
Utilisez Azure Lighthouse pour gérer plusieurs instances Microsoft Sentinel dans différents locataires.u
architecture Microsoft Sentinel plusieurs espaces de travail
Comme l’impliquent les exigences ci-dessus, il existe des cas où un seul SOC doit gérer et surveiller de manière centralisée plusieurs espaces de travail Log Analytics activés pour Microsoft Sentinel, potentiellement sur Microsoft Entra locataires.
- Service Microsoft Sentinel MSSP.
- Un SOC mondial au service de plusieurs filiales, chacune ayant son propre SOC local.
- Un SOC qui surveille plusieurs locataires Microsoft Entra au sein d’un organization.
Pour résoudre ces cas, Microsoft Sentinel offre des fonctionnalités à plusieurs espaces de travail qui permettent la surveillance, la configuration et la gestion centralisées, en fournissant un seul volet de vue sur tout ce qui est couvert par le SOC. Ce diagramme montre un exemple d’architecture pour de tels cas d’usage.
Ce modèle offre des avantages significatifs par rapport à un modèle entièrement centralisé dans lequel toutes les données sont copiées dans un seul espace de travail :
- Attribution de rôle flexible aux SOC globaux et locaux, ou au MSSP de ses clients.
- Moins de défis concernant la propriété des données, la confidentialité des données et la conformité réglementaire.
- Latence et frais réseau minimaux.
- Intégration et désintégration faciles de nouvelles filiales ou de nouveaux clients.
Étapes suivantes
Dans cet article, vous avez appris comment Microsoft Sentinel peuvent s’étendre à plusieurs espaces de travail et locataires.