Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Viktig
Etter 31. mars 2027 vil Microsoft Sentinel ikke lenger støttes i Azure Portal og vil bare være tilgjengelig i Microsoft Defender-portalen. Alle kunder som bruker Microsoft Sentinel i Azure Portal, blir omdirigert til Defender-portalen og vil bare bruke Microsoft Sentinel i Defender-portalen.
Hvis du fortsatt bruker Microsoft Sentinel i Azure Portal, anbefaler vi at du begynner å planlegge overgangen til Defender-portalen for å sikre en jevn overgang og dra full nytte av opplevelsen av enhetlige sikkerhetsoperasjoner som tilbys av Microsoft Defender.
Hvis du vil forberede distribusjonen, må du finne ut om en arkitektur for flere arbeidsområder er relevant for miljøet ditt. I denne artikkelen lærer du hvordan Microsoft Sentinel kan utvides på tvers av flere arbeidsområder og leiere, slik at du kan finne ut om denne funksjonen passer til organisasjonens behov. Denne artikkelen er en del av distribusjonsveiledningen for Microsoft Sentinel.
Bruk ett av følgende sett med installasjonsinstruksjoner, avhengig av hvilken portal du bruker til å utvide Microsoft Sentinel på tvers av arbeidsområder:
Behovet for å bruke flere arbeidsområder
Når du tar Microsoft Sentinel, er det første trinnet å velge Arbeidsområdet for logganalyse. Selv om du kan få den fulle fordelen av Microsoft Sentinel opplevelse med ett enkelt arbeidsområde, kan du i noen tilfeller utvide arbeidsområdet til å spørre og analysere dataene dine på tvers av arbeidsområder og leiere.
Denne tabellen viser noen av disse scenariene, og foreslår når det er mulig hvordan du kan bruke ett enkelt arbeidsområde for scenarioet.
| Kravet | Beskrivelse | Måter å redusere antall arbeidsområder på |
|---|---|---|
| Suverenitet og forskriftssamsvar | Et arbeidsområde er knyttet til et bestemt område. Hvis du vil beholde data i ulike Azure geografiske områder for å oppfylle forskriftsmessige krav, kan du dele opp dataene i separate arbeidsområder. I Microsoft Sentinel lagres og behandles data for det meste i samme geografi eller område, med noen unntak, for eksempel når du bruker gjenkjenningsregler som drar nytte av Microsofts maskinlæring. I slike tilfeller kan data kopieres utenfor geografien for arbeidsområdet for behandling. |
|
| Dataeierskap | Grensene for dataeierskap, for eksempel etter datterselskaper eller tilknyttede selskaper, er bedre avgrenset ved hjelp av separate arbeidsområder. | |
| Flere Azure-leiere | Microsoft Sentinel støtter datainnsamling fra Microsoft og Azure SaaS-ressurser bare innenfor sin egen Microsoft Entra leiergrense. Derfor krever hver Microsoft Entra leier et eget arbeidsområde. | |
| Detaljert datatilgangskontroll | Det kan hende at en organisasjon må tillate at ulike grupper, i eller utenfor organisasjonen, får tilgang til noen av dataene som samles inn av Microsoft Sentinel. Eksempel:
|
Bruk ressurs Azure RBAC eller tabellnivå Azure RBAC |
| Detaljerte oppbevaringsinnstillinger | Historisk sett var flere arbeidsområder den eneste måten å angi forskjellige oppbevaringsperioder for ulike datatyper på. Dette er ikke lenger nødvendig i mange tilfeller, takket være innføringen av oppbevaringsinnstillinger på tabellnivå. | Bruke oppbevaringsinnstillinger for tabellnivå eller automatisere sletting av data |
| Delt fakturering | Ved å plassere arbeidsområder i separate abonnementer, kan de faktureres til forskjellige parter. | Bruksrapportering og krysslading |
| Eldre arkitektur | Bruken av flere arbeidsområder kan stamme fra en historisk utforming som tok hensyn til begrensninger eller anbefalte fremgangsmåter som ikke holder sann lenger. Det kan også være et vilkårlig utformingsvalg som kan endres for bedre å imøtekomme Microsoft Sentinel. Eksempler inkluderer:
|
Re-arkitekt arbeidsområder |
Når du bestemmer hvor mange leiere og arbeidsområder du skal bruke, bør du vurdere at de fleste Microsoft Sentinel funksjonene fungerer ved hjelp av ett enkelt arbeidsområde eller Microsoft Sentinel forekomst, og Microsoft Sentinel inntar alle loggene som er plassert i arbeidsområdet.
Leverandør av administrert sikkerhetstjeneste (MSSP)
I tilfelle en MSSP gjelder mange om ikke alle kravene ovenfor, noe som gjør flere arbeidsområder, på tvers av leiere, den beste fremgangsmåten. Nærmere bestemt anbefaler vi at du oppretter minst ett arbeidsområde for hver Microsoft Entra leier for å støtte innebygde tjeneste-til-tjeneste-datakoblinger som bare fungerer innenfor sine egne Microsoft Entra leier.
Koblinger som er basert på diagnoseinnstillinger, kan ikke kobles til et arbeidsområde som ikke er plassert i samme leier der ressursen befinner seg. Dette gjelder for koblinger som Azure Firewall, Azure Storage, Azure Activity eller Microsoft Entra ID.
Partnerdatakoblinger er ofte basert på API- eller agentsamlinger, og er derfor ikke knyttet til en bestemt Microsoft Entra tenant.
Bruk Azure Lighthouse til å administrere flere Microsoft Sentinel forekomster i forskjellige tenants.u
Microsoft Sentinel arkitektur for flere arbeidsområder
Som antydet av kravene ovenfor, er det tilfeller der én enkelt SOC må administrere og overvåke flere Log Analytics-arbeidsområder som er aktivert for Microsoft Sentinel, potensielt på tvers av Microsoft Entra leiere.
- En MSSP-Microsoft Sentinel-tjeneste.
- En global SOC som betjener flere datterselskaper, som hver har sin egen lokale SOC.
- En SOC som overvåker flere Microsoft Entra leiere i en organisasjon.
For å løse disse tilfellene tilbyr Microsoft Sentinel funksjoner for flere arbeidsområder som muliggjør sentral overvåking, konfigurasjon og administrasjon, noe som gir én enkelt glassrute på tvers av alt som dekkes av SOC. Dette diagrammet viser en eksempelarkitektur for slike brukstilfeller.
Denne modellen gir betydelige fordeler i forhold til en fullstendig sentralisert modell der alle dataene kopieres til ett enkelt arbeidsområde:
- Fleksibel rolletilordning til globale og lokale SOCer, eller til MSSP sine kunder.
- Færre utfordringer med hensyn til dataeierskap, datapersonvern og forskriftssamsvar.
- Minimal nettverksventetid og kostnader.
- Enkel pålasting og offboarding av nye datterselskaper eller kunder.
Neste trinn
I denne artikkelen lærte du hvordan Microsoft Sentinel kan utvides på tvers av flere arbeidsområder og leiere.