Eksempel på utforming av log analytics-arbeidsområder for Microsoft Sentinel

Denne artikkelen beskriver foreslåtte utforminger av log analytics-arbeidsområder for organisasjoner med følgende eksempelkrav:

  • Flere leiere og områder, med europeiske krav til datasuverenitet
  • Én leier med flere skyer
  • Flere leiere, med flere områder og sentralisert sikkerhet

Hvis du vil ha mer informasjon, kan du se Utforme en arbeidsområdearkitektur for log analytics.

Denne artikkelen er en del av distribusjonsveiledningen for Microsoft Sentinel.

Eksempel 1: Flere leiere og områder

Contoso Corporation er en multinasjonal virksomhet med hovedkontor i London. Contoso har kontorer over hele verden, med viktige knutepunkter i New York City og Tokyo. Contoso har nylig overført produktivitetspakken sin til Office 365, med mange arbeidsbelastninger overført til Azure.

Contoso-leiere

På grunn av et oppkjøp for flere år siden har Contoso to Microsoft Entra leiere: contoso.onmicrosoft.com og wingtip.onmicrosoft.com. Hver leier har sin egen Office 365 forekomst og flere Azure abonnementer, som vist i illustrasjonen nedenfor:

Diagram over Contoso-leiere, hver med separate sett med abonnementer.

Contoso-samsvar og regional distribusjon

Contoso har for øyeblikket Azure ressurser driftet i tre forskjellige områder: USA, øst, EU nord og Vest-Japan, og strenge krav for å holde alle data generert i Europa i Europa-områder.

Begge Contosos Microsoft Entra leiere har ressurser i alle tre områdene: USA, øst, EU, nord og Vest-Japan

Contosos ressurstyper og krav til samling

Contoso må samle inn hendelser fra følgende datakilder:

  • Office 365
  • Microsoft Entra påloggings- og overvåkingslogger
  • Azure aktivitet
  • Windows Sikkerhet Events fra både lokale og Azure VM-kilder
  • Syslog, fra både lokale og Azure VM-kilder
  • CEF, fra flere lokale nettverksenheter, for eksempel Palo Alto, Cisco ASA og Cisco Meraki
  • Flere Azure PaaS-ressurser, for eksempel Azure Firewall, AKS, Key Vault, Azure Storage og Azure SQL
  • Cisco Umbrella

Azure VM-er befinner seg for det meste i EUs nordområde, med bare noen få i USA, øst og vest i Japan. Contoso bruker Microsoft Defender for servere på alle sine Azure VM-er.

Contoso forventer å ta inn rundt 300 GB/dag fra alle datakildene.

Tilgangskrav for Contoso

Contosos Azure miljø har allerede ett enkelt eksisterende Log Analytics-arbeidsområde som brukes av operasjonsteamet til å overvåke infrastrukturen. Dette arbeidsområdet befinner seg i Contoso Microsoft Entra tenant, innenfor området nord i EU, og brukes til å samle inn logger fra Azure vm-er i alle områder. De inntar for øyeblikket rundt 50 GB/dag.

Contoso-operasjonsteamet må ha tilgang til alle loggene de har i arbeidsområdet, som inkluderer flere datatyper som ikke kreves av SOC, for eksempel Perf, InsightsMetrics, ContainerLog og mer. Operasjonsgruppen kan ikke ha tilgang til de nye loggene som samles inn i Microsoft Sentinel.

Contosos løsning

Constosos løsning inkluderer følgende vurderinger:

  • Contoso har allerede et eksisterende arbeidsområde, og de vil utforske aktivering av Microsoft Sentinel i det samme arbeidsområdet.
  • Contoso har forskriftsmessige krav, så vi trenger minst ett Log Analytics-arbeidsområde aktivert for Microsoft Sentinel i Europa.
  • De fleste virtuelle maskinene i Contoso er området nord i EU, der de allerede har et arbeidsområde. Derfor, i dette tilfellet, båndbredde kostnader er ikke en bekymring.
  • Contoso har to forskjellige Microsoft Entra tenanter, og samler inn fra datakilder på leiernivå, for eksempel Office 365 og Microsoft Entra påloggings- og overvåkingslogger, og vi trenger minst ett arbeidsområde per leier.
  • Contoso trenger å samle inn ikke-SOC-data, selv om det ikke er noen overlapping mellom SOC- og ikke-SOC-data. SOC-data står også for omtrent 250 GB/dag, så de bør bruke separate arbeidsområder på grunn av kostnadseffektivitet.
  • Contoso har ett enkelt SOC-team som skal bruke Microsoft Sentinel, så ingen ekstra fordeling er nødvendig.
  • Alle medlemmer av Contosos SOC-team har tilgang til alle dataene, så ingen ekstra fordeling er nødvendig.

Den resulterende utformingen av arbeidsområdet for Contoso er illustrert i følgende bilde:

Diagram over Contosos løsning, med et eget arbeidsområde for Ops-teamet.

Den foreslåtte løsningen inkluderer:

  • Et separat Log Analytics-arbeidsområde for Contoso Operations-teamet. Dette arbeidsområdet inneholder bare data som ikke kreves av Contosos SOC-team, for eksempel Perf-, InsightsMetrics- eller ContainerLog-tabellene .
  • To Log Analytics-arbeidsområder som er aktivert for Microsoft Sentinel, én i hver Microsoft Entra tenant, for å ta inn data fra Office 365, Azure aktivitet, Microsoft Entra ID og alle Azure PaaS-tjenester.
  • Alle andre data, som kommer fra lokale datakilder, kan rutes til ett av de to arbeidsområdene.

Eksempel 2: Én leier med flere skyer

Fabrikam er en organisasjon med hovedkontor i New York City og kontorer over hele USA. Fabrikam starter skyreisen, og trenger fremdeles å distribuere sin første Azure landingssone og overføre sine første arbeidsbelastninger. Fabrikam har allerede noen arbeidsbelastninger på AWS, som de har tenkt å overvåke ved hjelp av Microsoft Sentinel.

Krav til Fabrikam-leier

Fabrikam har én enkelt Microsoft Entra tenant.

Fabrikam-samsvar og regional distribusjon

Fabrikam har ingen samsvarskrav. Fabrikam har ressurser i flere Azure områder i USA, men båndbreddekostnader på tvers av områder er ikke noe problem.

Fabrikam-ressurstyper og krav til innsamling

Fabrikam må samle inn hendelser fra følgende datakilder:

  • Microsoft Entra påloggings- og overvåkingslogger
  • Azure aktivitet
  • Sikkerhetshendelser fra både lokale og Azure VM-kilder
  • Windows-hendelser fra både lokale og Azure VM-kilder
  • Ytelsesdata fra både lokale og Azure VM-kilder
  • AWS CloudTrail
  • AKS-overvåkings- og ytelseslogger

Fabrikam-tilgangskrav

Fabrikam Operations-teamet må få tilgang til:

  • Sikkerhetshendelser og Windows-hendelser fra både lokale og Azure VM-kilder
  • Ytelsesdata fra både lokale og Azure VM-kilder
  • AKS-ytelse (Container Insights) og overvåkingslogger
  • Alle Azure aktivitetsdata

Fabrikam SOC-teamet må få tilgang til:

  • Microsoft Entra påloggings- og overvåkingslogger
  • Alle Azure aktivitetsdata
  • Sikkerhetshendelser fra både lokale og Azure VM-kilder
  • AWS CloudTrail-logger
  • AKS-overvåkingslogger
  • Hele Microsoft Sentinel-portalen

Fabrikams løsning

Fabrikams løsning omfatter følgende vurderinger:

  • Fabrikam har ikke noe eksisterende arbeidsområde, så de trenger automatisk et nytt arbeidsområde.

  • Fabrikam har ingen forskriftsmessige krav som krever at de holder data atskilt.

  • Fabrikam har et miljø med én leier, og trenger ikke separate arbeidsområder per leier.

  • Fabrikam trenger imidlertid separate arbeidsområder for soc- og operasjonsteamene sine.

    Fabrikam Operations-teamet må samle inn ytelsesdata, både fra virtuelle maskiner og AKS. Siden AKS er basert på diagnoseinnstillinger, kan de velge bestemte logger som skal sendes til bestemte arbeidsområder. Fabrikam kan velge å sende AKS-overvåkingslogger til Log Analytics-arbeidsområdet som er aktivert for Microsoft Sentinel, og alle AKS-logger til et eget arbeidsområde, der Microsoft Sentinel ikke er aktivert. Fabrikam aktiverer containerinnsiktsløsningen i arbeidsområdet der Microsoft Sentinel ikke er aktivert.

    For virtuelle Windows-maskiner kan Fabrikam bruke Azure Overvåkingsagent (AMA) til å dele loggene, sende sikkerhetshendelser til arbeidsområdet og ytelse og Windows-hendelser til arbeidsområdet uten Microsoft Sentinel.

    Fabrikam velger å vurdere overlappende data, for eksempel sikkerhetshendelser og Azure aktivitetshendelser, bare som SOC-data, og sender disse dataene til arbeidsområdet med Microsoft Sentinel.

  • Fabrikam må kontrollere tilgang for overlappende data, inkludert sikkerhetshendelser og Azure aktivitetshendelser, men det er ingen krav på radnivå. Siden sikkerhetshendelser og Azure aktivitetshendelser ikke er egendefinerte logger, kan Fabrikam bruke RBAC på tabellnivå til å gi tilgang til disse to tabellene for operasjonsteamet.

Den resulterende utformingen av arbeidsområdet for Fabrikam er illustrert i bildet nedenfor, inkludert bare viktige loggkilder for enkelhets skyld:

Diagram over Fabrikams løsning, med et eget arbeidsområde for Ops-teamet.

Den foreslåtte løsningen inkluderer:

  • To separate arbeidsområder i det amerikanske området: ett for SOC-teamet med Microsoft Sentinel aktivert, og et annet for operasjonsteamet, uten Microsoft Sentinel.
  • Den Azure overvåkingsagenten (AMA), som brukes til å bestemme hvilke logger som sendes til hvert arbeidsområde fra Azure og lokale virtuelle maskiner.
  • Diagnoseinnstillinger som brukes til å bestemme hvilke logger som sendes til hvert arbeidsområde fra Azure ressurser, for eksempel AKS.
  • Overlappende data som sendes til Log Analytics-arbeidsområdet aktivert for Microsoft Sentinel, med RBAC på tabellnivå for å gi tilgang til operasjonsteamet etter behov.

Eksempel 3: Flere leiere og områder og sentralisert sikkerhet

Adventure Works er et multinasjonalt selskap med hovedkontor i Tokyo. Adventure Works har 10 forskjellige underenheter, basert i forskjellige land/områder rundt om i verden.

Adventure Works er Microsoft 365 E5 kunde og har allerede arbeidsbelastninger i Azure.

Leierkrav for Adventure Works

Adventure Works har tre forskjellige Microsoft Entra leiere, én for hvert av kontinentene der de har underenheter: Asia, Europa og Afrika. De ulike underenheters land/regioner har sine identiteter i leieren til kontinentet de tilhører. Japanske brukere er for eksempel i Asia-leieren , tyske brukere er i Europa-leieren og egyptiske brukere er i Afrika-leieren .

Adventure Works samsvar og regionale krav

Adventure Works bruker for øyeblikket tre Azure områder, hver på linje med kontinentet der delenheter befinner seg. Adventure Works har ikke strenge krav til forskriftssamsvar.

Adventure Works ressurstyper og krav til innsamling

Adventure Works må samle inn følgende datakilder for hver underenhet:

  • Microsoft Entra påloggings- og overvåkingslogger
  • Office 365 logger
  • Microsoft Defender XDR for rålogger for endepunkt
  • Azure aktivitet
  • Microsoft Defender for skyen
  • Azure PaaS-ressurser, for eksempel fra Azure Firewall, Azure Storage, Azure SQL og Azure WAF
  • Sikkerhet og windows-hendelser fra Azure VM-er
  • CEF-logger fra lokale nettverksenheter

Azure VM-er er spredt over de tre kontinentene, men båndbreddekostnader er ikke et problem.

Tilgangskrav for Adventure Works

Adventure Works har ett enkelt, sentralisert SOC-team som fører tilsyn med sikkerhetsoperasjoner for alle de forskjellige underenhetene.

Adventure Works har også tre uavhengige SOC-team, ett for hvert av kontinentene. Soc-teamet på hvert kontinent skal bare kunne få tilgang til dataene som genereres i sitt område, uten å se data fra andre kontinenter. Asia SOC-teamet bør for eksempel bare få tilgang til data fra Azure ressurser som er distribuert i Asia, Microsoft Entra pålogginger fra Asia-leieren, og Defender for endepunktlogger fra asialeieren.

Soc-teamet på hvert kontinent må ha tilgang til den fullstendige Microsoft Sentinel portalopplevelsen.

Adventure Works' driftsteam kjører uavhengig, og har sine egne arbeidsområder uten Microsoft Sentinel.

Adventure Works-løsning

Adventure Works-løsningen inkluderer følgende vurderinger:

  • Adventure Works' driftsteam har allerede sine egne arbeidsområder, så det er ikke nødvendig å opprette en ny.

  • Adventure Works har ingen forskriftsmessige krav som krever at de holder data atskilt.

  • Adventure Works har tre Microsoft Entra leiere og må samle inn datakilder på leiernivå, for eksempel Office 365 logger. Derfor bør Adventure Works opprette minst ett Log Analytics-arbeidsområde som er aktivert for Microsoft Sentinel i hver leier.

  • Selv om alle data som vurderes i denne beslutningen, brukes av Adventure Works SOC-teamet, må de skille data etter eierskap, da hvert SOC-team bare trenger tilgang til data som er relevante for dette teamet. Hvert SOC-team trenger også tilgang til hele Microsoft Sentinel-portalen. Adventure Works trenger ikke å kontrollere datatilgang etter tabell.

Den resulterende utformingen av arbeidsområdet for Adventure Works er illustrert i bildet nedenfor, inkludert bare viktige loggkilder for enkelhets skyld i utformingen:

Diagram over adventure works løsning, med separate arbeidsområder for hver Azure AD leier.

Den foreslåtte løsningen inkluderer:

  • Et separat Log Analytics-arbeidsområde aktivert for Microsoft Sentinel for hver Microsoft Entra leier. Hvert arbeidsområde samler inn data relatert til leieren for alle datakilder.
  • Soc-teamet på hvert kontinent har bare tilgang til arbeidsområdet i sin egen leier, slik at bare logger som genereres innenfor leiergrensen, er tilgjengelige for hvert SOC-team.
  • Det sentrale SOC-teamet kan fortsatt operere fra en egen Microsoft Entra tenant, ved hjelp av Azure Lighthouse for å få tilgang til hvert av de forskjellige Microsoft Sentinel miljøene. Hvis det ikke finnes noen annen leier, kan det sentrale SOC-teamet fortsatt bruke Azure Lighthouse til å få tilgang til de eksterne arbeidsområdene.
  • Det sentrale SOC-teamet kan også opprette et annet arbeidsområde hvis det er behov for å lagre artefakter som forblir skjult fra soc-teamene på kontinentet, eller hvis de ønsker å ta inn andre data som ikke er relevante for soc-teamene på kontinentet.

Neste trinn

I denne artikkelen har du gjennomgått et sett med foreslåtte utforminger av arbeidsområder for organisasjoner.

Klargjøre for flere arbeidsområder

  • Last updated on