Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Belangrijk
Na 31 maart 2027 worden Microsoft Sentinel niet meer ondersteund in de Azure Portal en zijn ze alleen beschikbaar in de Microsoft Defender portal. Alle klanten die Microsoft Sentinel in de Azure Portal gebruiken, worden omgeleid naar de Defender-portal en gebruiken alleen Microsoft Sentinel in de Defender-portal.
Als u nog steeds Microsoft Sentinel in de Azure Portal gebruikt, wordt u aangeraden uw overgang naar de Defender-portal te plannen om een soepele overgang te garanderen en optimaal te profiteren van de geïntegreerde beveiligingsbewerkingen die door Microsoft Defender worden geboden.
Ter voorbereiding op uw implementatie moet u bepalen of een architectuur met meerdere werkruimten relevant is voor uw omgeving. In dit artikel leert u hoe Microsoft Sentinel zich kunt uitbreiden naar meerdere werkruimten en tenants, zodat u kunt bepalen of deze mogelijkheid aansluit bij de behoeften van uw organisatie. Dit artikel maakt deel uit van de implementatiehandleiding voor Microsoft Sentinel.
Gebruik een van de volgende sets installatie-instructies, afhankelijk van de portal die u gebruikt om Microsoft Sentinel uit te breiden tussen werkruimten:
| Portal | Verwijzingen |
|---|---|
| Microsoft Defender-portal |
-
Meerdere Microsoft Sentinel werkruimten in de Defender-portal - Microsoft Defender multitenantbeheer |
| Azure Portal |
-
Microsoft Sentinel uitbreiden voor werkruimten en tenants - Meerdere Log Analytics-werkruimten centraal beheren die zijn ingeschakeld voor Microsoft Sentinel met werkruimtebeheer |
De noodzaak om meerdere werkruimten te gebruiken
Wanneer u Microsoft Sentinel onboardt, moet u eerst uw Log Analytics-werkruimte selecteren. Hoewel u optimaal kunt profiteren van de Microsoft Sentinel ervaring met één werkruimte, kunt u in sommige gevallen uw werkruimte uitbreiden om uw gegevens in werkruimten en tenants op te vragen en te analyseren.
In deze tabel worden enkele van deze scenario's vermeld en wordt, indien mogelijk, voorgesteld hoe u één werkruimte voor het scenario kunt gebruiken.
| Vereiste | Omschrijving | Manieren om het aantal werkruimten te verminderen |
|---|---|---|
| Soevereiniteit en naleving van regelgeving | Een werkruimte is gekoppeld aan een specifieke regio. Als u gegevens in verschillende Azure geografische gebieden wilt bewaren om te voldoen aan wettelijke vereisten, splitst u de gegevens op in afzonderlijke werkruimten. In Microsoft Sentinel worden gegevens meestal opgeslagen en verwerkt in dezelfde geografie of regio, met enkele uitzonderingen, zoals bij het gebruik van detectieregels die gebruikmaken van Machine Learning van Microsoft. In dergelijke gevallen kunnen gegevens worden gekopieerd buiten de geografie van uw werkruimte voor verwerking. |
|
| Eigendom van gegevens | De grenzen van het eigendom van gegevens, bijvoorbeeld door dochterondernemingen of gelieerde bedrijven, worden beter afgebakend met behulp van afzonderlijke werkruimten. | |
| Meerdere Azure tenants | Microsoft Sentinel ondersteunt het verzamelen van gegevens van Microsoft en Azure SaaS-resources alleen binnen de eigen Microsoft Entra tenantgrens. Daarom is voor elke Microsoft Entra tenant een afzonderlijke werkruimte vereist. | |
| Gedetailleerd toegangsbeheer voor gegevens | Een organisatie moet mogelijk verschillende groepen, binnen of buiten de organisatie, toegang geven tot bepaalde gegevens die door Microsoft Sentinel worden verzameld. Bijvoorbeeld:
|
Resource Azure RBAC of tabelniveau gebruiken Azure RBAC |
| Gedetailleerde bewaarinstellingen | In het verleden waren meerdere werkruimten de enige manier om verschillende bewaarperioden in te stellen voor verschillende gegevenstypen. Dit is in veel gevallen niet meer nodig, dankzij de introductie van bewaarinstellingen op tabelniveau. | Bewaarinstellingen op tabelniveau gebruiken of gegevensverwijdering automatiseren |
| Gesplitste facturering | Door werkruimten in afzonderlijke abonnementen te plaatsen, kunnen ze worden gefactureerd aan verschillende partijen. | Gebruiksrapportage en kruislings opladen |
| Verouderde architectuur | Het gebruik van meerdere werkruimten kan het gevolg zijn van een historisch ontwerp waarin rekening is gehouden met beperkingen of aanbevolen procedures die niet meer gelden. Het kan ook een willekeurige ontwerpkeuze zijn die kan worden aangepast aan Microsoft Sentinel. Voorbeelden zijn:
|
Werkruimten opnieuw ontwerpen |
Houd er bij het bepalen van het aantal tenants en werkruimten rekening mee dat de meeste Microsoft Sentinel functies werken met behulp van één werkruimte of Microsoft Sentinel exemplaar en dat Microsoft Sentinel alle logboeken in de werkruimte opneemt.
Managed Security Service Provider (MSSP)
In het geval van een MSSP zijn veel, zo niet alle van de bovenstaande vereisten van toepassing, waardoor meerdere werkruimten, tussen tenants, de best practice zijn. We raden u met name aan ten minste één werkruimte te maken voor elke Microsoft Entra tenant ter ondersteuning van ingebouwde, service-naar-servicegegevensconnectors die alleen binnen hun eigen Microsoft Entra tenant werken.
Connectors die zijn gebaseerd op diagnostische instellingen, kunnen niet worden verbonden met een werkruimte die zich niet in dezelfde tenant bevindt als waarin de resource zich bevindt. Dit geldt voor connectors zoals Azure Firewall, Azure Storage, Azure Activity of Microsoft Entra ID.
Partnergegevensconnectors zijn vaak gebaseerd op API- of agentverzamelingen en zijn daarom niet gekoppeld aan een specifieke Microsoft Entra tenant.
Gebruik Azure Lighthouse om meerdere Microsoft Sentinel exemplaren in verschillende tenants.u te beheren
Microsoft Sentinel architectuur voor meerdere werkruimten
Zoals geïmpliceerd door de bovenstaande vereisten, zijn er gevallen waarin één SOC centraal meerdere Log Analytics-werkruimten moet beheren en bewaken die zijn ingeschakeld voor Microsoft Sentinel, mogelijk tussen Microsoft Entra tenants.
- Een MSSP Microsoft Sentinel Service.
- Een wereldwijde SOC voor meerdere dochterondernemingen, elk met een eigen lokale SOC.
- Een SOC die meerdere Microsoft Entra tenants binnen een organisatie bewaakt.
Om deze gevallen aan te pakken, biedt Microsoft Sentinel mogelijkheden voor meerdere werkruimten die centrale bewaking, configuratie en beheer mogelijk maken, en één glasvenster bieden voor alles wat wordt gedekt door de SOC. In dit diagram ziet u een voorbeeldarchitectuur voor dergelijke use cases.
Dit model biedt aanzienlijke voordelen ten opzichte van een volledig gecentraliseerd model waarin alle gegevens naar één werkruimte worden gekopieerd:
- Flexibele roltoewijzing aan de globale en lokale SOC's, of aan de MSSP-klanten.
- Minder uitdagingen met betrekking tot eigendom van gegevens, gegevensprivacy en naleving van regelgeving.
- Minimale netwerklatentie en kosten.
- Eenvoudige onboarding en offboarding van nieuwe dochterondernemingen of klanten.
Volgende stappen
In dit artikel hebt u geleerd hoe Microsoft Sentinel zich kunt uitbreiden naar meerdere werkruimten en tenants.