Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ważne
Usługa Microsoft Sentinel jest ogólnie dostępna w portalu Microsoft Defender, w tym dla klientów bez licencji XDR usługi Microsoft Defender lub E5.
Począwszy od lipca 2026 r., wszyscy klienci korzystający z usługi Microsoft Sentinel w witrynie Azure Portal zostaną przekierowani do portalu usługi Defender i będą używać usługi Microsoft Sentinel tylko w portalu usługi Defender. Od lipca 2025 r. wielu nowych klientów jest automatycznie dołączanych i przekierowywanych do portalu usługi Defender.
Jeśli nadal używasz usługi Microsoft Sentinel w witrynie Azure Portal, zalecamy rozpoczęcie planowania przejścia do portalu usługi Defender w celu zapewnienia bezproblemowego przejścia i pełnego wykorzystania ujednoliconego środowiska operacji zabezpieczeń oferowanego przez usługę Microsoft Defender. Aby uzyskać więcej informacji, zobacz It's Time to Move: Retiring Microsoft Sentinel's Azure Portal for greater security (Przenoszenie: wycofywanie witryny Azure Portal usługi Microsoft Sentinel w celu zwiększenia bezpieczeństwa).
Aby przygotować się do wdrożenia, należy określić, czy dla danego środowiska jest odpowiednia architektura wielu obszarów roboczych. Z tego artykułu dowiesz się, jak Microsoft Sentinel może rozciągać się na wiele obszarów roboczych i dzierżaw, aby umożliwić sprawdzenie, czy ta funkcja odpowiada potrzebom organizacji. Ten artykuł jest częścią przewodnika wdrażania usługi Microsoft Sentinel.
Użyj jednego z następujących zestawów instrukcji konfiguracji, w zależności od tego, którego portalu używasz do rozszerzania usługi Microsoft Sentinel między obszarami roboczymi:
Konieczność korzystania z wielu obszarów roboczych
Podczas dołączania usługi Microsoft Sentinel pierwszym krokiem jest wybranie obszaru roboczego usługi Log Analytics. Chociaż możesz uzyskać pełną korzyść z korzystania z usługi Microsoft Sentinel w jednym obszarze roboczym, w niektórych przypadkach możesz rozszerzyć obszar roboczy w celu wykonywania zapytań i analizowania danych między obszarami roboczymi i dzierżawami.
W tej tabeli wymieniono niektóre z tych scenariuszy i, jeśli to możliwe, sugeruje, jak można użyć jednego obszaru roboczego w scenariuszu.
| Wymaganie | opis | Sposoby zmniejszania liczby obszarów roboczych |
|---|---|---|
| Niezależność i zgodność z przepisami | Obszar roboczy jest powiązany z określonym regionem. Aby zachować dane w różnych lokalizacjach geograficznych platformy Azure w celu spełnienia wymagań prawnych, podziel dane na oddzielne obszary robocze. W usłudze Microsoft Sentinel dane są głównie przechowywane i przetwarzane w tej samej lokalizacji geograficznej lub regionie, z pewnymi wyjątkami, takimi jak w przypadku korzystania z reguł wykrywania korzystających z uczenia maszynowego firmy Microsoft. W takich przypadkach dane mogą być kopiowane poza obszarem geograficznym obszaru roboczego na potrzeby przetwarzania. |
|
| Własność danych | Granice własności danych, na przykład przez spółki zależne lub powiązane firmy, są lepiej rozdzielone przy użyciu oddzielnych obszarów roboczych. | |
| Wiele dzierżaw platformy Azure | Usługa Microsoft Sentinel obsługuje zbieranie danych z zasobów Microsoft i Azure SaaS tylko w ramach własnego obszaru dzierżawy Microsoft Entra. W związku z tym każda dzierżawa Microsoft Entra wymaga oddzielnego obszaru roboczego. | |
| Szczegółowa kontrola dostępu do danych | Organizacja może potrzebować zezwolić różnym grupom, zarówno wewnątrz, jak i na zewnątrz organizacji, na dostęp do niektórych danych zebranych przez Microsoft Sentinel. Na przykład:
|
Użyj Azure RBAC na poziomie zasobu lub Azure RBAC na poziomie tabeli |
| Granularne ustawienia przechowywania | Historycznie wiele obszarów roboczych było jedynym sposobem ustawiania różnych okresów przechowywania dla różnych typów danych. Nie jest to już potrzebne w wielu przypadkach dzięki wprowadzeniu ustawień przechowywania na poziomie tabeli. | Używanie ustawień przechowywania na poziomie tabeli lub automatyzowanie usuwania danych |
| Dzielenie rozliczeń | Umieszczając obszary robocze w oddzielnych subskrypcjach, mogą być rozliczane dla różnych stron. | Raportowanie użycia i naliczanie krzyżowe |
| Starsza architektura | Korzystanie z wielu obszarów roboczych może wynikać z projektu historycznego, który uwzględnia ograniczenia lub najlepsze rozwiązania, które nie są już prawdziwe. Może to być również dowolny wybór projektu, który można zmodyfikować, aby lepiej pomieścić usługę Microsoft Sentinel. Oto kilka przykładów:
|
Zmiana architektury obszarów roboczych |
Podczas określania liczby dzierżaw i obszarów roboczych do użycia należy wziąć pod uwagę, że większość funkcji Microsoft Sentinel działa przy użyciu jednego obszaru roboczego lub instancji Microsoft Sentinel, a Microsoft Sentinel przetwarza wszystkie dzienniki zawarte w obszarze roboczym.
Zarządzany dostawca usług zabezpieczeń (MSSP)
W przypadku MSSP wiele, jeśli nie wszystkie powyższe wymagania mają zastosowanie, co sprawia, że użycie wielu obszarów roboczych w różnych dzierżawach jest najlepszym rozwiązaniem. W szczególności zalecamy utworzenie co najmniej jednego obszaru roboczego dla każdej dzierżawy Microsoft Entra, aby zapewnić obsługę wbudowanych łączników danych serwis do serwisu, które działają tylko w ramach własnej dzierżawy Microsoft Entra.
Łączniki oparte na ustawieniach diagnostycznych nie mogą być połączone z obszarem roboczym, który nie jest zlokalizowany w tej samej dzierżawie, w której znajduje się zasób. Dotyczy to łączników, takich jak Azure Firewall, Azure Storage, Azure Activity lub Microsoft Entra ID.
Łączniki danych partnerów są często oparte na kolekcjach interfejsów API lub agentów, dlatego nie są przypisane do określonej dzierżawy Microsoft Entra.
Używanie usługi Azure Lighthouse do zarządzania wieloma wystąpieniami usługi Microsoft Sentinel w różnych dzierżawach.u
Architektura wielu obszarów roboczych usługi Microsoft Sentinel
Zgodnie z powyższymi wymaganiami istnieją przypadki, w których pojedyncza usługa SOC musi centralnie zarządzać wieloma obszarami roboczymi usługi Log Analytics włączonymi dla usługi Microsoft Sentinel i monitorować je potencjalnie w dzierżawach firmy Microsoft Entra.
- Usługa Microsoft Sentinel w programie MSSP.
- Globalne Centrum Operacji Bezpieczeństwa obsługujące wiele spółek zależnych, z których każda ma własne lokalne Centrum Operacji Bezpieczeństwa.
- Centrum Operacji Bezpieczeństwa monitorujące wielu dzierżawców Microsoft Entra w organizacji.
Aby rozwiązać te przypadki, usługa Microsoft Sentinel oferuje funkcjonalność zarządzania wieloma obszarami roboczymi, które umożliwiają centralne monitorowanie, konfigurację i zarządzanie, zapewniając jeden spójny widok we wszystkich elementach objętych SOC. Ten diagram przedstawia przykładową architekturę dla takich przypadków użycia.
Ten model oferuje znaczne korzyści w stosunku do w pełni scentralizowanego modelu, w którym wszystkie dane są kopiowane do jednego obszaru roboczego:
- Elastyczne przypisanie ról do globalnych i lokalnych centrów operacyjnych bezpieczeństwa lub do dostawcy zarządzanych usług bezpieczeństwa swoim klientom.
- Mniej wyzwań związanych z własnością danych, prywatnością danych i zgodnością z przepisami.
- Minimalne opóźnienia sieci i koszty.
- Łatwe dołączanie i odłączanie nowych spółek zależnych lub klientów.
Następne kroki
W tym artykule dowiesz się, jak usługa Microsoft Sentinel może rozszerzać się na wiele obszarów roboczych i dzierżawców.