這很重要
Microsoft Sentinel 已在 Microsoft Defender 入口網站中正式推出,包括沒有 Microsoft Defender XDR 或 E5 授權的客戶。
從 2026 年 7 月開始,所有在 Azure 入口網站中使用 Microsoft Sentinel 的客戶都會重新導向至 Defender 入口網站,且只會在 Defender 入口網站中使用 Microsoft Sentinel。 從 2025 年 7 月開始,許多新客戶 會自動上線並重新導向至 Defender 入口網站。
如果您仍在 Azure 入口網站中使用 Microsoft Sentinel,建議您開始規劃 轉換至 Defender 入口網站 ,以確保順利轉換,並充分利用 Microsoft Defender 所提供的統一安全性作業體驗。 如需詳細資訊,請參閱 移轉時間:Microsoft 淘汰 Sentinel 的 Azure 入口網站,以取得更高的安全性。
若要為部署做好準備,您必須判斷多工作區結構是否與您的環境相關。 在本文中,您會了解 Microsoft Sentinel 如何跨多個工作區和租用戶擴充,以便判斷這項功能是否符合貴組織的需求。 本文是 Microsoft Sentinel 部署指南的一部分。
根據您用來跨工作區擴充Microsoft Sentinel 的入口網站,使用下列其中一組設定指示:
| Portal | 參考資料 |
|---|---|
| Microsoft Defender 入口網站 | - Defender 入口網站中的多個Microsoft Sentinel 工作區 - Microsoft Defender 多租戶管理 |
| Azure 入口網站 | - 跨工作區和租用戶擴充Microsoft Sentinel - 使用工作區管理員集中管理已啟用Microsoft Sentinel 的多個Log Analytics工作區 |
需要使用多個工作區
當您將 Microsoft Sentinel 上線時,您的第一個步驟是選取 Log Analytics 工作區。 雖然您可以使用單一工作區獲得 Microsoft Sentinel 體驗的完整優點,但在某些情況下,您可能想要擴充工作區來查詢和分析工作區和租用戶的資料。
下表列出其中一些案例,並在可能的情況下建議您如何將單一工作區用於該案例。
| 需求 | 描述 | 減少工作區計數的方式 |
|---|---|---|
| 主權和法規合規性 | 工作區會繫結至特定區域。 若要將資料保留在不同的 Azure 地理位置以滿足法規需求,請將資料分割成不同的工作區。 在 Microsoft Sentinel 中,資料大多會儲存在相同的地理位置或區域中以進行處理,但也有一些例外狀況,例如在使用運用 Microsoft 機器學習的偵測規則的時候。 在這種情況下,資料可能會被複製到工作區地理位置之外以進行處理。 |
|
| 資料擁有權 | 使用個別的工作區,可更精確地描繪資料擁有權的界限 (例如由子公司或相關公司所擁有)。 | |
| 多個 Azure 租用戶 | Microsoft Sentinel 僅在自己的 Microsoft Entra 租用戶界限內,才支援從 Microsoft 和 Azure SaaS 資源的資料收集。 因此,每個 Microsoft Entra 租用戶都需要個別的工作區。 | |
| 細微資料存取控制 | 組織可能需要允許組織內部或外部不同群組存取 Microsoft Sentinel 所收集的部分資料。 例如:
|
使用資源 Azure RBAC 或資料表層級 Azure RBAC |
| 細微保留設定 | 在過去,多個工作區是針對不同資料類型設定不同保留期間的唯一方式。 這在許多情況下已不再需要,因為引進了資料表層級保留設定。 | 使用資料表層級保留設定或自動資料刪除 |
| 分開計費 | 將工作區放在個別的訂用帳戶中,即可將帳單寄給不同的當事人。 | 使用量報告和交叉收費 |
| 舊版結構 | 多個工作區的使用,可能是因為過去設計所考慮的限制和最佳做法不再適用所造成。 這也可能是任意設計的選擇,可以修改以進一步配合 Microsoft Sentinel。 範例包括:
|
重新架構工作區 |
在決定要使用的租用戶和工作區數目時,請考量大部分 Microsoft Sentinel 功能運作時只會使用一個工作區或 Microsoft Sentinel 執行個體,而 Microsoft Sentinel 會擷取工作區內儲存的所有記錄。
受控安全性服務提供者 (MSSP)
在 MSSP 的案例中,如果上述需求並非全都適用,最佳做法是跨租用戶設定多個工作區。 具體而言,建議您為每個 Microsoft Entra 租用戶建立至少一個工作區,以支援內建、服務對服務資料連接器,該連接器只能在自己的Microsoft Entra 租用戶內運作。
以診斷設定為基礎的連接器無法連線到與資源位在不同租用戶的工作區。 這適用於 Azure 防火牆、Azure 儲存體、Azure 活動或 Microsoft Entra ID 等連接器。
合作夥伴資料連線器通常以 API 或代理程式集為基礎,因此不會連結至特定的 Microsoft Entra 租用戶。
請使用 Azure Lighthouse 來管理不同租用戶中的多個 Microsoft Sentinel 執行個體。
Microsoft Sentinel 多重工作區結構
如上述需求所隱含,在某些情況下需要由單一 SOC 集中監視和管理多個針對 Microsoft Sentinel 啟用的 Log Analytics 工作區,可能跨 Microsoft Entra 租用戶之間。
- MSSP Microsoft Sentinel 服務。
- 為多家各有其當地 SOC 的子公司提供服務的全球 SOC。
- 在組織內監視多個 Microsoft Entra 租用戶的 SOC。
為瞭解決這些案例,Microsoft Sentinel 提供多項工作區功能來進行集中監視、設定和管理,並提供單一窗格,適用於 SOC 涵蓋的所有內容。 下圖顯示這類使用案例的範例架構。
相較於所有資料都會複製到單一工作區的完全集中式模型,此模型的優點更多:
- 彈性角色指派給全域和當地 SOC,或指派給 MSSP 及其客戶。
- 資料擁有權、資料隱私權和法規合規性方面的挑戰較少。
- 最低限度的網路延遲和費用。
- 輕鬆就能讓新的子公司或客戶上線和離線。
後續步驟
在本文中,您已了解 Microsoft Sentinel 如何跨多個工作區和租用戶擴充。