نموذج تصميمات مساحة عمل Log Analytics ل Microsoft Sentinel
توضح هذه المقالة تصميمات مساحة عمل Log Analytics المقترحة للمؤسسات ذات متطلبات العينة التالية:
- مستأجرون ومناطق متعددة، مع متطلبات سيادة البيانات الأوروبية
- مستأجر واحد مع عدة غيوم
- تعدد المستأجرين، مع مناطق متعددة وأمن مركزي
لمزيد من المعلومات، راجع تصميم بنية مساحة عمل Log Analytics.
هذه المقالة هي جزء من دليل النشر ل Microsoft Sentinel.
نموذج 1: تعدد المستأجرين والمناطق
شركة Contoso Corporation هي شركة متعددة الجنسيات يقع مقرها الرئيسي في لندن. تمتلك شركة Contoso مكاتب في جميع أنحاء العالم، ولها مراكز مهمة في مدينة نيويورك وطوكيو. مؤخراً، قامت شركة Contoso بترحيل مجموعة الإنتاجية الخاصة بها إلى Office 365، مع ترحيل العديد من أحمال العمل إلى Azure.
مستأجرو شركة Contoso
بسبب الاستحواذ منذ عدة سنوات، لدى Contoso اثنين من مستأجري Microsoft Entra: contoso.onmicrosoft.com و wingtip.onmicrosoft.com. لكل مستأجر مثيل Office 365 الخاص به واشتراكات Azure المتعددة، كما هو موضح في الصورة التالية:
التوافق مع شركة Contoso والتوزيع الإقليمي
تمتلك شركة Contoso حالياً موارد Azure مستضافة في ثلاث مناطق مختلفة: شرق الولايات المتحدة وشمال أوروبا وغرب اليابان، ومتطلبات صارمة للاحتفاظ بجميع البيانات التي تم إنشاؤها في أوروبا داخل مناطق أوروبا.
لدى كل من مستأجري Microsoft Entra في Contoso موارد في جميع المناطق الثلاث: شرق الولايات المتحدة وشمال الاتحاد الأوروبي وغرب اليابان
أنواع موارد شركة Contoso ومتطلبات المجموعة
تحتاج شركة Contoso إلى جمع الأحداث من مصادر البيانات التالية:
- Office 365
- سجلات تسجيل الدخول والتدقيق في Microsoft Entra
- Azure Activity
- أحداث أمان Windows، من مصادر محلية ومصادر Azure VM
- Syslog، من مصادر محلية وAzure VM
- CEF، من العديد من أجهزة الشبكات المحلية، مثل Palo Alto وCisco ASA وCisco Meraki
- موارد Azure PaaS المتعددة، مثل Azure Firewall وAKS وKey Vault وAzure Storage وAzure SQL
- Cisco Umbrella
توجد أجهزة Azure VM غالباً في منطقة شمال أوروبا، مع وجود عدد قليل منها في شرق الولايات المتحدة وغرب اليابان. تستخدم شركة Contoso Microsoft Defender للخوادم على جميع أجهزة Azure الافتراضية الخاصة بهم.
تتوقع شركة Contoso استيعاب حوالي 300 غيغابايت/يومياً من جميع مصادر البيانات الخاصة بها.
متطلبات الوصول إلى شركة Contoso
تحتوي بيئة Azure في شركة Contoso بالفعل على مساحة عمل واحدة موجودة لتحليلات السجلات يستخدمها فريق العمليات لمراقبة البنية الأساسية. تقع مساحة العمل هذه في مستأجر Contoso Microsoft Entra، داخل منطقة شمال الاتحاد الأوروبي، ويتم استخدامها لجمع السجلات من أجهزة Azure الظاهرية في جميع المناطق. يستوعبون حالياً حوالي 50 غيغابايت في اليوم.
يحتاج فريق عمليات Contoso إلى الوصول إلى جميع السجلات الموجودة لديهم حالياً في مساحة العمل، والتي تتضمن العديد من أنواع البيانات التي لا تحتاجها SOC، مثل Perf وInsightsMetricsو ContainerLog، والمزيد. يجب ألا يكون لدى فريق العمليات حق الوصول إلى السجلات الجديدة التي يتم تجميعها في Microsoft Sentinel.
حل شركة Contoso
يتضمن حل Constoso الاعتبارات التالية:
- لدى Contoso بالفعل مساحة عمل موجودة، ويرغبون في استكشاف تمكين Microsoft Sentinel في نفس مساحة العمل هذه.
- لدى Contoso متطلبات تنظيمية، لذلك نحتاج إلى مساحة عمل Log Analytics واحدة على الأقل ممكنة ل Microsoft Sentinel في أوروبا.
- معظم أجهزة Contoso الظاهرية هي منطقة شمال الاتحاد الأوروبي، حيث لديها بالفعل مساحة عمل. لذلك، في هذه الحالة، لا تشكل تكاليف النطاق الترددي مصدر قلق.
- لدى Contoso مستأجران مختلفان من Microsoft Entra، ويجمع من مصادر البيانات على مستوى المستأجر، مثل Office 365 وسجلات تسجيل الدخول والتدقيق في Microsoft Entra، ونحتاج إلى مساحة عمل واحدة على الأقل لكل مستأجر.
- تحتاج شركة Contoso إلى جمع بيانات غير SOC، على الرغم من عدم وجود أي تداخل بين بيانات SOC وبيانات غير SOC. أيضاً، تمثل بيانات SOC حوالي 250 غيغابايت/يومياً، لذا يجب استخدام مساحات عمل منفصلة من أجل كفاءة التكلفة.
- لدى شركة Contoso فريق SOC واحد يستخدم Microsoft Azure Sentinel، لذلك لا حاجة إلى فصل إضافي.
- سيتمكن جميع أعضاء فريق SOC التابع لشركة Contoso من الوصول إلى جميع البيانات، لذلك لا حاجة إلى فصل إضافي.
يتم توضيح تصميم مساحة العمل الناتجة ل Contoso في الصورة التالية:
الحل المقترح يشمل:
- مساحة عمل منفصلة لتحليلات السجل لفريق عمليات Contoso. ستحتوي مساحة العمل هذه فقط على البيانات التي لا يحتاجها فريق SOC التابع لشركة Contoso، مثل جداول Perfأو InsightsMetricsأو ContainerLog.
- تم تمكين مساحات عمل Log Analytics ل Microsoft Sentinel، واحدة في كل مستأجر Microsoft Entra، لاستيعاب البيانات من Office 365 ونشاط Azure ومعرف Microsoft Entra وجميع خدمات Azure PaaS.
- يمكن توجيه جميع البيانات الأخرى، الواردة من مصادر البيانات المحلية، إلى إحدى مساحات العمل.
العينة 2: مستأجر واحد به عدة غيوم
Fabrikam هي منظمة مقرها في مدينة نيويورك ومكاتبها في جميع أنحاء الولايات المتحدة. بدأت شركة Fabrikam رحلتها على السحابة، ولا تزال بحاجة إلى توزيع منطقة هبوط Azure الأولى وترحيل أحمال العمل الأولى الخاصة بها. لدى Fabrikam بالفعل بعض أحمال العمل على AWS، والتي يعتزمون مراقبتها باستخدام Microsoft Azure Sentinel.
متطلبات الإيجار الخاصة بشركة Fabrikam
لدى Fabrikam مستأجر Microsoft Entra واحد.
الامتثال Fabrikam والتوزيع الإقليمي
شركة Fabrikam ليست لديها متطلبات الامتثال. لدى Fabrikam موارد في العديد من مناطق Azure الموجودة في الولايات المتحدة، ولكن تكاليف النطاق الترددي عبر المناطق ليست مصدر قلق رئيسي.
أنواع موارد الشركة ومتطلبات التجميع
تحتاج شركة Fabrikam إلى جمع الأحداث من مصادر البيانات التالية:
- سجلات تسجيل الدخول والتدقيق في Microsoft Entra
- Azure Activity
- أحداث الأمان، من مصادر محلية ومصادر Azure VM
- أحداث Windows، من مصادر محلية ومصادر Azure VM
- بيانات الأداء، من مصادر محلية ومصادر Azure VM
- AWS CloudTrail
- تدقيق AKS وسجلات الأداء
متطلبات الوصول Fabrikam
يحتاج فريق عمليات Fabrikam إلى الوصول إلى:
- أحداث الأمان وأحداث Windows، من مصادر محلية ومصادر Azure VM
- بيانات الأداء، من مصادر محلية ومصادر Azure VM
- أداء AKS (رؤى الحاوية) وسجلات التدقيق
- جميع بيانات نشاط Azure
يحتاج فريق Fabrikam SOC إلى الوصول إلى:
- سجلات تسجيل الدخول والتدقيق في Microsoft Entra
- جميع بيانات نشاط Azure
- أحداث الأمان، من مصادر محلية ومصادر Azure VM
- سجلات AWS CloudTrail
- سجلات تدقيق AKS
- مدخل Microsoft Azure Sentinel الكاملة
حل فابريكام
يتضمن حل Fabrikam الاعتبارات التالية:
لا تحتوي Fabrikam على مساحة عمل موجودة، لذلك ستحتاج تلقائيا إلى مساحة عمل جديدة.
لا توجد لدى شركة Fabrikam متطلبات تنظيمية تتطلب منهم الاحتفاظ بالبيانات منفصلة.
لدى Fabrikam بيئة مستأجر واحد، ولن تحتاج إلى مساحات عمل منفصلة لكل مستأجر.
ومع ذلك، ستحتاج Fabrikam إلى مساحات عمل منفصلة لفرق SOC والعمليات الخاصة بها.
يحتاج فريق عمليات Fabrikam إلى جمع بيانات الأداء، من كل من VMs وAKS. نظراً لأن AKS يعتمد على إعدادات التشخيص، فيمكنهم تحديد سجلات معينة لإرسالها إلى مساحات عمل محددة. يمكن أن تختار Fabrikam إرسال سجلات تدقيق AKS إلى مساحة عمل Log Analytics الممكنة ل Microsoft Sentinel، وجميع سجلات AKS إلى مساحة عمل منفصلة، حيث لم يتم تمكين Microsoft Sentinel. في مساحة العمل حيث لم يتم تمكين Microsoft Sentinel، ستقوم Fabrikam بتمكين حل Container Insights.
بالنسبة لأجهزة Windows الظاهرية، يمكن لشركة Fabrikam استخدام عامل مراقبة Azure (AMA) لتقسيم السجلات، وإرسال أحداث الأمان إلى مساحة العمل، وأحداث الأداء وWindows إلى مساحة العمل دون Microsoft Sentinel.
تختار شركة Fabrikam اعتبار بياناتها المتداخلة، مثل أحداث الأمان وأحداث نشاط Azure، كبيانات SOC فقط، وترسل هذه البيانات إلى مساحة العمل باستخدام Microsoft Azure Sentinel.
تحتاج Fabrikam إلى التحكم في الوصول إلى البيانات المتداخلة، بما في ذلك أحداث الأمان وأحداث نشاط Azure، ولكن لا يوجد متطلبات على مستوى الصف. نظرا لأن أحداث الأمان وأحداث نشاط Azure ليست سجلات مخصصة، يمكن ل Fabrikam استخدام التحكم في الوصول استنادا إلى الدور على مستوى الجدول لمنح حق الوصول إلى هذين الجدولين لفريق العمليات.
يتم توضيح تصميم مساحة العمل الناتجة ل Fabrikam في الصورة التالية، بما في ذلك مصادر السجل الرئيسية فقط من أجل بساطة التصميم:
الحل المقترح يشمل:
- مساحة عمل منفصلة في منطقة الولايات المتحدة: واحدة لفريق SOC مع تمكين Microsoft Sentinel، وأخرى لفريق العمليات، دون Microsoft Sentinel.
- عامل مراقبة Azure (AMA)، المستخدم لتحديد السجلات التي يتم إرسالها إلى كل مساحة عمل من Azure والأجهزة الظاهرية المحلية.
- إعدادات التشخيص، المستخدمة لتحديد السجلات التي يتم إرسالها إلى كل مساحة عمل من موارد Azure مثل AKS.
- البيانات المتراكبة التي يتم إرسالها إلى مساحة عمل Log Analytics الممكنة ل Microsoft Sentinel، مع التحكم في الوصول استنادا إلى الدور على مستوى الجدول لمنح حق الوصول إلى فريق العمليات حسب الحاجة.
نموذج 3: مستأجرين ومناطق متعددة وأمن مركزي
Adventure Works هي شركة متعددة الجنسيات مقرها في طوكيو. لدى Adventure Works 10 كيانات فرعية مختلفة، مقرها في بلدان/مناطق مختلفة حول العالم.
Adventure Works هي عميل Microsoft 365 E5، ولديها بالفعل أحمال عمل في Azure.
متطلبات الإيجار في Adventure Works
لدى Adventure Works ثلاثة مستأجرين مختلفين من Microsoft Entra، واحد لكل قارة من القارات حيث لديهم كيانات فرعية: آسيا وأوروبا وأفريقيا. تمتلك مختلف بلدان/مناطق الكيانات الفرعية هوياتها في مستأجر القارة التي تنتمي إليها. على سبيل المثال، المستخدمون اليابانيون في مستأجر آسيا، والمستخدمون الألمان في مستأجر أوروبا والمستخدمون المصريون في مستأجر إفريقيا.
التوافق مع Adventure Works والمتطلبات الإقليمية
تستخدم Adventure Works حالياً ثلاث مناطق Azure، كل منها تتماشى مع القارة التي توجد بها الكيانات الفرعية. لا تملك Adventure Works متطلبات امتثال صارمة.
أنواع موارد Adventure Works ومتطلبات المجموعة
يحتاج Adventure Works إلى جمع مصادر البيانات التالية لكل كيان فرعي:
- سجلات تسجيل الدخول والتدقيق في Microsoft Entra
- سجلات Office 365
- Microsoft Defender XDR للسجلات الأولية لنقطة النهاية
- Azure Activity
- Microsoft Defender للسحابة
- موارد Azure PaaS، مثل من Azure Firewall وAzure Storage وAzure SQL وAzure WAF
- أحداث الأمان وwindows من Azure VMs
- سجلات CEF من أجهزة الشبكة المحلية
تنتشر أجهزة Azure الظاهرية عبر القارات الثلاث، ولكن تكاليف النطاق الترددي ليست مصدر قلق.
متطلبات الوصول إلى Adventure Works
لدى Adventure Works فريق SOC واحد مركزي يشرف على العمليات الأمنية لجميع الكيانات الفرعية المختلفة.
لدى Adventure Works أيضاً ثلاثة فرق SOC مستقلة، واحدة لكل من القارات. يجب أن يكون فريق SOC في كل قارة قادرا على الوصول فقط إلى البيانات التي تم إنشاؤها داخل منطقته، دون رؤية بيانات من القارات الأخرى. على سبيل المثال، يجب على فريق آسيا SOC الوصول فقط إلى البيانات من موارد Azure المنشورة في آسيا، وتسجيلات دخول Microsoft Entra من مستأجر آسيا، وسجلات Defender لنقطة النهاية من مستأجر آسيا.
يحتاج فريق SOC في كل قارة إلى الوصول إلى تجربة مدخل Microsoft Azure Sentinel الكاملة.
يعمل فريق العمليات في Adventure Works بشكل مستقل، ولديه مساحات عمل خاصة به من دون Microsoft Azure Sentinel.
حل Adventure Works
يتضمن حل Adventure Works الاعتبارات التالية:
لدى فريق عمليات Adventure Works بالفعل مساحات عمل خاصة به، لذلك ليست هناك حاجة لإنشاء مساحة عمل جديدة.
لا تحتوي Adventure Works على متطلبات تنظيمية تتطلب منهم الاحتفاظ بالبيانات منفصلة.
لدى Adventure Works ثلاثة مستأجرين من Microsoft Entra، ويحتاج إلى جمع مصادر بيانات على مستوى المستأجر، مثل سجلات Office 365. لذلك، يجب أن تقوم Adventure Works بإنشاء مساحة عمل Log Analytics واحدة على الأقل ممكنة ل Microsoft Sentinel في كل مستأجر.
بينما سيتم استخدام جميع البيانات التي تم أخذها في الاعتبار في هذا القرار من قبل فريق Adventure Works SOC، فإنهم بحاجة إلى فصل البيانات حسب الملكية، حيث يحتاج كل فريق SOC إلى الوصول فقط إلى البيانات ذات الصلة بهذا الفريق. يحتاج كل فريق SOC أيضا إلى الوصول إلى مدخل Microsoft Sentinel الكامل. لا تحتاج Adventure Works إلى التحكم في الوصول إلى البيانات حسب الجدول.
يتم توضيح تصميم مساحة العمل الناتجة ل Adventure Works في الصورة التالية، بما في ذلك مصادر السجل الرئيسية فقط من أجل بساطة التصميم:
الحل المقترح يشمل:
- مساحة عمل Log Analytics منفصلة ممكنة ل Microsoft Sentinel لكل مستأجر Microsoft Entra. تجمع كل مساحة عمل البيانات المتعلقة بالمستأجر الخاص بها لجميع مصادر البيانات.
- يتمتع فريق SOC في كل قارة بإمكانية الوصول فقط إلى مساحة العمل في المستأجر الخاص به، ما يضمن إمكانية الوصول إلى السجلات التي تم إنشاؤها داخل حدود المستأجر فقط من قِبَل كل فريق SOC.
- لا يزال بإمكان فريق SOC المركزي العمل من مستأجر Microsoft Entra منفصل، باستخدام Azure Lighthouse للوصول إلى كل من بيئات Microsoft Sentinel المختلفة. إذا لم يكن هناك مستأجر آخر، فلا يزال بإمكان فريق SOC المركزي استخدام Azure Lighthouse للوصول إلى مساحات العمل البعيدة.
- يمكن لفريق SOC المركزي أيضا إنشاء مساحة عمل أخرى إذا كان بحاجة إلى تخزين البيانات الاصطناعية التي تظل مخفية عن فرق SOC القارية، أو إذا كان يريد استيعاب بيانات أخرى غير ذات صلة بفرق SOC القارية.
الخطوات التالية
في هذه المقالة، راجعت مجموعة من تصميمات مساحة العمل المقترحة للمؤسسات.