Megosztás a következőn keresztül:

Minta Log Analytics-munkaterülettervek a Microsoft Sentinelhez

  • Cikk

Ez a cikk az alábbi mintakövetelményekkel rendelkező szervezetek számára javasolt Log Analytics-munkaterület-kialakításokat ismerteti:

  • Több bérlő és régió európai adatelkonvertitási követelményekkel
  • Egyetlen bérlő több felhővel
  • Több bérlő, több régióval és központosított biztonsággal

További információ: Log Analytics-munkaterület architektúrájának tervezése.

Ez a cikk a Microsoft Sentinel üzembe helyezési útmutatójának része.

1. minta: Több bérlő és régió

A Contoso Corporation egy londoni székhelyű multinacionális vállalat. A Contoso világszerte rendelkezik irodákkal, new york-i és tokiói központokkal. A Contoso a közelmúltban migrálta a hatékonyságnövelő csomagját az Office 365-be, és számos számítási feladatot migrált az Azure-ba.

Contoso-bérlők

A Contoso néhány évvel ezelőtti felvásárlása miatt két Microsoft Entra-bérlője van: contoso.onmicrosoft.com és wingtip.onmicrosoft.com. Minden bérlőnek saját Office 365-példánya és több Azure-előfizetése van, ahogyan az alábbi képen látható:

A Contoso-bérlők diagramja, mindegyik külön előfizetéssel.

Contoso-megfelelőség és regionális üzembe helyezés

A Contoso jelenleg három különböző régióban üzemelteti az Azure-erőforrásokat: az USA keleti régiójában, az EU északi régiójában és Nyugat-Japánban, és szigorú követelmény, hogy az Európában létrehozott összes adat megmaradjon Európa régióiban.

A Contoso mindkét Microsoft Entra-bérlője mindhárom régióban rendelkezik erőforrásokkal: az USA keleti régiójában, az EU északi régiójában és Nyugat-Japánban

Contoso-erőforrástípusok és -gyűjteménykövetelmények

A Contosónak a következő adatforrásokból kell eseményeket gyűjtenie:

  • Office 365
  • Microsoft Entra bejelentkezési és naplózási naplók
  • Azure-tevékenység
  • Windows biztonság helyszíni és Azure-beli virtuálisgép-forrásokból származó események
  • Syslog, helyszíni és Azure-beli virtuálisgép-forrásokból
  • CEF, több helyszíni hálózati eszközről, például a Palo Alto-ról, a Cisco ASA-ról és a Cisco Meraki-ról
  • Több Azure PaaS-erőforrás, például az Azure Firewall, az AKS, a Key Vault, az Azure Storage és az Azure SQL
  • Cisco Umbrella

Az Azure-beli virtuális gépek többnyire az EU északi régiójában találhatók, csak néhány az USA keleti és nyugat-japán régiójában. A Contoso a Microsoft Defendert használja az összes Azure-beli virtuális gépen lévő kiszolgálókhoz.

A Contoso várhatóan körülbelül 300 GB/nap adatot fog beszedni az összes adatforrásból.

A Contoso hozzáférési követelményei

A Contoso Azure-környezete már rendelkezik egyetlen meglévő Log Analytics-munkaterülettel, amelyet az operatív csapat használ az infrastruktúra monitorozásához. Ez a munkaterület a Contoso Microsoft Entra-bérlőben, az EU északi régiójában található, és minden régióban az Azure-beli virtuális gépek naplóinak gyűjtésére szolgál. Jelenleg körülbelül 50 GB/nap betöltést adnak.

A Contoso operations csapatának hozzáféréssel kell rendelkeznie a munkaterületen jelenleg található összes naplóhoz, amely számos olyan adattípust tartalmaz, amelyekre az SOC-nek nincs szüksége, például a Perf, az InsightsMetrics, a ContainerLog stb. Az operatív csapat nem férhet hozzá a Microsoft Sentinelben gyűjtött új naplókhoz.

A Contoso megoldása

A Constoso megoldása a következő szempontokat foglalja magában:

  • A Contoso már rendelkezik egy meglévő munkaterülettel, és szeretnék megvizsgálni, hogyan engedélyezheti a Microsoft Sentinelt ugyanabban a munkaterületen.
  • A Contoso szabályozási követelményekkel rendelkezik, ezért legalább egy, a Microsoft Sentinel számára engedélyezett Log Analytics-munkaterületre van szükségünk Európában.
  • A Contoso virtuális gépeinek többsége az EU északi régiója, ahol már van munkaterületük. Ezért ebben az esetben a sávszélesség költségei nem okoznak problémát.
  • A Contoso két különböző Microsoft Entra-bérlőt használ, és bérlőszintű adatforrásokból, például az Office 365-ből és a Microsoft Entra bejelentkezési és naplózási naplóiból gyűjt, és bérlőnként legalább egy munkaterületre van szükségünk.
  • A Contosónak nem SOC-adatokat kell gyűjtenie, bár nincs átfedés az SOC és a nem SOC adatok között. Emellett az SOC-adatok körülbelül 250 GB/nap méretűek, ezért a költséghatékonyság érdekében külön munkaterületeket kell használniuk.
  • A Contoso egyetlen SOC-csapattal rendelkezik, amely a Microsoft Sentinelt fogja használni, így nincs szükség további elkülönítésre.
  • A Contoso SOC-csapatának minden tagja hozzáfér az összes adathoz, így nincs szükség további elkülönítésre.

A Contoso-hoz kapott munkaterület-kialakítást az alábbi ábrán szemlélteti:

A Contoso megoldásának diagramja, amely egy külön munkaterületet biztosít az ops-csapat számára.

A javasolt megoldás a következőket tartalmazza:

  • Külön Log Analytics-munkaterület a Contoso Operations csapatának. Ez a munkaterület csak a Contoso SOC-csapata által nem szükséges adatokat tartalmazza, például a Perf, az InsightsMetrics vagy a ContainerLog táblákat.
  • Két Log Analytics-munkaterület engedélyezve van a Microsoft Sentinel számára, amelyek mindegyike a Microsoft Entra-bérlőkben található, az Office 365-ből, az Azure Activityből, a Microsoft Entra ID-ból és az összes Azure PaaS-szolgáltatásból származó adatok betöltéséhez.
  • A helyszíni adatforrásokból származó összes többi adat átirányítható a két munkaterület egyikére.

2. minta: Egyetlen bérlő több felhővel

Fabrikam egy szervezet székhelye New York City és irodák az egész Egyesült Államok. A Fabrikam megkezdi a felhőbeli utazást, és továbbra is üzembe kell helyeznie az első Azure-célzónát, és át kell telepítenie az első számítási feladatait. A Fabrikam már rendelkezik néhány számítási feladattal az AWS-en, amelyeket a Microsoft Sentinel használatával kívánnak monitorozni.

Fabrikam-bérlői követelmények

A Fabrikam egyetlen Microsoft Entra-bérlővel rendelkezik.

Fabrikam-megfelelőség és regionális üzembe helyezés

A Fabrikam nem rendelkezik megfelelőségi követelményekkel. A Fabrikam számos, az USA-ban található Azure-régióban rendelkezik erőforrásokkal, de a régiók közötti sávszélesség-költségek nem jelentenek jelentős problémát.

Fabrikam-erőforrástípusok és -gyűjteménykövetelmények

A Fabrikamnak a következő adatforrásokból kell eseményeket gyűjtenie:

  • Microsoft Entra bejelentkezési és naplózási naplók
  • Azure-tevékenység
  • Helyszíni és Azure-beli virtuálisgép-forrásokból származó biztonsági események
  • Helyszíni és Azure-beli virtuálisgép-forrásokból származó Windows-események
  • Teljesítményadatok helyszíni és Azure-beli virtuálisgép-forrásokból
  • AWS CloudTrail
  • AKS-naplózási és teljesítménynaplók

A Fabrikam hozzáférési követelményei

A Fabrikam Operations csapatának a következőhöz kell hozzáférnie:

  • Biztonsági események és Windows-események helyszíni és Azure-beli virtuálisgép-forrásokból
  • Teljesítményadatok helyszíni és Azure-beli virtuálisgép-forrásokból
  • AKS-teljesítmény (Container Insights) és naplózási naplók
  • Minden Azure-tevékenységadat

A Fabrikam SOC csapatának a következőhöz kell hozzáférnie:

  • Microsoft Entra bejelentkezési és naplózási naplók
  • Minden Azure-tevékenységadat
  • Helyszíni és Azure-beli virtuálisgép-forrásokból származó biztonsági események
  • AWS CloudTrail-naplók
  • AKS-naplózási naplók
  • A Microsoft Sentinel teljes portálja

A Fabrikam megoldása

A Fabrikam megoldása a következő szempontokat foglalja magában:

  • A Fabrikamnak nincs meglévő munkaterülete, ezért automatikusan szüksége lesz egy új munkaterületre.

  • A Fabrikam nem rendelkezik olyan jogszabályi követelményekkel, amelyek megkövetelik, hogy külön tartsák az adatokat.

  • A Fabrikam egy bérlős környezettel rendelkezik, és bérlőnként nem igényel külön munkaterületeket.

  • A Fabrikamnak azonban külön munkaterületekre lesz szüksége az SOC és az operations csapatok számára.

    A Fabrikam Operations csapatának teljesítményadatokat kell gyűjtenie mind a virtuális gépekről, mind az AKS-ből. Mivel az AKS diagnosztikai beállításokon alapul, meghatározott naplókat választhatnak ki az adott munkaterületekre való küldéshez. A Fabrikam dönthet úgy, hogy AKS-naplókat küld a Microsoft Sentinel számára engedélyezett Log Analytics-munkaterületre, az összes AKS-naplót pedig egy külön munkaterületre, ahol a Microsoft Sentinel nincs engedélyezve. Azon a munkaterületen, ahol a Microsoft Sentinel nincs engedélyezve, a Fabrikam engedélyezi a Container Insights-megoldást.

    Windows rendszerű virtuális gépek esetén a Fabrikam az Azure Monitoring Agent (AMA) használatával feloszthatja a naplókat, biztonsági eseményeket küldhet a munkaterületre, valamint teljesítmény- és Windows-eseményeket küldhet a munkaterületre a Microsoft Sentinel nélkül.

    A Fabrikam úgy dönt, hogy csak SOC-adatokként veszi figyelembe az átfedésben lévő adatokat, például a biztonsági eseményeket és az Azure-tevékenységeseményeket, és elküldi ezeket az adatokat a munkaterületnek a Microsoft Sentinellel.

  • A Fabrikamnak szabályoznia kell az átfedésben lévő adatokhoz való hozzáférést, beleértve a biztonsági eseményeket és az Azure-tevékenységeseményeket, de nincs sorszintű követelmény. Mivel a biztonsági események és az Azure-tevékenységesemények nem egyéni naplók, a Fabrikam táblaszintű RBAC használatával biztosít hozzáférést ehhez a két táblához az operatív csapat számára.

A Fabrikam eredményül kapott munkaterület-kialakítását az alábbi ábrán szemlélteti, amely csak a fő naplóforrásokat tartalmazza a tervezés egyszerűsége érdekében:

A Fabrikam megoldásának diagramja, az Ops-csapat számára külön munkaterülettel.

A javasolt megoldás a következőket tartalmazza:

  • Két különálló munkaterület az USA-régióban: az egyik a Microsoft Sentinelt engedélyező SOC-csapatnak, a másik pedig az operatív csapatnak, a Microsoft Sentinel nélkül.
  • Az Azure Monitoring Agent (AMA) annak meghatározására szolgál, hogy mely naplókat küldi el a rendszer az egyes munkaterületekre az Azure-ból és a helyszíni virtuális gépekről.
  • Diagnosztikai beállítások, amelyek annak meghatározására szolgálnak, hogy mely naplók érkeznek az egyes munkaterületekre az Azure-erőforrásokból, például az AKS-ből.
  • Átfedésben vannak a Microsoft Sentinel számára engedélyezett Log Analytics-munkaterületre küldött adatok, táblaszintű RBAC-vel, amely szükség szerint hozzáférést biztosít az operatív csapatnak.

3. minta: Több bérlő és régió és központosított biztonság

Az Adventure Works egy tokiói székhelyű nemzetközi vállalat. Az Adventure Works 10 különböző alegységgel rendelkezik, amelyek a világ különböző országaiban/régióiban alapulnak.

Az Adventure Works a Microsoft 365 E5-ügyfél, és már rendelkezik számítási feladatokkal az Azure-ban.

Az Adventure Works bérlői követelményei

Az Adventure Works három különböző Microsoft Entra-bérlőt kínál, egyet az egyes kontinenseken, ahol al entitásokkal rendelkeznek: Ázsia, Európa és Afrika. A különböző al entitások országai/régiói identitásuk a földrész bérlőjében vannak, amelyhez tartoznak. A japán felhasználók például az ázsiai bérlőben, a német felhasználók az európai bérlőben, az egyiptomi felhasználók pedig az Afrikai bérlőben találhatók.

Az Adventure Works megfelelőségi és regionális követelményei

Az Adventure Works jelenleg három Azure-régiót használ, amelyek mindegyike a kontinenshez igazodik, amelyben az alentitások találhatók. Az Adventure Works nem rendelkezik szigorú megfelelőségi követelményekkel.

Az Adventure Works erőforrástípusai és gyűjtési követelményei

Az Adventure Worksnek az alábbi adatforrásokat kell összegyűjtenie az egyes alentitásokhoz:

  • Microsoft Entra bejelentkezési és naplózási naplók
  • Office 365-naplók
  • Microsoft Defender XDR nyers végpontnaplókhoz
  • Azure-tevékenység
  • Microsoft Defender for Cloud
  • Azure PaaS-erőforrások, például az Azure Firewallból, az Azure Storage-ból, az Azure SQL-ből és az Azure WAF-ből
  • Biztonsági és windowsos események Azure-beli virtuális gépekről
  • CEF-naplók helyszíni hálózati eszközökről

Az Azure-beli virtuális gépek a három kontinensen vannak szétszórva, de a sávszélesség költségei nem jelentenek problémát.

Az Adventure Works hozzáférési követelményei

Az Adventure Works egyetlen, központosított SOC-csapattal rendelkezik, amely felügyeli az összes különböző al entitás biztonsági műveleteit.

Az Adventure Works három független SOC-csapatból áll, egy-egy a kontinensek mindegyikéhez. Minden kontinens SOC-csapata csak a régióban létrehozott adatokat érheti el anélkül, hogy más kontinensekről származó adatokat látnál. Az Asia SOC-csapatnak például csak az Ázsiában üzembe helyezett Azure-erőforrásokból, az ázsiai bérlőből származó Microsoft Entra-bejelentkezésekhez és az ázsiai bérlőtől származó Defender végpontnaplókhoz kell hozzáférnie.

Minden kontinens SOC-csapatának hozzá kell férnie a Microsoft Sentinel portál teljes felületéhez.

Az Adventure Works üzemeltetési csapata önállóan működik, és saját munkaterületekkel rendelkezik a Microsoft Sentinel nélkül.

Adventure Works-megoldás

Az Adventure Works-megoldás a következő szempontokat foglalja magában:

  • Az Adventure Works üzemeltetési csapata már rendelkezik saját munkaterületekkel, így nem kell újat létrehoznia.

  • Az Adventure Works nem rendelkezik olyan jogszabályi követelményekkel, amelyek megkövetelik, hogy külön tartsák az adatokat.

  • Az Adventure Works három Microsoft Entra-bérlőt használ, és bérlőszintű adatforrásokat, például Office 365-naplókat kell gyűjtenie. Ezért az Adventure Worksnek minden bérlőben létre kell hoznia legalább egy, a Microsoft Sentinel számára engedélyezett Log Analytics-munkaterületet.

  • Bár a döntésben figyelembe vett összes adatot az Adventure Works SOC csapata fogja használni, tulajdonjog szerint kell elkülöníteniük az adatokat, mivel minden SOC-csapatnak csak az adott csapat számára releváns adatokhoz kell hozzáférnie. Minden SOC-csapatnak hozzá kell férnie a Microsoft Sentinel teljes portáljához. Az Adventure Works-nek nem kell táblázat alapján szabályoznia az adathozzáférést.

Az Adventure Works eredményül kapott munkaterület-kialakítását az alábbi ábrán szemlélteti, amely csak a fő naplóforrásokat tartalmazza a tervezés egyszerűsége érdekében:

Az Adventure Works megoldásának diagramja, amely mindegyik Azure AD-bérlőhöz külön munkaterületeket biztosít.

A javasolt megoldás a következőket tartalmazza:

  • Külön Log Analytics-munkaterület engedélyezve van a Microsoft Sentinel számára minden Egyes Microsoft Entra-bérlő esetében. Minden munkaterület összegyűjti a bérlőjével kapcsolatos adatokat az összes adatforráshoz.
  • Minden kontinens SOC-csapata csak a saját bérlőjében fér hozzá a munkaterülethez, biztosítva, hogy csak a bérlő határain belül létrehozott naplók legyenek elérhetők az egyes SOC-csapatok számára.
  • A központi SOC-csapat továbbra is működhet egy külön Microsoft Entra-bérlőből, az Azure Lighthouse használatával pedig hozzáférhet a különböző Microsoft Sentinel-környezetekhez. Ha nincs másik bérlő, a központi SOC-csapat továbbra is használhatja az Azure Lighthouse-t a távoli munkaterületek eléréséhez.
  • A központi SOC-csapat egy másik munkaterületet is létrehozhat, ha olyan összetevőket kell tárolnia, amelyek rejtve maradnak a kontinens SOC-csapatai elől, vagy ha olyan adatokat szeretne betöltésre, amelyek nem relevánsak a kontinens SOC-csapatai számára.

Következő lépések

Ebben a cikkben áttekintette a szervezetek számára javasolt munkaterület-terveket.

Több munkaterület előkészítése