Mempersiapkan beberapa ruang kerja dan penyewa di Microsoft Azure Sentinel
Untuk mempersiapkan penyebaran, Anda perlu menentukan apakah arsitektur beberapa ruang kerja relevan untuk lingkungan Anda. Dalam artikel ini, Anda mempelajari bagaimana Microsoft Sentinel dapat meluas di beberapa ruang kerja dan penyewa sehingga Anda dapat menentukan apakah kemampuan ini sesuai dengan kebutuhan organisasi Anda. Artikel ini adalah bagian dari panduan Penyebaran untuk Microsoft Azure Sentinel.
Jika Anda telah memutuskan untuk menyiapkan lingkungan Anda untuk memperluas seluruh ruang kerja, lihat Memperluas Microsoft Azure Sentinel di seluruh ruang kerja dan penyewa dan Mengelola beberapa ruang kerja Log Analytics secara terpusat yang diaktifkan untuk Microsoft Azure Sentinel dengan manajer ruang kerja. Jika organisasi Anda berencana untuk onboarding ke portal Pertahanan Microsoft, lihat Manajemen multipenyewa Pertahanan Microsoft.
Kebutuhan untuk menggunakan beberapa ruang kerja
Ketika menjalankan Microsoft Sentinel, langkah pertama Anda adalah memilih ruang kerja Analitik Log Anda. Meskipun Anda bisa mendapatkan manfaat penuh dari pengalaman Microsoft Sentinel dengan satu ruang kerja, pada kasus tertentu Anda perlu memperluas ruang kerja untuk mengkueri dan menganalisis data di seluruh ruang kerja dan penyewa.
Tabel ini mencantumkan beberapa skenario ini dan, jika memungkinkan, menunjukkan bagaimana Anda dapat menggunakan satu ruang kerja untuk skenario.
| Persyaratan | Deskripsi | Cara untuk mengurangi jumlah ruang kerja |
|---|---|---|
| Kedaulatan dan kepatuhan terhadap peraturan | Ruang kerja terikat ke wilayah tertentu. Untuk menyimpan data dalam Geografi Azure berbeda dengan tujuan memenuhi persyaratan peraturan, pisahkan data menjadi ruang kerja terpisah. Di Microsoft Azure Sentinel, data sebagian besar disimpan dan diproses di geografi atau wilayah yang sama, dengan beberapa pengecualian, seperti saat menggunakan aturan deteksi yang memanfaatkan Pembelajaran mesin Microsoft. Dalam kasus seperti itu, data mungkin disalin di luar geografi ruang kerja Anda untuk diproses. |
|
| Kepemilikan data | Batas-batas kepemilikan data, misalnya oleh anak perusahaan atau perusahaan afiliasi, lebih baik digambarkan menggunakan ruang kerja terpisah. | |
| Beberapa penyewa Azure | Microsoft Sentinel mendukung pengumpulan data dari sumber daya Microsoft dan Azure SaaS hanya dalam batas penyewa Microsoft Entra sendiri. Oleh karena itu, setiap penyewa Microsoft Entra memerlukan ruang kerja terpisah. | |
| Kontrol akses data terperinci | Organisasi mungkin perlu mengizinkan grup yang berbeda, di dalam atau di luar organisasi, untuk mengakses beberapa data yang dikumpulkan oleh Microsoft Sentinel. Contohnya:
|
Gunakan sumber daya Azure RBAC atau tingkat tabel Azure RBAC |
| Pengaturan retensi terperinci | Secara historis, beberapa ruang kerja adalah satu-satunya cara untuk menetapkan periode retensi yang berbeda untuk jenis data yang berbeda. Ini tidak lagi diperlukan dalam banyak kasus, berkat pengenalan pengaturan retensi tingkat tabel. | Gunakan setelan retensi tingkat tabel atau otomatiskan penghapusan data |
| Memisahkan penagihan | Dengan menempatkan ruang kerja di langganan terpisah, mereka dapat ditagih ke pihak yang berbeda. | Pelaporan penggunaan dan penagihan silang |
| Arsitektur warisan | Penggunaan beberapa ruang kerja mungkin berasal dari desain historis yang mempertimbangkan batasan atau praktik terbaik yang tidak berlaku lagi. Ini mungkin juga merupakan pilihan desain acak yang dapat dimodifikasi untuk mengakomodasi Microsoft Azure Sentinel dengan lebih baik. Contohnya meliputi:
|
Mengarsitektur ulang ruang kerja |
Saat menentukan jumlah penyewa dan ruang kerja yang akan digunakan, pertimbangkan bahwa sebagian besar fitur Microsoft Azure Sentinel beroperasi menggunakan satu ruang kerja atau instans Microsoft Azure Sentinel, dan Microsoft Azure Sentinel menyerap semua log yang disimpan di dalam ruang kerja.
Penyedia Layanan Keamanan Terkelola (MSSP)
Mengenai MSSP, semua atau beberapa persyaratan di atas berlaku, membuat multi-ruang kerja, di seluruh penyewa, sebagai praktik terbaik. Secara khusus, kami sarankan Anda membuat setidaknya satu ruang kerja untuk setiap penyewa Microsoft Entra untuk mendukung konektor data layanan ke layanan bawaan yang hanya berfungsi dalam penyewa Microsoft Entra mereka sendiri.
Konektor yang didasarkan pada pengaturan diagnostik tidak dapat disambungkan ke ruang kerja yang tidak terletak di penyewa yang sama tempat sumber daya berada. Ini berlaku untuk konektor seperti Azure Firewall, Azure Storage, Aktivitas Azure, atau ID Microsoft Entra.
Konektor data mitra sering didasarkan pada API atau koleksi agen, dan oleh karena itu tidak dilampirkan ke penyewa Microsoft Entra tertentu.
Menggunakan Azure Lighthouse untuk membantu mengelola beberapa instans Microsoft Sentinel di tenants.u yang berbeda
Arsitektur multi-ruang kerja Microsoft Azure Sentinel
Seperti yang disiratkan oleh persyaratan di atas, ada kasus di mana satu SOC perlu mengelola dan memantau beberapa ruang kerja Log Analytics secara terpusat yang diaktifkan untuk Microsoft Azure Sentinel, yang berpotensi di seluruh penyewa Microsoft Entra.
- Layanan MSSP Microsoft Azure Sentinel.
- SOC global yang melayani beberapa anak perusahaan, masing-masing memiliki SOC lokal sendiri.
- SOC yang memantau beberapa penyewa Microsoft Entra dalam organisasi.
Untuk mengatasi hal ini, Microsoft Sentinel menawarkan kemampuan multi-ruang kerja yang memungkinkan pemantauan, konfigurasi, dan pengelolaan terpusat, menyediakan satu panel kaca di ruang kerja yang dicakup SOC. Diagram ini menunjukkan contoh arsitektur untuk kasus penggunaan tersebut.
Model ini menawarkan keuntungan signifikan dibandingkan model yang sepenuhnya terpusat di mana semua data disalin ke satu ruang kerja:
- Penugasan peran yang fleksibel ke SOC global dan lokal, atau ke MSSP pelanggannya.
- Tantangan yang lebih sedikit terkait kepemilikan data, privasi data, dan kepatuhan terhadap peraturan.
- Latensi dan biaya jaringan minimal.
- Onboarding dan offboarding yang mudah dari anak perusahaan atau pelanggan baru.
Langkah berikutnya
Dalam artikel ini, Anda mempelajari bagaimana Microsoft Azure Sentinel dapat memperluas di beberapa ruang kerja dan penyewa.