Microsoft Sentinel'de birden çok çalışma alanı ve kiracı için hazırlanma
Dağıtımınıza hazırlanmak için birden çok çalışma alanı mimarisinin ortamınız için uygun olup olmadığını belirlemeniz gerekir. Bu makalede, Microsoft Sentinel'in birden çok çalışma alanı ve kiracıyı nasıl genişletebileceğini öğrenecek ve böylece bu özelliğin kuruluşunuzun gereksinimlerine uygun olup olmadığını belirleyebilirsiniz. Bu makale, Microsoft Sentinel dağıtım kılavuzunun bir parçasıdır.
Ortamınızı çalışma alanları arasında genişletecek şekilde ayarlamaya karar verdiyseniz bkz . Microsoft Sentinel'i çalışma alanları ve kiracılar arasında genişletme ve Çalışma alanı yöneticisi ile Microsoft Sentinel için etkinleştirilen birden çok Log Analytics çalışma alanını merkezi olarak yönetme. Kuruluşunuz Microsoft Defender portalına eklemeyi planlıyorsa bkz . Microsoft Defender çok kiracılı yönetimi.
Birden çok çalışma alanı kullanma gereksinimi
Microsoft Sentinel'i eklediğinizde ilk adımınız Log Analytics çalışma alanınızı seçmektir. Tek bir çalışma alanıyla Microsoft Sentinel deneyiminin tüm avantajlarından yararlanabilirsiniz ancak bazı durumlarda çalışma alanınızı genişleterek çalışma alanları ve kiracılar arasında verilerinizi sorgulamak ve analiz etmek isteyebilirsiniz.
Bu tabloda bu senaryolardan bazıları listelenir ve mümkün olduğunda senaryo için tek bir çalışma alanını nasıl kullanabileceğinizi önerir.
| Gereksinim | Açıklama | Çalışma alanı sayısını azaltmanın yolları |
|---|---|---|
| Egemenlik ve mevzuat uyumluluğu | Çalışma alanı belirli bir bölgeye bağlıdır. Mevzuat gereksinimlerini karşılamak üzere verileri farklı Azure coğrafyalarında tutmak için verileri ayrı çalışma alanlarına ayırın. Microsoft Sentinel'de veriler, Microsoft'un Machine learning'inden yararlanan algılama kurallarının kullanılması gibi bazı özel durumlar dışında çoğunlukla aynı coğrafyada veya bölgede depolanır ve işlenir. Böyle durumlarda veriler işlenmek üzere çalışma alanınızın dışına kopyalanabilir. |
|
| Veri sahipliği | Veri sahipliğinin sınırları( örneğin yan kuruluşlar veya bağlı şirketler) ayrı çalışma alanları kullanılarak daha iyi ayrılır. | |
| Birden çok Azure kiracısı | Microsoft Sentinel, Microsoft ve Azure SaaS kaynaklarından veri toplamayı yalnızca kendi Microsoft Entra kiracı sınırı içinde destekler. Bu nedenle, her Microsoft Entra kiracısı ayrı bir çalışma alanı gerektirir. | |
| Ayrıntılı veri erişim denetimi | Bir kuruluşun Microsoft Sentinel tarafından toplanan bazı verilere erişmek için kuruluş içindeki veya dışındaki farklı gruplara izin vermesi gerekebilir. Örneğin:
|
Kaynak Azure RBAC veya tablo düzeyinde Azure RBAC kullanma |
| Ayrıntılı saklama ayarları | Geçmişte, farklı veri türleri için farklı bekletme süreleri ayarlamanın tek yolu birden çok çalışma alanıydı. Tablo düzeyinde bekletme ayarlarının kullanıma sunulması sayesinde bu artık birçok durumda gerekli değildir. | Tablo düzeyinde bekletme ayarlarını kullanma veya veri silmeyi otomatikleştirme |
| Faturalamayı bölme | Çalışma alanlarını ayrı aboneliklere yerleştirerek farklı taraflara faturalandırılabilirler. | Kullanım raporlama ve çapraz ücretlendirme |
| Eski mimari | Birden çok çalışma alanının kullanımı, sınırlamaları veya artık doğru olmayan en iyi yöntemleri dikkate alan geçmiş bir tasarımdan kaynaklanıyor olabilir. Microsoft Sentinel'i daha iyi barındırmak için değiştirilebilen rastgele bir tasarım seçimi de olabilir. Örnekler şunları içerir:
|
Çalışma alanlarının mimarisini yenileme |
Kaç kiracı ve çalışma alanı kullanılacağını belirlerken, Microsoft Sentinel özelliklerinin çoğunun tek bir çalışma alanı veya Microsoft Sentinel örneği kullanılarak çalıştığını ve Microsoft Sentinel'in çalışma alanında yer alan tüm günlükleri aldığına dikkat edin.
Yönetilen Güvenlik Hizmeti Sağlayıcısı (MSSP)
MSSP söz konusu olduğunda, yukarıdaki gereksinimlerin tümü geçerli değilse çoğu, kiracılar arasında birden çok çalışma alanı oluşturarak en iyi yöntemdir. Özellikle, her Microsoft Entra kiracısı için yalnızca kendi Microsoft Entra kiracısında çalışan yerleşik hizmet-hizmet veri bağlayıcılarını desteklemek için en az bir çalışma alanı oluşturmanızı öneririz.
Tanılama ayarlarını temel alan bağlayıcılar, kaynağın bulunduğu kiracıda olmayan bir çalışma alanına bağlanamaz. Bu, Azure Güvenlik Duvarı, Azure Depolama, Azure Etkinliği veya Microsoft Entra Id gibi bağlayıcılar için geçerlidir.
İş ortağı veri bağlayıcıları genellikle API veya aracı koleksiyonlarını temel alır ve bu nedenle belirli bir Microsoft Entra kiracısına bağlı değildir.
Azure Lighthouse'u kullanarak farklı kiracılardaki birden çok Microsoft Sentinel örneğini yönetmeye yardımcı olun.u
Microsoft Sentinel birden çok çalışma alanı mimarisi
Yukarıdaki gereksinimlerden de anlaşılacağı gibi, tek bir SOC'nin Microsoft Sentinel için etkinleştirilen birden çok Log Analytics çalışma alanını merkezi olarak yönetmesi ve izlemesi gerektiği durumlar vardır ve bu durum microsoft Entra kiracıları arasında olabilir.
- Bir MSSP Microsoft Sentinel Hizmeti.
- Her birinin kendi yerel SOC'sine sahip birden çok yan kuruluşa hizmet veren küresel bir SOC.
- Bir kuruluştaki birden çok Microsoft Entra kiracısını izleyen bir SOC.
Bu durumları ele almak için Microsoft Sentinel, merkezi izleme, yapılandırma ve yönetimi etkinleştiren ve SOC kapsamındaki her şeyde tek bir cam bölme sağlayan birden çok çalışma alanı özelliği sunar. Bu diyagramda bu tür kullanım örnekleri için örnek bir mimari gösterilmektedir.
Bu model, tüm verilerin tek bir çalışma alanına kopyalandığı tam merkezi bir modele göre önemli avantajlar sunar:
- Genel ve yerel SOC'lere veya MSSP müşterilerine esnek rol ataması.
- Veri sahiplikleriyle, veri gizliliğiyle ve mevzuat uyumluluğuyla ilgili daha az zorluk.
- Minimum ağ gecikmesi ve ücretleri.
- Yeni yan kuruluşları veya müşterileri kolayca ekleme ve çıkarma.
Sonraki adımlar
Bu makalede, Microsoft Sentinel'in birden çok çalışma alanı ve kiracıyı nasıl genişletebileceğini öğrendiniz.