Concevoir une architecture d’espace de travail Log Analytics

Un seul espace de travail Log Analytics peut suffire pour de nombreux environnements qui utilisent Azure Monitor et Microsoft Sentinel. Mais nombreuses sont les organisations à créer plusieurs espaces de travail dans l’optique d’optimiser les coûts et de mieux satisfaire aux différentes exigences métier. Cet article présente un ensemble de critères pour déterminer s’il convient d’utiliser un ou plusieurs espaces de travail. Il traite également de la configuration et de l’emplacement de ces espaces de travail pour satisfaire à vos exigences tout en optimisant vos coûts.

Notes

Cet article décrit Azure Monitor et Microsoft Sentinel, car de nombreux clients doivent prendre en compte les deux dans leur conception. La plupart des critères de décision s’appliquent aux deux services. Si vous n’utilisez qu’un seul de ces services, vous pouvez ignorer l’autre dans votre évaluation.

Voici une vidéo relative aux principes fondamentaux des Journaux Azure Monitor, les meilleures pratiques et les considérations relatives à la conception de votre déploiement des Journaux Azure Monitor :

Stratégie de conception

Votre conception doit toujours commencer par un espace de travail unique pour réduire la complexité liée à la gestion de plusieurs espaces de travail et à l’interrogation des données à partir de ceux-ci. La quantité de données contenues dans votre espace de travail ne doit pas être un facteur de limitation des performances. Plusieurs services et sources de données peuvent envoyer des données au même espace de travail. À mesure que vous identifiez des critères pour créer plus d’espaces de travail, vous devez chercher à répondre à vos besoins tout en limitant le nombre d’espace de travail au minimum.

Concevoir une configuration d’espace de travail consiste notamment à évaluer plusieurs critères. Or, certains critères peuvent être en conflit. Par exemple, vous parviendrez peut-être à réduire les frais de sortie en créant un espace de travail distinct dans chaque région Azure. En regroupant tout dans un même espace de travail, vous pourrez réduire encore plus les frais avec un niveau d’engagement. Évaluez chacun des critères indépendamment. Prenez en considération vos besoins et vos priorités pour identifier la conception la plus efficace pour votre environnement.

Critères de conception

Le tableau suivant présente les critères à prendre en considération au moment de concevoir l’architecture de votre espace de travail. Les sections qui suivent décrivent les critères.

Critères Description
Données opérationnelles et de sécurité Vous pouvez choisir de combiner des données opérationnelles d’Azure Monitor dans le même espace de travail que les données de sécurité de Microsoft Sentinel ou de les séparer dans leur propre espace de travail. En les combinant, vous bénéficiez d’une meilleure visibilité sur toutes vos données, alors que vos normes de sécurité peuvent nécessiter leur séparation afin que votre équipe de sécurité dispose d’un espace de travail dédié. Vous pouvez également avoir des implications en termes de coûts pour chaque stratégie.
Locataires Azure Si vous avez plusieurs locataires Azure, la pratique habituelle consiste à créer un espace de travail dans chacun d’eux. Plusieurs sources de données peuvent uniquement envoyer des données de monitoring à un espace de travail du même locataire Azure.
Régions Azure Chaque espace de travail réside dans une région Azure déterminée. Vous pouvez être soumis à des exigences réglementaires ou de conformité qui vous imposent de stocker les données dans des localisations spécifiques.
Propriété des données Vous pouvez choisir de créer des espaces de travail distincts pour définir la propriété des données. Par exemple, vous pouvez créer des espaces de travail par filiales ou sociétés affiliées.
Facturation fractionnée Placer des espaces de travail dans des abonnements distincts permet de les facturer à différentes parties.
Conservation des données Vous pouvez définir différents paramètres de rétention pour chaque espace de travail et chaque table d’un espace de travail. Vous avez besoin d’un espace de travail distinct si vous imposez différents paramètres de rétention pour les différentes ressources qui envoient des données aux mêmes tables.
Niveaux d’engagement Les niveaux d’engagement vous permettent de réduire vos coûts d’ingestion. Pour cela, vous vous engagez à atteindre une quantité minimale de données quotidiennes dans un espace de travail unique.
Limitations de l’ancien agent Les agents de machine virtuelle héritées présentent des limitations concernant le nombre d’espaces de travail auxquels ils peuvent se connecter.
Contrôle d’accès aux données Configurez l’accès à l’espace de travail et à différentes tables et données à partir de différentes ressources.
Résilience Pour vous assurer que les données de votre espace de travail sont disponibles en cas de défaillance dans une région, vous pouvez les ingérer dans plusieurs espaces de travail dans différentes régions.

Données opérationnelles et de sécurité

La décision de combiner vos données opérationnelles d’Azure Monitor dans le même espace de travail que les données de sécurité de Microsoft Sentinel ou de les séparer dans leur propre espace de travail dépend de vos exigences en matière de sécurité et des implications potentielles sur les coûts pour votre environnement.

Espaces de travail dédiés La création d’espaces de travail dédiés pour Azure Monitor et Microsoft Sentinel vous permet de séparer la propriété des données entre des équipes opérationnelles et des équipes de sécurité. Il est possible que cette approche permette d’optimiser les coûts car quand Microsoft Sentinel est activé dans un espace de travail, toutes les données de cet espace de travail sont soumises à la tarification de Microsoft Sentinel, même s’il s’agit de données opérationnelles collectées par Azure Monitor.

Un espace de travail avec Microsoft Sentinel bénéficie de trois mois de conservation des données gratuite au lieu de 31 jours. Ce scénario se traduit généralement par des coûts supérieurs pour les données opérationnelles d’un espace de travail sans Microsoft Sentinel. Consultez Informations sur les tarifs des Journaux Azure Monitor.

Espace de travail combiné Le fait de combiner vos données à partir d’Azure Monitor et de Microsoft Sentinel dans le même espace de travail vous offre une meilleure visibilité sur toutes vos données, ce qui vous permet de les combiner facilement dans des requêtes et des classeurs. Si l’accès aux données de sécurité doit être limité à une équipe particulière, vous pouvez utiliser le contrôle d’accès en fonction du rôle (RBAC) au niveau de la table pour bloquer des utilisateurs particuliers à partir de tables avec des données de sécurité ou limiter les utilisateurs à l’accès à l’espace de travail à l’aide de resource-context.

Cette configuration peut donner lieu à des économies si elle vous permet d’atteindre un niveau d’engagement, qui offre une remise sur vos frais d’ingestion. Imaginons par exemple une organisation qui présente des données opérationnelles et des données de sécurité ingérant respectivement 50 Go environ par jour. Le fait de combiner les données dans le même espace de travail permettrait un niveau d’engagement de 100 Go par jour. Dans ce cas, la remise serait de 15 % pour Azure Monitor et de 50 % pour Microsoft Sentinel.

Si vous avez besoin de créer des espaces de travail distincts en raison d’autres critères, vous devrez généralement créer plus de paires d’espaces de travail. Par exemple, si vous disposez de deux locataires Azure, vous pouvez créer quatre espaces de travail avec un espace de travail opérationnel et un espace de travail de sécurité dans chaque locataire.

  • Si vous utilisez à la fois Azure Monitor et Microsoft Sentinel : envisagez de les séparer dans un espace de travail dédié si votre équipe de sécurité l’exige ou si cela permet de réaliser des économies. Envisagez de combiner les deux pour une meilleure visibilité de vos données de surveillance combinées ou si cela vous aide à atteindre un niveau d’engagement.
  • Si vous utilisez Microsoft Sentinel et Microsoft Defender pour le cloud : envisagez d’utiliser le même espace de travail pour les deux solutions afin de garder les données de sécurité à un même endroit.

Locataires Azure

La plupart des ressources peuvent uniquement envoyer des données de supervision à un espace de travail dans le même locataire Azure. Les machines virtuelles qui utilisent l’agent Azure Monitor ou les agents Log Analytics peuvent envoyer des données à des espaces de travail dans des locataires Azure distincts. Vous pouvez considérer ce scénario comme un fournisseur de services.

  • Si vous disposez d’un seul locataire Azure : créez un espace de travail unique pour ce locataire.
  • Si vous disposez de plusieurs locataires Azure : créez un espace de travail pour chaque locataire. Pour voir d’autres options, notamment des stratégies pour les fournisseurs de services, consultez Stratégies avec plusieurs locataires.

Régions Azure

Chaque espace de travail Log Analytics réside dans une région Azure particulière. Vous pouvez être amené à conserver les données dans une région particulière pour des raisons réglementaires ou de conformité. Une entreprise internationale peut par exemple placer un espace de travail dans chaque région géographique majeure, comme les États-Unis et l’Europe.

  • Si vous êtes soumis à des exigences concernant la conservation des données dans une zone géographique particulière : créez un espace de travail distinct pour chaque région soumise à ces exigences.
  • Si vous n’êtes pas soumis à des exigences concernant la conservation des données dans une zone géographique particulière : utilisez un espace de travail unique pour chaque région.
  • Si vous envoyez des données vers une zone géographique ou une région qui se trouve en dehors de la région de votre espace de travail, que la ressource d’envoi réside ou non dans Azure : envisagez d’utiliser un espace de travail dans la même zone géographique ou région que vos données.

Tenez aussi compte des frais de bande passante potentiels qui peuvent s’appliquer lorsque vous envoyez des données à un espace de travail à partir d’une ressource située dans une autre région. Ces frais sont généralement mineurs par rapport aux coûts d’ingestion des données pour la plupart des clients. Ces frais sont généralement le résultat de l’envoi de données à l’espace de travail à partir d’une machine virtuelle. Le monitoring de données en provenance d’autres ressources Azure en utilisant des paramètres de diagnostic n’occasionne pas de frais de sortie.

Utilisez la calculatrice de prix Azure pour estimer les coûts et déterminer les régions dont vous avez besoin. Envisagez de placer des espaces de travail dans plusieurs régions si les frais de bande passante sont importants.

  • Si les frais de bande passante sont suffisamment importants pour justifier la complexité supplémentaire : créez un espace de travail distinct pour chaque région avec des machines virtuelles.
  • Si les frais de bande passante ne sont pas suffisamment importants pour justifier la complexité supplémentaire : utilisez un espace de travail unique pour chaque région.

Propriétaire des données

Vous êtes peut-être contraint de séparer les données ou de définir des limites en fonction de la propriété. Vous pouvez par exemple avoir différentes filiales ou des sociétés affiliées qui nécessitent la délimitation de leurs données de monitoring.

  • Si vous devez séparer les données : utilisez un espace de travail distinct pour chaque propriétaire de données.
  • S’il n’est pas nécessaire de séparer les données : utilisez un espace de travail unique pour l’ensemble des propriétaires de données.

Facturation fractionnée

Vous devrez peut-être répartir la facturation entre différentes parties ou de refacturer à un client ou une division opérationnelle interne. Vous pouvez utiliser Azure Cost Management + Billing pour afficher les frais par espace de travail. Vous pouvez aussi utiliser une requête de journal pour afficher le volume de données facturable par ressource Azure, groupe de ressources ou abonnement. Cette approche peut être suffisante pour vos besoins de facturation.

  • Si vous n’avez pas besoin de répartir la facturation ou de refacturer : utilisez un espace de travail unique pour tous les propriétaires de coûts.
  • Si vous devez répartir la facturation ou refacturer : déterminez si Azure Cost Management + Billing ou une requête de journal fournit des rapports de coûts suffisamment granulaires pour vos besoins. Si ce n’est pas le cas, utilisez un espace de travail distinct pour chaque propriétaire de coût.

Conservation des données

Vous pouvez configurer les paramètres de conservation des données par défaut pour un espace de travail ou configurer des paramètres différents pour chaque table. Vous pouvez avoir besoin de paramètres différents pour différents jeux de données dans une table particulière. Dans ce cas, vous devez séparer ces données dans des espaces de travail différents qui présentent chacun des paramètres de rétention uniques.

  • Si vous pouvez utiliser les mêmes paramètres de conservation pour l’ensemble des données de chaque table : utilisez un espace de travail unique pour toutes les ressources.
  • Si vous avez besoin de paramètres de rétention différents pour les différentes ressources de la même table : utilisez un espace de travail distinct pour les différentes ressources.

Niveaux d’engagement

Les niveaux d’engagement permettent d’obtenir une remise sur vos coûts d’ingestion d’espace de travail quand vous vous engagez sur une certaine quantité de données quotidiennes. Vous pouvez choisir de regrouper les données dans un même espace de travail pour atteindre un niveau particulier. Ce même volume de données réparti entre plusieurs espaces de travail ne permettrait pas d’atteindre ce niveau, à moins de disposer d’un cluster dédié.

Si vous pouvez vous engager sur une ingestion quotidienne d’au moins 100 Go/jour, vous devez implémenter un cluster dédié qui offre des fonctionnalités et des performances supérieures. Les clusters dédiés vous permettent également de combiner les données à partir de plusieurs espaces de travail dans le cluster pour atteindre le niveau d’engagement.

  • Si vous ingérez au moins 100 Go/jour pour toutes les ressources : créez un cluster dédié et définissez le niveau d’engagement approprié.
  • Si vous ingérez au moins 100 Go/jour pour toutes les ressources : envisagez de les combiner dans un même espace de travail pour profiter d’un niveau d’engagement.

Limitations de l’ancien agent

Vous devez éviter d’envoyer des données en double à plusieurs espaces de travail en raison des frais supplémentaires, mais vous pouvez connecter des machines virtuelles à plusieurs espaces de travail. Le scénario le plus courant est un agent connecté à des espaces de travail distincts pour Azure Monitor et Microsoft Sentinel.

L’agent Azure Monitor et l’agent Log Analytics pour Windows peuvent se connecter à plusieurs espaces de travail. L’agent Log Analytics pour Linux ne peut se connecter qu’à un seul espace de travail.

  • Si vous utilisez l’agent Log Analytics pour Linux : migrez vers l’agent Azure Monitor ou vérifiez que vos machines Linux n’ont besoin d’accéder qu’à un seul espace de travail.

Contrôle d’accès aux données

Quand vous accordez un accès à un espace de travail à un utilisateur, celui-ci a accès à l’ensemble des données de cet espace de travail. Cet accès convient pour le membre d’une équipe d’administration centrale ou de sécurité qui doit accéder aux données pour toutes les ressources. L’accès à l’espace de travail est également déterminé par le contrôle d’accès en fonction du rôle (RBAC) dans le contexte de la ressource et le contrôle RBAC au niveau de la table.

Contrôle RBAC dans le contexte de la ressource : par défaut, si un utilisateur dispose d’un accès en lecture pour une ressource Azure, il hérite des autorisations pour toutes les données de monitoring de cette ressource qui sont envoyées à l’espace de travail. Ce niveau d’accès permet aux utilisateurs d’accéder aux informations sur les ressources qu’ils gèrent sans disposer de l’accès explicite à l’espace de travail. Si vous devez bloquer cet accès, vous pouvez modifier le mode de contrôle d’accès pour exiger des autorisations d’espace de travail explicites.

  • Si vous souhaitez que les utilisateurs puissent accéder aux données de leurs ressources : conservez le mode de contrôle d’accès par défaut Utiliser les autorisations de ressource ou d’espace de travail.
  • Si vous souhaitez attribuer explicitement des autorisations pour tous les utilisateurs : faites passer le mode de contrôle d’accès à Exiger des autorisations d’espace de travail.

Contrôle RBAC au niveau de la table : avec le contrôle RBAC au niveau de la table, vous pouvez accorder ou refuser l’accès à des tables spécifiques dans l’espace de travail. De cette façon, vous pouvez implémenter des autorisations granulaires que peuvent vous imposer des situations spécifiques dans votre environnement.

Vous pouvez par exemple autoriser une équipe d’audit interne à accéder à des tables spécifiques collectées par Microsoft Sentinel. Vous pouvez aussi refuser l’accès aux tables liées à la sécurité aux propriétaires de ressources qui ont besoin de données opérationnelles en rapport avec leurs ressources.

  • Si vous n’avez pas besoin d’un contrôle d’accès granulaire par table : accordez aux équipes opérationnelles et de sécurité l’accès à leurs ressources et autorisez les propriétaires de ressources à utiliser le contrôle RBAC dans le contexte de la ressource pour leurs ressources.
  • Si vous avez besoin d’un contrôle d’accès granulaire par table : accordez ou refusez l’accès à des tables spécifiques à l’aide du contrôle RBAC au niveau de la table.

Pour plus d’informations, consultez Gérer l’accès aux données de Microsoft Sentinel par ressource.

Résilience

Pour vous assurer que les données critiques de votre espace de travail sont disponibles en cas de défaillance dans une région, vous pouvez les ingérer toutes ou une partie dans plusieurs espaces de travail dans différentes régions.

Cette option demande de gérer l’intégration à d’autres services et produits séparément pour chaque espace de travail. Même si les données sont disponibles dans l’autre espace de travail en cas de défaillance, les ressources qui s’appuient sur les données, comme les alertes et les classeurs, ne savent pas qu’elles peuvent passer sur cet espace de travail. Stockez des modèles ARM pour les ressources critiques avec une configuration pour l’autre espace de travail dans Azure DevOps, ou sous forme de stratégies désactivées pouvant être rapidement activées dans un scénario de basculement.

Utiliser plusieurs espaces de travail

De nombreuses conceptions incluent plusieurs espaces de travail. Par exemple, une équipe d’opérations de sécurité centralisée peut utiliser ses propres espaces de travail Microsoft Sentinel pour gérer des artefacts centralisés tels que des règles d’analyse ou des classeurs.

Azure Monitor et Microsoft Sentinel incluent des fonctionnalités pour vous aider à analyser ces données entre les espaces de travail. Pour plus d’informations, consultez l’article suivant :

Lorsque vous nommez chaque espace de travail, nous vous recommandons d’inclure un indicateur significatif dans le nom afin que vous puissiez facilement identifier l’objectif de chaque espace de travail.

Stratégies avec plusieurs locataires

Les environnements constitués de plusieurs locataires Azure, notamment les fournisseurs de services Microsoft (MSP), les éditeurs de logiciels indépendants (ISV) et les grandes entreprises, ont souvent besoin d’une stratégie qui permette à une équipe d’administration centrale d’accéder aux espaces de travail situés dans d’autres locataires. Chaque locataire peut représenter des clients ou des divisions opérationnelles distincts.

Notes

Pour les partenaires et fournisseurs de services qui font partie du programme CSP (fournisseur de solutions Cloud), Log Analytics dans Azure Monitor est l’un des services Azure disponibles dans les abonnements Azure CSP.

Deux stratégies de base concernant cette fonctionnalité sont décrites dans les sections suivantes.

Architecture distribuée

Dans une architecture distribuée, un espace de travail Log Analytics est créé dans chaque locataire Azure. Cette option est la seule que vous puissiez utiliser si vous supervisez d’autres services Azure que les machines virtuelles.

Deux options permettent aux administrateurs du fournisseur de services d’accéder aux espaces de travail dans les locataires clients :

  • Utilisez Azure Lighthouse pour accéder à chaque locataire client. Les administrateurs du fournisseur de services sont inclus dans un groupe d’utilisateurs Microsoft Entra du locataire du fournisseur de services. Ce groupe se voit accorder l’accès pendant le processus d’intégration pour chaque client. Les administrateurs peuvent ensuite accéder aux espaces de travail de chaque client à partir du locataire de leur propre fournisseur de services, au lieu de se connecter individuellement au locataire de chaque client. Pour plus d’informations, consultez Superviser les ressources client à grande échelle.
  • Ajoutez des utilisateurs individuels à partir du fournisseur de services en tant qu’utilisateurs Microsoft Entra invités (B2B). Les administrateurs du locataire client gèrent l’accès individuel pour chaque administrateur du fournisseur de services. Pour accéder à ces espaces de travail, les administrateurs du fournisseur de services doivent se connecter à l’annuaire de chaque locataire sur le portail Azure.

Avantages de cette stratégie :

  • Les journaux d’activité peuvent être collectés à partir de tous les types de ressources.
  • Le client peut vérifier des niveaux d’autorisations spécifiques avec la gestion déléguée des ressources Azure. Le client peut également gérer l’accès aux journaux en utilisant son propre contrôle RBAC Azure.
  • Les paramètres de l’espace de travail de chaque client peuvent être différents, notamment en matière de rétention ou de limite des données.
  • Isolation entre les clients pour répondre aux exigences réglementaires et de conformité.
  • Les frais liés à chaque espace de travail sont inclus dans la facture de l’abonnement du client.

Inconvénients de cette stratégie :

  • La visualisation et l’analyse centralisées des données des locataires des clients à l’aide d’outils tels que les classeurs Azure Monitor peuvent occasionner des ralentissements. C’est particulièrement le cas lorsque l’analyse des données porte sur plus de 50 espaces de travail.
  • Si les clients ne sont pas intégrés pour la gestion déléguée des ressources Azure, les administrateurs de fournisseur de services doivent être provisionnés dans l’annuaire client. Cette condition complique la tâche du fournisseur de services appelé à gérer un grand nombre de locataires client à la fois.

Centralisé

Un espace de travail unique est créé dans l’abonnement du fournisseur de services. Cette option peut collecter uniquement des données à partir de machines virtuelles clientes. Les agents installés sur les machines virtuelles sont configurés pour envoyer leurs journaux à cet espace de travail central.

Avantages de cette stratégie :

  • Il est facile de gérer de nombreux clients.
  • Le fournisseur de services est entièrement propriétaire des journaux et des divers artefacts, tels que les fonctions et les requêtes enregistrées.
  • Un fournisseur de services peut effectuer des opérations analytiques sur l’ensemble de ses clients.

Inconvénients de cette stratégie :

  • Les journaux peuvent uniquement être collectés à partir de machines virtuelles avec un agent. Elle ne fonctionne pas avec les sources de données PaaS, SaaS ou Azure Service Fabric.
  • Il peut être difficile de séparer les données des clients, car leurs données partagent un même espace de travail. Les requêtes doivent utiliser le nom de domaine complet de l’ordinateur ou l’ID d’abonnement Azure.
  • Toutes les données de tous les clients sont stockées dans la même région avec une seule facture et les mêmes paramètres de rétention et de configuration.

Hybride

Dans un modèle hybride, chaque locataire dispose de son propre espace de travail. Un mécanisme est employé pour tirer (pull) les données dans un emplacement central à des fins de création de rapports et d’analytique. Ces données peuvent inclure un petit nombre de types de données ou à un récapitulatif de l’activité, comme des statistiques quotidiennes.

Il existe deux options pour implémenter des journaux dans un emplacement central :

  • Espace de travail central : le fournisseur de services crée un espace de travail dans son locataire et fait appel à un script qui utilise l’API de requête avec l’API d’ingestion de journaux pour transmettre les données en provenance des espaces de travail de locataire à cet emplacement central. Une autre option consiste à utiliser Azure Logic Apps pour copier des données dans l’espace de travail central.
  • Power BI : les espaces de travail de locataire exportent les données vers Power BI en utilisant l’intégration entre l’espace de travail Log Analytics et Power BI.

Étapes suivantes