Microsoft Sentinel için örnek Log Analytics çalışma alanı tasarımları

  • Makale

Bu makalede, aşağıdaki örnek gereksinimlere sahip kuruluşlar için önerilen Log Analytics çalışma alanı tasarımları açıklanmaktadır:

  • Avrupa Veri Hakimiyeti gereksinimleri olan birden çok kiracı ve bölge
  • Birden çok buluta sahip tek kiracı
  • Birden çok bölgeye ve merkezi güvenliğe sahip birden çok kiracı

Daha fazla bilgi için bkz . Log Analytics çalışma alanı mimarisi tasarlama.

Bu makale, Microsoft Sentinel dağıtım kılavuzunun bir parçasıdır.

Örnek 1: Birden çok kiracı ve bölge

Contoso Corporation, merkezi Londra'da olan çok uluslu bir işletmedir. Contoso'nun new york ve Tokyo'da önemli merkezlere sahip dünya çapında ofisleri vardır. Contoso kısa süre önce üretkenlik paketini Office 365'e geçirmiştir ve birçok iş yükü Azure'a geçirilmiştir.

Contoso kiracıları

Birkaç yıl önce edindiği bir satın alma nedeniyle Contoso'nun iki Microsoft Entra kiracısı vardır: contoso.onmicrosoft.com ve wingtip.onmicrosoft.com. Aşağıdaki görüntüde gösterildiği gibi her kiracının kendi Office 365 örneği ve birden çok Azure aboneliği vardır:

Her biri ayrı abonelik kümelerine sahip Contoso kiracılarının diyagramı.

Contoso uyumluluğu ve bölgesel dağıtım

Contoso şu anda üç farklı bölgede barındırılan Azure kaynaklarına sahiptir: ABD Doğu, AB Kuzey ve Batı Japonya ve Avrupa bölgelerinde oluşturulan tüm verileri tutmak için katı gereksinim.

Contoso'nun her iki Microsoft Entra kiracısının da üç bölgede de kaynakları vardır: ABD Doğu, AB Kuzey ve Batı Japonya

Contoso kaynak türleri ve koleksiyon gereksinimleri

Contoso'nın aşağıdaki veri kaynaklarından olayları toplaması gerekir:

  • Office 365
  • Microsoft Entra oturum açma ve denetim günlükleri
  • Azure Etkinliği
  • Hem şirket içi hem de Azure VM kaynaklarından olayları Windows Güvenliği
  • Hem şirket içi hem de Azure VM kaynaklarından Syslog
  • CEF, Palo Alto, Cisco ASA ve Cisco Meraki gibi birden çok şirket içi ağ cihazından
  • Azure Güvenlik Duvarı, AKS, Key Vault, Azure Depolama ve Azure SQL gibi birden çok Azure PaaS kaynağı
  • Cisco Umbrella

Azure VM'leri çoğunlukla ABD Doğu ve Batı Japonya'da yalnızca birkaçı ile AB Kuzey bölgesinde bulunur. Contoso, tüm Azure VM'lerindeki sunucular için Microsoft Defender kullanır.

Contoso, tüm veri kaynaklarından günde yaklaşık 300 GB almayı bekler.

Contoso erişim gereksinimleri

Contoso'nun Azure ortamında, altyapıyı izlemek için İşletim ekibi tarafından kullanılan tek bir Log Analytics çalışma alanı zaten var. Bu çalışma alanı, AB Kuzey bölgesindeki Contoso Microsoft Entra kiracısında bulunur ve tüm bölgelerdeki Azure VM'lerinden günlükleri toplamak için kullanılır. Şu anda günde yaklaşık 50 GB alır.

Contoso İşlemleri ekibinin, soc tarafından gerekli olmayan Perf, InsightsMetrics, ContainerLog ve daha fazlası gibi çeşitli veri türlerini içeren çalışma alanında bulunan tüm günlüklere erişimi olmalıdır. İşletim ekibinin Microsoft Sentinel'de toplanan yeni günlüklere erişimi olmamalıdır .

Contoso'nun çözümü

Constoso'nun çözümü aşağıdaki konuları içerir:

  • Contoso'nun zaten bir çalışma alanı var ve aynı çalışma alanında Microsoft Sentinel'i etkinleştirmeyi keşfetmek istiyorlar.
  • Contoso'nun mevzuat gereksinimleri olduğundan, Avrupa'da Microsoft Sentinel için en az bir Log Analytics çalışma alanının etkinleştirilmesi gerekir.
  • Contoso'nun vm'lerinin çoğu, zaten bir çalışma alanına sahip oldukları AB Kuzey bölgesidir. Bu nedenle, bu durumda bant genişliği maliyetleri önemli değildir.
  • Contoso'nun iki farklı Microsoft Entra kiracısı vardır ve Office 365 ve Microsoft Entra oturum açma ve denetim günlükleri gibi kiracı düzeyindeki veri kaynaklarından toplar ve kiracı başına en az bir çalışma alanına ihtiyacımız vardır.
  • SOC ile SOC olmayan veriler arasında çakışma olmasa da Contoso'nun SOC olmayan verileri toplaması gerekir. Ayrıca, SOC verileri yaklaşık 250 GB/gün için hesaplanmıştır, bu nedenle maliyet verimliliği için ayrı çalışma alanları kullanmaları gerekir.
  • Contoso'nun Microsoft Sentinel'i kullanacak tek bir SOC ekibi vardır, bu nedenle ek ayrım gerekmez.
  • Contoso'nun SOC ekibinin tüm üyeleri tüm verilere erişebilir, bu nedenle ek ayrım gerekmez.

Contoso için elde edilen çalışma alanı tasarımı aşağıdaki görüntüde gösterilmiştir:

Operasyon ekibi için ayrı bir çalışma alanıyla Contoso'nun çözümünün diyagramı.

Önerilen çözüm şunları içerir:

  • Contoso İşlemleri ekibi için ayrı bir Log Analytics çalışma alanı. Bu çalışma alanı yalnızca Contoso'nun SOC ekibi tarafından gerekli olmayan Perf, InsightsMetrics veya ContainerLog tabloları gibi verileri içerir.
  • Office 365, Azure Etkinliği, Microsoft Entra Kimliği ve tüm Azure PaaS hizmetlerinden veri almak için her Microsoft Entra kiracısında bir tane olmak üzere Microsoft Sentinel için etkinleştirilen iki Log Analytics çalışma alanı.
  • Şirket içi veri kaynaklarından gelen diğer tüm veriler iki çalışma alanından birine yönlendirilebilir.

Örnek 2: Birden çok buluta sahip tek kiracı

Fabrikam, New York'ta merkezi ve Birleşik Devletler çevresinde ofisleri olan bir kuruluş. Fabrikam bulut yolculuğuna başlıyor ve yine de ilk Azure giriş bölgesini dağıtması ve ilk iş yüklerini geçirmesi gerekiyor. Fabrikam,Microsoft Sentinel kullanarak izlemeyi amaçladığı AWS'de zaten bazı iş yüklerine sahiptir.

Fabrikam kiracı gereksinimleri

Fabrikam'ın tek bir Microsoft Entra kiracısı vardır.

Fabrikam uyumluluğu ve bölgesel dağıtım

Fabrikam'ın uyumluluk gereksinimleri yoktur. Fabrikam'ın ABD'de bulunan birkaç Azure bölgesinde kaynakları vardır, ancak bölgeler arasındaki bant genişliği maliyetleri önemli bir sorun değildir.

Fabrikam kaynak türleri ve koleksiyon gereksinimleri

Fabrikam'ın aşağıdaki veri kaynaklarından olay toplaması gerekir:

  • Microsoft Entra oturum açma ve denetim günlükleri
  • Azure Etkinliği
  • Hem şirket içi hem de Azure VM kaynaklarından Güvenlik Olayları
  • Hem şirket içi hem de Azure VM kaynaklarından Windows Olayları
  • Hem şirket içi hem de Azure VM kaynaklarından performans verileri
  • AWS CloudTrail
  • AKS denetim ve performans günlükleri

Fabrikam erişim gereksinimleri

Fabrikam İşlemleri ekibinin aşağıdakilere erişmesi gerekir:

  • Hem şirket içi hem de Azure VM kaynaklarından güvenlik olayları ve Windows olayları
  • Hem şirket içi hem de Azure VM kaynaklarından performans verileri
  • AKS performansı (Container Insights) ve denetim günlükleri
  • Tüm Azure Etkinliği verileri

Fabrikam SOC ekibinin aşağıdakilere erişmesi gerekir:

  • Microsoft Entra oturum açma ve denetim günlükleri
  • Tüm Azure Etkinliği verileri
  • Hem şirket içi hem de Azure VM kaynaklarından güvenlik olayları
  • AWS CloudTrail günlükleri
  • AKS denetim günlükleri
  • Tam Microsoft Sentinel portalı

Fabrikam'ın çözümü

Fabrikam'ın çözümü aşağıdaki konuları içerir:

  • Fabrikam'ın çalışma alanı yoktur, bu nedenle otomatik olarak yeni bir çalışma alanına ihtiyaç duyar.

  • Fabrikam'ın verileri ayrı tutmasını gerektiren bir mevzuat gereksinimi yoktur.

  • Fabrikam'ın tek kiracılı bir ortamı vardır ve kiracı başına ayrı çalışma alanları gerekmez.

  • Ancak Fabrikam,SOC ve Operations ekipleri için ayrı çalışma alanlarına ihtiyaç duyar.

    Fabrikam İşlemleri ekibinin hem VM'lerden hem de AKS'den performans verileri toplaması gerekir. AKS, tanılama ayarlarını temel alarak belirli çalışma alanlarına göndermek üzere belirli günlükleri seçebilir. Fabrikam, AKS denetim günlüklerini Microsoft Sentinel için etkinleştirilen Log Analytics çalışma alanına ve tüm AKS günlüklerini Microsoft Sentinel'in etkinleştirilmediği ayrı bir çalışma alanına göndermeyi seçebilir. Microsoft Sentinel'in etkinleştirilmediği çalışma alanında Fabrikam, Container Insights çözümünü etkinleştirir.

    Fabrikam, Windows VM'lerinde günlükleri bölmek, çalışma alanına güvenlik olayları göndermek ve Microsoft Sentinel olmadan çalışma alanına performans ve Windows olayları göndermek için Azure İzleme Aracısı'nı (AMA) kullanabilir.

    Fabrikam, güvenlik olayları ve Azure etkinlik olayları gibi çakışan verilerini yalnızca SOC verileri olarak kullanmayı seçer ve bu verileri Microsoft Sentinel ile çalışma alanına gönderir.

  • Fabrikam'ın, güvenlik olayları ve Azure etkinlik olayları da dahil olmak üzere çakışan veriler için erişimi denetlemesi gerekir, ancak satır düzeyinde bir gereksinim yoktur. Güvenlik olayları ve Azure etkinlik olayları özel günlükler olmadığından Fabrikam, İşletim ekibi için bu iki tabloya erişim vermek üzere tablo düzeyinde RBAC kullanabilir.

Fabrikam için elde edilen çalışma alanı tasarımı, tasarım kolaylığı açısından yalnızca anahtar günlük kaynakları da dahil olmak üzere aşağıdaki görüntüde gösterilmiştir:

Operasyon ekibi için ayrı bir çalışma alanıyla Fabrikam'ın çözümünün diyagramı.

Önerilen çözüm şunları içerir:

  • ABD bölgesindeki iki ayrı çalışma alanı: biri Microsoft Sentinel'in etkin olduğu SOC ekibi için, diğeri ise Microsoft Sentinel olmadan İşletim ekibi için.
  • Azure ve şirket içi VM'lerden her çalışma alanına hangi günlüklerin gönderileceğini belirlemek için kullanılan Azure İzleme Aracısı (AMA).
  • Aks gibi Azure kaynaklarından her çalışma alanına hangi günlüklerin gönderildiğini belirlemek için kullanılan tanılama ayarları.
  • Microsoft Sentinel için etkinleştirilmiş Log Analytics çalışma alanına gönderilen çakışan veriler ve gerektiğinde İşletim ekibine erişim izni vermek için tablo düzeyinde RBAC.

Örnek 3: Birden çok kiracı ve bölge ve merkezi güvenlik

Adventure Works, Merkezi Tokyo'da olan çok uluslu bir şirkettir. Adventure Works'te dünyanın farklı ülkelerinde/bölgelerinde bulunan 10 farklı alt varlık vardır.

Adventure Works, Microsoft 365 E5 müşterisidir ve Azure'da iş yükleri zaten vardır.

Adventure Works kiracı gereksinimleri

Adventure Works'ün üç farklı Microsoft Entra kiracısı vardır ve alt varlıkları olan kıtaların her biri için bir kiracı vardır: Asya, Avrupa ve Afrika. Farklı alt varlıkların ülke/bölgelerinin kimlikleri, ait oldukları kıtanın kiracısında bulunur. Örneğin, Japon kullanıcılar Asya kiracısında, Alman kullanıcılar Avrupa kiracısında ve Mısırlı kullanıcılar Afrika kiracısındadır.

Adventure Works uyumluluğu ve bölgesel gereksinimleri

Adventure Works şu anda her biri alt varlıkların bulunduğu kıtayla hizalanmış üç Azure bölgesi kullanıyor. Adventure Works'in katı uyumluluk gereksinimleri yoktur.

Adventure Works kaynak türleri ve koleksiyon gereksinimleri

Adventure Works'in her alt varlık için aşağıdaki veri kaynaklarını toplaması gerekir:

  • Microsoft Entra oturum açma ve denetim günlükleri
  • Office 365 günlükleri
  • Uç Nokta ham günlükleri için Microsoft Defender XDR
  • Azure Etkinliği
  • Bulut için Microsoft Defender
  • Azure Güvenlik Duvarı, Azure Depolama, Azure SQL ve Azure WAF gibi Azure PaaS kaynakları
  • Azure VM'lerinden güvenlik ve windows olayları
  • Şirket içi ağ cihazlarından CEF günlükleri

Azure VM'leri üç kıtaya dağılmış durumdadır ancak bant genişliği maliyetleri önemli değildir.

Adventure Works erişim gereksinimleri

Adventure Works,tüm farklı alt varlıklar için güvenlik operasyonlarını denetleen tek, merkezi bir SOC ekibine sahiptir.

Adventure Works ayrıca kıtaların her biri için birer tane olan üç bağımsız SOC ekibine sahiptir. Her kıtanın SOC ekibi, diğer kıtalardan gelen verileri görmeden yalnızca kendi bölgesinde oluşturulan verilere erişebilmelidir. Örneğin, Asya SOC ekibi yalnızca Asya'da dağıtılan Azure kaynaklarından verilere, Asya kiracısından Microsoft Entra Oturum Açma bilgilerine ve Asya kiracısından Uç Nokta için Defender günlüklerine erişmelidir.

Her kıtanın SOC ekibinin tam Microsoft Sentinel portalı deneyimine erişmesi gerekir.

Adventure Works'un operasyon ekibi bağımsız olarak çalışır ve Microsoft Sentinel olmadan kendi çalışma alanları vardır.

Adventure Works çözümü

Adventure Works çözümü aşağıdaki konuları içerir:

  • Adventure Works'ün Operasyon ekibinin zaten kendi çalışma alanları vardır, bu nedenle yeni bir çalışma alanı oluşturmanıza gerek yoktur.

  • Adventure Works'in verileri ayrı tutmasını gerektiren herhangi bir mevzuat gereksinimi yoktur.

  • Adventure Works üç Microsoft Entra kiracısına sahiptir ve Office 365 günlükleri gibi kiracı düzeyinde veri kaynaklarını toplaması gerekir. Bu nedenle Adventure Works, her kiracıda Microsoft Sentinel için etkinleştirilen en az bir Log Analytics çalışma alanı oluşturmalıdır.

  • Bu kararda dikkate alınması gereken tüm veriler Adventure Works SOC ekibi tarafından kullanılacak olsa da, her SOC ekibinin yalnızca bu ekiple ilgili verilere erişmesi gerektiğinden verileri sahipliklerine göre ayırmaları gerekir. Her SOC ekibinin de tam Microsoft Sentinel portalına erişmesi gerekir. Adventure Works'in tabloya göre veri erişimini denetlemesi gerekmez.

Adventure Works için elde edilen çalışma alanı tasarımı, tasarım kolaylığı açısından yalnızca anahtar günlük kaynakları da dahil olmak üzere aşağıdaki görüntüde gösterilmiştir:

Her Azure AD kiracısı için ayrı çalışma alanları içeren Adventure Works çözümünün diyagramı.

Önerilen çözüm şunları içerir:

  • Her Microsoft Entra kiracısı için Microsoft Sentinel için etkinleştirilen ayrı bir Log Analytics çalışma alanı. Her çalışma alanı, tüm veri kaynakları için kiracısıyla ilgili verileri toplar.
  • Her kıtanın SOC ekibi yalnızca kendi kiracısındaki çalışma alanına erişebilir ve bu sayede her SOC ekibi yalnızca kiracı sınırında oluşturulan günlüklere erişebilir.
  • Merkezi SOC ekibi, farklı Microsoft Sentinel ortamlarının her birine erişmek için Azure Lighthouse'u kullanarak ayrı bir Microsoft Entra kiracısından çalışmaya devam edebilir. Başka kiracı yoksa, merkezi SOC ekibi uzak çalışma alanlarına erişmek için Azure Lighthouse'u kullanmaya devam edebilir.
  • Merkezi SOC ekibi, kıta SOC ekiplerinden gizlenen yapıtları depolaması gerekiyorsa veya kıta SOC ekipleriyle ilgili olmayan diğer verileri almak istiyorsa başka bir çalışma alanı da oluşturabilir.

Sonraki adımlar

Bu makalede kuruluşlar için önerilen çalışma alanı tasarımlarını gözden geçirdiniz.

Birden çok çalışma alanına hazırlanma