規劃 Microsoft Sentinel 工作區
部署 Microsoft Sentinel 之前,請務必先了解工作區選項。 Microsoft Sentinel 的解決方案會安裝在 Log Analytics 工作區中,大部分實作考量會著重在建立 Log Analytics 工作區。 建立新的 Log Analytics 工作區時,最重要的一個選項就是區域。 區域會指定記錄資料所在的位置。
總共有三個執行選項:
具有單一 Microsoft Sentinel 工作區的單一租用戶
具有區域 Microsoft Sentinel 工作區的單一租用戶
多租用戶
單一租用戶單一工作區
具有單一 Microsoft Sentinel 工作區的單一租用戶,會是同一租用戶中所有資源的中央記錄存放庫。
此工作區會接收相同租用戶內其他區域中的資源記錄。 由於記錄檔資料 (在收集時) 會在區域間移動並被儲存到另一個區域中,因此這會產生兩個疑慮。 首先,它可能會產生頻寬成本。 其次,如果有將資料保留在特定區域的資料治理需求,單一工作區選項便無法成為實作選項。
使用具有單一工作區的單一租用戶時,須權衡取捨下列事項:
| 優點 | 缺點 |
|---|---|
| 中央玻璃窗格 | 可能不符合資料治理需求 |
| 合併所有安全性記錄和資訊 | 可能會產生跨區域的頻寬成本 |
| 能更輕鬆地查詢所有資訊 | |
| 用來控制資料存取的 Azure Log Analytics RBAC | |
| 適用於服務 RBAC 的 Microsoft Sentinel RBAC |
具有區域 Microsoft Sentinel 工作區的單一租用戶
具有區域 Microsoft Sentinel 工作區的單一租用戶會有多個 Microsoft Sentinel 工作區,因此必須建立和設定多個 Microsoft Sentinel 與 Log Analytics 工作區。
| 優點 | 缺點 |
|---|---|
| 無跨區域頻寬成本 | 無中央玻璃窗格 無法在單一位置查看所有資料。 |
| 可能需要符合資料治理需求 | 您必須多次進行部署分析與活頁簿等工作。 |
| 細微的資料存取控制 | |
| 瑣碎的保留設定 | |
| 分割帳單 |
若要跨工作區查詢資料,請在資料表名稱之前使用工作區 () 函數。
TableName
| union workspace("WorkspaceName").TableName
多租用戶工作區
如果您需要管理 Microsoft Sentinel 工作區,但無法在您的租用戶中進行,可以使用 Azure Lighthouse 實作多租用戶工作區。 此安全性設定會授與您對租用戶的存取權。 租用戶中的租用戶設定 (區域或多區域) 考量與之前相同。
使用與適用於雲端的 Microsoft Defender 相同的 Log Analytics 工作區
針對 Microsoft Sentinel 和適用於雲端的 Microsoft Defender 使用相同的工作區,因此 Microsoft Sentinel 也可以內嵌和使用適用於雲端的 Microsoft Defender 收集的所有記錄。 適用於雲端的 Microsoft Defender 建立的預設工作區不會顯示為 Microsoft Sentinel 的可用工作區。