Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Это важно
Microsoft Sentinel общедоступен на портале Microsoft Defender, в том числе для клиентов без XDR Microsoft Defender или лицензии E5.
Начиная с июля 2026 года все клиенты, использующие Microsoft Sentinel на портале Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender. Начиная с июля 2025 года многие новые клиенты автоматически подключены и перенаправляются на портал Defender.
Если вы по-прежнему используете Microsoft Sentinel на портале Azure, рекомендуется приступить к планированию перехода на портал Defender , чтобы обеспечить плавный переход и воспользоваться всеми преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender. Дополнительные сведения см. в статье " Время перемещения: выход из эксплуатации портала Azure Microsoft Sentinel" для повышения безопасности.
Чтобы подготовиться к развертыванию, необходимо определить, относится ли архитектура нескольких рабочих областей к вашей среде. Из этой статьи вы узнаете, как Microsoft Sentinel может охватывать несколько рабочих пространств и клиентов, чтобы выяснить, подходит ли эта функция для вашей организации. Эта статья является частью руководства по развертыванию Microsoft Sentinel.
Используйте один из следующих наборов инструкций по настройке в зависимости от того, какой портал используется для расширения Microsoft Sentinel в рабочих областях:
Необходимость использования нескольких рабочих областей
При подключении Microsoft Sentinel прежде всего необходимо выбрать рабочую область Log Analytics. Хотя вы можете использовать все возможности Microsoft Sentinel с одной рабочей областью, в некоторых случаях может потребоваться расширить рабочую область, чтобы запрашивать и анализировать данные в нескольких рабочих областях и клиентах.
В этой таблице перечислены некоторые из этих сценариев и, когда это возможно, предполагается, как можно использовать одну рабочую область для сценария.
| Требование | Описание | Способы сокращения количества рабочих мест |
|---|---|---|
| Суверенитет и соответствие нормативным требованиям | Рабочая область связана с конкретным регионом. Если данные должны храниться в разных географических регионах Azure для выполнения нормативных требований, их необходимо разделить на отдельные рабочие области. В Microsoft Sentinel данные в основном хранятся и обрабатываются в одном географическом регионе, кроме некоторых исключений, например, когда применяются правила обнаружения, использующие машинное обучение корпорации Майкрософт. В таких случаях данные могут быть скопированы за пределы географии вашего рабочего пространства для обработки. |
|
| Владение данными | Границы владения данными, например для дочерних компаний или аффилированных организаций, удобнее устанавливать с помощью отдельных рабочих областей. | |
| Несколько клиентов Azure | Microsoft Sentinel поддерживает сбор данных из ресурсов Microsoft и SaaS только в пределах собственной границы клиента Microsoft Entra. Поэтому для каждого клиента Microsoft Entra требуется отдельная рабочая область. | |
| Детальный контроль доступа к данным | Организации может потребоваться разрешить различным группам, в пределах или за пределами организации, доступ к некоторым данным, собранным Microsoft Sentinel. Например:
|
Используйте RBAC Azure для ресурса или RBAC Azure для уровня таблицы |
| Детализированные параметры сохранения | Исторически несколько рабочих областей были единственным способом задать разные сроки хранения для разных типов данных. Благодаря вводу параметров хранения на уровне таблицы, в большинстве случаев это больше не нужно. | Используйте параметры хранения на уровне таблицы или автоматизируйте удаление данных |
| Разделение выставления счетов | При размещении рабочих пространств в разных подписках счета могут выставляться разным сторонам. | Отчеты об использовании и перекрестное выставление счетов |
| Наследственная архитектура | Использование нескольких рабочих областей может происходить из исторической структуры, которая учитывала ограничения или рекомендации, которые больше не имеют значения true. Это также может быть произвольный выбор дизайна, который можно изменить под более подходящую работу с Microsoft Sentinel. Вот некоторые примеры.
|
Перепроектирование рабочих областей |
При определении количества используемых арендаторов и рабочих областей следует учитывать, что большинство компонентов Microsoft Sentinel работает с одной рабочей областью или экземпляром Microsoft Sentinel, а Microsoft Sentinel принимает все журналы, размещенные в этой рабочей области.
Управляемый поставщик службы безопасности (MSSP)
В случае MSSP применяются многие, если не все, из перечисленных выше требований, поэтому рекомендуется создать несколько рабочих областей для разных арендаторов. В частности, рекомендуется создать по крайней мере одну рабочую область для каждого клиента Microsoft Entra для поддержки встроенных соединителей данных, которые работают только в собственном клиенте Microsoft Entra.
Соединители, основанные на параметрах диагностики, не могут быть подключены к рабочей области, если она не находится в том же арендатора, где расположен ресурс. Это относится к соединителям, таким как Брандмауэр Azure, служба хранилища Azure, действие Azure или идентификатор Microsoft Entra.
Соединители данных партнера часто основаны на коллекциях API или агентов , поэтому не подключены к конкретному клиенту Microsoft Entra.
Использование Azure Lighthouse для управления несколькими экземплярами Microsoft Sentinel в разных клиентах.u
Архитектура с несколькими рабочими областями Microsoft Sentinel
Как подразумевается в приведенных выше требованиях, существуют случаи, когда единый SOC должен централизованно управлять несколькими рабочими областями Log Analytics, включенными для Microsoft Sentinel, возможно, в клиентах Microsoft Entra.
- Служба MSSP Microsoft Sentinel.
- Глобальный SOC, обслуживающий несколько дочерних компаний, у каждой из которых есть свой локальный SOC.
- SoC отслеживает несколько клиентов Microsoft Entra в организации.
Для таких сценариев Microsoft Sentinel предлагает использовать возможности нескольких рабочих областей, позволяющих централизованно выполнять мониторинг, настройку и управление, предоставляя единую панель управления для всей сферы ответственности SOC. Пример архитектуры для таких вариантов использования показан на следующей схеме.
Такая модель обеспечивает значительные преимущества по сравнению с полностью централизованной моделью, в которой все данные копируются в одну рабочую область:
- гибкое назначение ролей глобальным и локальным SOC, а также MSSP или их клиентам.
- меньшее количество проблем, связанных с владением данными, конфиденциальностью данных и соблюдением нормативных требований;
- сокращение сетевых задержек и расходов;
- простота подключения и отключения новых дочерних компаний и клиентов.
Следующие шаги
В этой статье вы узнали, как Microsoft Sentinel может охватывать несколько рабочих областей и тенантов.