Примеры макетов рабочих областей Log Analytics для Microsoft Sentinel

В этой статье описаны рекомендуемые проекты рабочих областей Log Analytics для организаций со следующими примерами требований:

  • Несколько клиентов и регионов с европейскими требованиями к независимости данных
  • Один клиент с несколькими облаками
  • Несколько клиентов с несколькими регионами и централизованной безопасностью

Дополнительные сведения см. в статье Проектирование архитектуры рабочей области Log Analytics.

Эта статья является частью руководства по развертыванию для Microsoft Sentinel.

Пример 1. Несколько клиентов и регионов

Корпорация Contoso является многонациональной компанией со штаб-квартирой в Лондоне. У компании Contoso есть офисы по всему миру, а важные центры находятся в Нью-Йорке и Токио. Недавно компания Contoso переместила свой набор производительности в Office 365, при этом многие рабочие нагрузки перенесены в Azure.

Клиенты Contoso

Из-за приобретения несколько лет назад у Contoso есть два клиента Microsoft Entra: contoso.onmicrosoft.com и wingtip.onmicrosoft.com. Каждый клиент имеет собственный экземпляр Office 365 и несколько Azure подписок, как показано на следующем рисунке:

Схема клиентов Contoso с отдельными наборами подписок.

Соответствие требованиям Contoso и региональное развертывание

В настоящее время компания Contoso Azure ресурсы, размещенные в трех разных регионах: восточная часть США, Север ЕС и Западная Япония, а также строгие требования к тому, чтобы все данные, созданные в Европе, сохранялись в регионах Европы.

Оба клиента Microsoft Entra Contoso имеют ресурсы во всех трех регионах: восточная часть США, север ЕС и Западная Япония

Типы ресурсов и требования к сбору данных Contoso

Компании Contoso необходимо собирать события из следующих источников данных:

  • Office 365
  • Microsoft Entra журналы входа и аудита
  • Действия Azure
  • события Безопасность Windows из локальных и Azure источников виртуальных машин
  • Системный журнал из локальных и Azure источников виртуальных машин
  • CEF из нескольких локальных сетевых устройств, таких как Palo Alto, Cisco ASA и Cisco Meraki
  • Несколько ресурсов PaaS Azure, например Брандмауэр Azure, AKS, Key Vault, хранилище Azure и Azure SQL
  • Cisco Umbrella

Azure виртуальные машины в основном расположены в северном регионе ЕС, и лишь некоторые из них находятся в Восточной и Западной Японии. Компания Contoso использует Microsoft Defender для серверов на всех виртуальных машинах Azure.

Компания Contoso ожидает принимать около 300 ГБ в день из всех источников данных.

Требования к доступу Contoso

В Azure среде Contoso уже есть одна рабочая область Log Analytics, используемая операционной группой для мониторинга инфраструктуры. Эта рабочая область расположена в клиенте Contoso Microsoft Entra в северном регионе ЕС и используется для сбора журналов с Azure виртуальных машин во всех регионах. В настоящее время они получают около 50 ГБ в день.

Команда contoso Operations должна иметь доступ ко всем журналам, которые в настоящее время есть в рабочей области, которые включают несколько типов данных, не необходимых SOC, таких как Perf, InsightsMetrics, ContainerLog и многое другое. Группа операций не должна иметь доступа к новым журналам, собранным в Microsoft Sentinel.

Решение Contoso

Решение Constoso включает в себя следующие рекомендации.

  • У Компании Contoso уже есть рабочая область, и она хотела бы ознакомиться с включением Microsoft Sentinel в той же рабочей области.
  • Компания Contoso имеет нормативные требования, поэтому нам нужна по крайней мере одна рабочая область Log Analytics, включенная для Microsoft Sentinel в Европе.
  • Большинство виртуальных машин Contoso находятся в северном регионе ЕС, где у них уже есть рабочая область. Поэтому в этом случае затраты на пропускную способность не являются проблемой.
  • Компания Contoso имеет два разных клиента Microsoft Entra и собирает данные из источников данных на уровне клиента, таких как Office 365 и Microsoft Entra журналы входа и аудита. Для каждого клиента требуется по крайней мере одна рабочая область.
  • Компании Contoso необходимо собирать данные, не относящиеся к SOC, хотя между данными SOC и другими данными нет никакого перекрытия. Кроме того, данные SOC составляют около 250 ГБ в день, поэтому они должны использовать отдельные рабочие области для экономии затрат.
  • В Компании Contoso есть одна команда SOC, которая будет использовать Microsoft Sentinel, поэтому дополнительное разделение не требуется.
  • Все члены команды SOC Contoso будут иметь доступ ко всем данным, поэтому дополнительное разделение не требуется.

Результирующая рабочая область для Contoso показана на следующем рисунке:

Схема решения Contoso с отдельной рабочей областью для команды ops.

Предлагаемое решение включает в себя:

  • Отдельная рабочая область Log Analytics для группы операций Contoso. Эта рабочая область будет содержать только данные, которые не нужны команде SOC компании Contoso, такие как таблицы Perf, InsightsMetrics или ContainerLog .
  • Две рабочие области Log Analytics, включенные для Microsoft Sentinel, по одной в каждом клиенте Microsoft Entra, для приема данных из Office 365, действий Azure, Microsoft Entra ID и всех Azure служб PaaS.
  • Все остальные данные, поступающие из локальных источников данных, можно направить в одну из двух рабочих областей.

Пример 2. Один клиент с несколькими облаками

Fabrikam является организацией со штаб-квартирой в Нью-Йорке и офисами по всему США. Fabrikam начинает свое облако, и по-прежнему необходимо развернуть свой первый Azure целевой зоне и перенести свои первые рабочие нагрузки. У Fabrikam уже есть некоторые рабочие нагрузки в AWS, которые планируется отслеживать с помощью Microsoft Sentinel.

Требования к аренде Fabrikam

У Fabrikam есть один клиент Microsoft Entra.

Соответствие требованиям Fabrikam и региональное развертывание

Fabrikam не имеет требований к соответствию. Fabrikam имеет ресурсы в нескольких Azure регионах, расположенных в США, но расходы на пропускную способность в разных регионах не являются серьезной проблемой.

Требования к типам ресурсов и коллекции Fabrikam

Fabrikam необходимо собирать события из следующих источников данных:

  • Microsoft Entra журналы входа и аудита
  • Действия Azure
  • События безопасности из локальных и Azure источников виртуальных машин
  • События Windows из локальных и Azure источников виртуальных машин
  • Данные о производительности из локальных и Azure источников виртуальных машин
  • AWS CloudTrail
  • Журналы аудита и производительности AKS

Требования к доступу Fabrikam

Команда fabrikam Operations должна получить доступ к:

  • События безопасности и события Windows из локальных и Azure источников виртуальных машин
  • Данные о производительности из локальных и Azure источников виртуальных машин
  • Производительность AKS (аналитика контейнеров) и журналы аудита
  • Все данные о действиях Azure

Команда Fabrikam SOC должна получить доступ к:

  • Microsoft Entra журналы входа и аудита
  • Все данные о действиях Azure
  • События безопасности из локальных и Azure источников виртуальных машин
  • Журналы AWS CloudTrail
  • Журналы аудита AKS
  • Полный портал Microsoft Sentinel

Решение Fabrikam

Решение Fabrikam включает в себя следующие рекомендации.

  • У Fabrikam нет существующей рабочей области, поэтому ей автоматически потребуется новая рабочая область.

  • Fabrikam не имеет нормативных требований, которые требуют от них хранить данные отдельно.

  • Fabrikam имеет среду с одним клиентом и не требует отдельных рабочих областей для каждого клиента.

  • Однако fabrikam потребуется отдельные рабочие области для своих групп SOC и операционных групп.

    Команда fabrikam Operations должна собирать данные о производительности как с виртуальных машин, так и с AKS. Так как AKS основан на параметрах диагностики, они могут выбирать определенные журналы для отправки в определенные рабочие области. Fabrikam может отправлять журналы аудита AKS в рабочую область Log Analytics, включенную для Microsoft Sentinel, а все журналы AKS — в отдельную рабочую область, где Microsoft Sentinel не включена. В рабочей области, где Microsoft Sentinel не включен, Fabrikam включает решение Аналитика контейнеров.

    Для виртуальных машин Windows Fabrikam может использовать агент мониторинга Azure (AMA) для разделения журналов, отправки событий безопасности в рабочую область, а также событий производительности и Windows в рабочую область без Microsoft Sentinel.

    Fabrikam решает рассматривать их перекрывающиеся данные, такие как события безопасности и события Azure действий, только как данные SOC, и отправляет эти данные в рабочую область с Microsoft Sentinel.

  • Fabrikam должна управлять доступом для перекрывающихся данных, включая события безопасности и события Azure действий, но требования к уровню строк отсутствуют. Так как события безопасности и события Azure действий не являются пользовательскими журналами, Fabrikam может использовать RBAC на уровне таблицы, чтобы предоставить доступ к этим двум таблицам для операционной команды.

Результирующая структура рабочей области для Fabrikam показана на следующем рисунке, включая только ключевые источники журналов для простоты проектирования:

Схема решения Fabrikam с отдельной рабочей областью для команды ops.

Предлагаемое решение включает в себя:

  • Две отдельные рабочие области в регионе США: одна для команды SOC с включенным Microsoft Sentinel, а другая — для операционной группы без Microsoft Sentinel.
  • Агент мониторинга Azure (AMA), используемый для определения того, какие журналы отправляются в каждую рабочую область с Azure и локальных виртуальных машин.
  • Параметры диагностики, используемые для определения того, какие журналы отправляются в каждую рабочую область из Azure ресурсов, таких как AKS.
  • Перекрывающиеся данные, отправляемые в рабочую область Log Analytics, включенную для Microsoft Sentinel, с RBAC табличного уровня для предоставления доступа операционной команде при необходимости.

Пример 3. Несколько клиентов и регионов и централизованная безопасность

Adventure Works является многонациональной компанией со штаб-квартирой в Токио. У Adventure Works есть 10 разных дочерних сущностей, базирующихся в разных странах и регионах по всему миру.

Adventure Works является Microsoft 365 E5 клиентом и уже имеет рабочие нагрузки в Azure.

Требования к аренде Adventure Works

У Adventure Works есть три разных арендатора Microsoft Entra, по одному для каждого из континентов, где у них есть дочерние сущности: Азия, Европа и Африка. Страны и регионы различных суб-субъектов имеют свою идентичность в арендаторе континента, к которому они принадлежат. Например, японские пользователи находятся в клиенте Азии , немецкие — в клиенте Европы , а египетские — в клиенте Africa .

Соответствие требованиям Adventure Works и региональные требования

В настоящее время в Adventure Works используются три Azure регионов, каждый из которых соответствует континенту, на котором находятся вложенные сущности. У Adventure Works нет строгих требований к соответствию.

Типы ресурсов и требования к коллекции Adventure Works

Adventure Works необходимо собрать следующие источники данных для каждой вложенной сущности:

  • Microsoft Entra журналы входа и аудита
  • журналы Office 365
  • Microsoft Defender XDR необработанных журналов конечной точки
  • Действия Azure
  • Microsoft Defender для облака
  • Azure ресурсов PaaS, например из Брандмауэр Azure, хранилища Azure, Azure SQL и Azure WAF
  • События безопасности и windows на виртуальных машинах Azure
  • Журналы CEF с локальных сетевых устройств

Azure виртуальные машины разбросаны по трем континентам, но затраты на пропускную способность не являются проблемой.

Требования к доступу к Adventure Works

В Adventure Works есть единая централизованная команда SOC, которая контролирует операции по обеспечению безопасности для всех различных подэлементов.

Adventure Works также имеет три независимые команды SOC, по одной для каждого из континентов. Команда SOC каждого континента должна иметь доступ только к данным, созданным в пределах региона, не видя данные с других континентов. Например, команда SOC в Азии должна получать доступ только к данным из Azure ресурсов, развернутых в Азии, Microsoft Entra входам из клиента Asia и журналам Defender для конечной точки из клиента Asia.

Команда SOC каждого континента должна получить доступ к полному интерфейсу портала Microsoft Sentinel.

Группа операций Adventure Works работает независимо и имеет собственные рабочие области без Microsoft Sentinel.

Решение Adventure Works

Решение Adventure Works включает в себя следующие рекомендации.

  • У рабочей группы Adventure Works уже есть собственные рабочие области, поэтому создавать новые рабочие области нет необходимости.

  • У Adventure Works нет нормативных требований, которые требуют от них хранить данные отдельно.

  • У Adventure Works есть три клиента Microsoft Entra, и необходимо собирать источники данных на уровне клиента, такие как Office 365 журналы. Поэтому Adventure Works должна создать по крайней мере одну рабочую область Log Analytics, включаемую для Microsoft Sentinel в каждом клиенте.

  • Хотя все данные, рассмотренные в этом решении, будут использоваться командой SOC Adventure Works, они должны разделить данные по владельцам, так как каждой команде SOC требуется доступ только к данным, относящимся к этой команде. Каждой команде SOC также требуется доступ к полному Microsoft Sentinel порталу. Adventure Works не требуется управлять доступом к данным по таблице.

Результирующая структура рабочей области для Adventure Works показана на следующем рисунке, включая только ключевые источники журналов для простоты проектирования:

Схема решения Adventure Works с отдельными рабочими областями для каждого клиента Azure AD.

Предлагаемое решение включает в себя:

  • Отдельная рабочая область Log Analytics, включенная для Microsoft Sentinel для каждого клиента Microsoft Entra. Каждая рабочая область собирает данные, связанные со своим клиентом, для всех источников данных.
  • Команда SOC каждого континента имеет доступ только к рабочей области в собственном клиенте, обеспечивая доступ только к журналам, созданным в пределах границ клиента, каждой команде SOC.
  • Центральная команда SOC по-прежнему может работать из отдельного клиента Microsoft Entra, используя Azure Lighthouse для доступа к каждой из разных сред Microsoft Sentinel. Если другого клиента нет, центральная команда SOC по-прежнему может использовать Azure Lighthouse для доступа к удаленным рабочим областям.
  • Центральная команда SOC также может создать другую рабочую область, если ей нужно хранить артефакты, которые остаются скрытыми от команд SOC на континенте, или если она хочет принимать другие данные, которые не относятся к командам SOC на континенте.

Дальнейшие действия

В этой статье вы рассмотрели набор рекомендуемых макетов рабочих областей для организаций.

Подготовка к нескольким рабочим областям

  • Last updated on