你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
重要
2027 年 3 月 31 日之后,Azure 门户将不再支持Microsoft Sentinel,并且仅在Microsoft Defender门户中可用。 在Azure 门户中使用Microsoft Sentinel的所有客户都将重定向到 Defender 门户,并且仅在 Defender 门户中使用Microsoft Sentinel。
如果仍在Azure 门户中使用Microsoft Sentinel,建议开始规划到 Defender 门户的转换,以确保平稳过渡,并充分利用 Microsoft Defender 提供的统一安全操作体验。
若要准备部署,需要确定多个工作区体系结构是否与环境相关。 本文介绍如何Microsoft Sentinel跨多个工作区和租户进行扩展,以便确定此功能是否适合组织的需求。 本文是Microsoft Sentinel部署指南的一部分。
根据用于跨工作区扩展Microsoft Sentinel的门户,使用以下设置说明集之一:
| 门户 | References |
|---|---|
| Microsoft Defender 门户 |
-
Defender 门户中的多个Microsoft Sentinel工作区 - Microsoft Defender多租户管理 |
| Azure 门户 |
-
跨工作区和租户扩展Microsoft Sentinel - 使用工作区管理器集中管理为Microsoft Sentinel启用的多个 Log Analytics 工作区 |
需要使用多个工作区
载入Microsoft Sentinel时,第一步是选择 Log Analytics 工作区。 虽然可以通过单个工作区获得Microsoft Sentinel体验的全部好处,但在某些情况下,你可能希望扩展工作区以跨工作区和租户查询和分析数据。
此表列出了其中一些方案,并建议如何在方案中使用单个工作区(如果可能)。
| 要求 | 说明 | 减少工作区计数的方法 |
|---|---|---|
| 主权和法规遵从性 | 工作区绑定到特定区域。 若要将数据保存在不同的Azure地理位置以满足法规要求,请将数据拆分为单独的工作区。 在Microsoft Sentinel中,数据主要在同一地理位置或区域中存储和处理,但有一些例外,例如,使用利用Microsoft机器学习的检测规则时。 在这种情况下,数据可能会复制到工作区地理位置之外进行处理。 |
|
| 数据所有权 | 数据所有权的边界(例如子公司或关联公司)最好使用单独的工作区来划分。 | |
| 多个Azure租户 | Microsoft Sentinel仅支持在其自己的Microsoft Entra租户边界内从Microsoft和Azure SaaS 资源收集数据。 因此,每个Microsoft Entra租户都需要单独的工作区。 | |
| 精细数据访问控制 | 组织可能需要允许组织内部或外部的不同组访问Microsoft Sentinel收集的某些数据。 例如:
|
使用资源Azure RBAC 或表级别Azure RBAC |
| 精细保留设置 | 从历史上看,多个工作区是为不同数据类型设置不同保留期的唯一方法。 由于引入了表级保留设置,在许多情况下不再需要此操作。 | 使用 表级保留设置 或自动 删除数据 |
| 拆分计费 | 通过将工作区放置在单独的订阅中,可以向不同的方计费。 | 使用情况报告和交叉充电 |
| 旧体系结构 | 使用多个工作区可能源于一个历史设计,该设计考虑到了不再成立的限制或最佳做法。 它也可能是可以修改的任意设计选择,以更好地适应Microsoft Sentinel。 示例包括:
|
重新构建工作区 |
确定要使用的租户和工作区数时,请考虑大多数Microsoft Sentinel功能使用单个工作区或Microsoft Sentinel实例运行,Microsoft Sentinel引入工作区中存储的所有日志。
托管安全服务提供程序 (MSSP)
对于 MSSP,许多(如果不是所有)上述要求都适用,因此,跨租户创建多个工作区是最佳做法。 具体而言,我们建议为每个Microsoft Entra租户至少创建一个工作区,以支持仅在自己的Microsoft Entra租户中工作的内置服务到服务数据连接器。
基于诊断设置的连接器无法连接到不位于资源所在的同一租户中的工作区。 这适用于连接器,例如Azure 防火墙、Azure存储、Azure活动或Microsoft Entra ID。
合作伙伴数据连接器通常基于 API 或代理集合,因此不会附加到特定的Microsoft Entra租户。
使用 Azure Lighthouse 帮助管理不同租户中的多个Microsoft Sentinel实例。
Microsoft Sentinel多个工作区体系结构
如上述要求所暗示,在某些情况下,单个 SOC 需要集中管理和监视为Microsoft Sentinel启用的多个 Log Analytics 工作区,这些工作区可能跨Microsoft Entra租户。
- MSSP Microsoft Sentinel服务。
- 为多个子公司提供服务的全球 SOC,每个子公司都有自己的本地 SOC。
- 监视组织中多个Microsoft Entra租户的 SOC。
为了解决这些情况,Microsoft Sentinel提供了多个工作区功能,可实现集中监视、配置和管理,从而在 SOC 涵盖的所有方面提供单一管理平台。 此图显示了此类用例的示例体系结构。
与完全集中的模型(所有数据都复制到单个工作区)比较,此模型具有显著优势:
- 向全球和本地 SOC 或 MSSP 其客户灵活分配角色。
- 减少了有关数据所有权、数据隐私和法规合规性的挑战。
- 网络延迟和费用最低。
- 轻松加入和卸载新子公司或客户。
后续步骤
本文介绍了Microsoft Sentinel如何跨多个工作区和租户扩展。