Vorbereiten auf mehrere Arbeitsbereiche und Mandanten in Microsoft Sentinel

Wichtig

Nach dem 31. März 2027 werden Microsoft Sentinel im Azure-Portal nicht mehr unterstützt und sind nur im Microsoft Defender-Portal verfügbar. Alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, werden zum Defender-Portal umgeleitet und verwenden Microsoft Sentinel nur im Defender-Portal.

Wenn Sie weiterhin Microsoft Sentinel im Azure-Portal verwenden, empfehlen wir Ihnen, den Übergang zum Defender-Portal zu planen, um einen reibungslosen Übergang zu gewährleisten und die von Microsoft Defender angebotenen einheitlichen Sicherheitsvorgänge in vollem Umfang zu nutzen.

Zur Vorbereitung Ihrer Bereitstellung müssen Sie ermitteln, ob eine Architektur mit mehreren Arbeitsbereichen für Ihre Umgebung relevant ist. In diesem Artikel erfahren Sie, wie Microsoft Sentinel auf mehrere Arbeitsbereiche und Mandanten ausgeweitet werden kann, damit Sie bestimmen können, ob diese Funktion den Anforderungen Ihrer organization entspricht. Dieser Artikel ist Teil des Bereitstellungshandbuchs für Microsoft Sentinel.

Verwenden Sie eine der folgenden Setupanweisungen, je nachdem, welches Portal Sie verwenden, um Microsoft Sentinel arbeitsbereichsübergreifend zu erweitern:

Portal Verweise
Microsoft Defender-Portal - Mehrere Microsoft Sentinel Arbeitsbereiche im Defender-Portal
- Microsoft Defender mehrinstanzenfähige Verwaltung
Azure-Portal - Erweitern von Microsoft Sentinel über Arbeitsbereiche und Mandanten hinweg
- Zentrales Verwalten mehrerer Log Analytics-Arbeitsbereiche, die für Microsoft Sentinel mit dem Arbeitsbereichs-Manager aktiviert sind

Die Notwendigkeit, mehrere Arbeitsbereiche zu verwenden

Wenn Sie Microsoft Sentinel integrieren, müssen Sie zunächst Ihren Log Analytics-Arbeitsbereich auswählen. Während Sie den vollen Nutzen der Microsoft Sentinel erfahrung mit einem einzelnen Arbeitsbereich nutzen können, können Sie in einigen Fällen Ihren Arbeitsbereich erweitern, um Ihre Daten arbeitsbereichs- und mandantenübergreifend abzufragen und zu analysieren.

In dieser Tabelle sind einige dieser Szenarien aufgeführt, und wenn möglich, wird vorgeschlagen, wie Sie einen einzelnen Arbeitsbereich für das Szenario verwenden können.

Anforderung Beschreibung Möglichkeiten zum Reduzieren der Anzahl von Arbeitsbereichen
Souveränität und Einhaltung gesetzlicher Bestimmungen Ein Arbeitsbereich ist an eine bestimmte Region gebunden. Um Daten in verschiedenen Azure geografischen Regionen aufzubewahren, um die gesetzlichen Anforderungen zu erfüllen, teilen Sie die Daten in separate Arbeitsbereiche auf.

In Microsoft Sentinel werden Daten hauptsächlich in derselben Geografie oder Region gespeichert und verarbeitet, mit einigen Ausnahmen, z. B. bei Verwendung von Erkennungsregeln, die das maschinelle Lernen von Microsoft nutzen. In solchen Fällen können Daten zur Verarbeitung außerhalb Ihrer Arbeitsbereichsgeografie kopiert werden.
Datenbesitz Die Grenzen des Datenbesitzes, z. B. durch Tochtergesellschaften oder verbundene Unternehmen, werden durch separate Arbeitsbereiche besser abgegrenzt.
Mehrere Azure-Mandanten Microsoft Sentinel unterstützt die Datenerfassung aus Microsoft- und Azure-SaaS-Ressourcen nur innerhalb der Grenzen des eigenen Microsoft Entra-Mandanten. Daher erfordert jeder Microsoft Entra Mandanten einen separaten Arbeitsbereich.
Granulare Datenzugriffssteuerung Ein organization muss möglicherweise verschiedenen Gruppen innerhalb oder außerhalb des organization den Zugriff auf einige der von Microsoft Sentinel gesammelten Daten ermöglichen. Zum Beispiel:
  • Zugriff von Ressourcenbesitzern auf Daten, die sich auf ihre Ressourcen beziehen
  • Zugang regionaler oder nachgeordneter SOCs zu Daten, die für ihre jeweiligen Organisationsbereiche relevant sind
Verwenden Sie Azure RBAC auf Ressourcenebene oder Azure RBAC auf Tabellenebene
Granulare Aufbewahrungseinstellungen In der Vergangenheit waren mehrere Arbeitsbereiche die einzige Möglichkeit, unterschiedliche Aufbewahrungszeiträume für verschiedene Datentypen festzulegen. Dank der Einführung von Aufbewahrungseinstellungen auf Tabellenebene ist dies in vielen Fällen nicht mehr erforderlich. Verwenden von Aufbewahrungseinstellungen auf Tabellenebene oder Automatisieren des Löschens von Daten
Aufteilung der Abrechnung Durch das Platzieren von Arbeitsbereichen in separaten Abonnements können sie verschiedenen Parteien in Rechnung gestellt werden. Nutzungsberichte und Querladevorgänge
Legacy-Architektur Die Verwendung mehrerer Arbeitsbereiche kann aus einem historischen Entwurf stammen, bei dem Einschränkungen oder bewährte Methoden berücksichtigt wurden, die nicht mehr wahr sind. Es kann auch eine beliebige Entwurfsauswahl sein, die geändert werden kann, um Microsoft Sentinel besser zu berücksichtigen.

Dazu gehören:
  • Verwenden eines Standardarbeitsbereichs pro Abonnement bei der Bereitstellung von Microsoft Defender for Cloud
  • Die Notwendigkeit einer präzisen Zugriffssteuerung oder Aufbewahrungseinstellungen, deren Lösungen relativ neu sind
Umgestalten von Arbeitsbereichen

Berücksichtigen Sie bei der Entscheidung, wie viele Mandanten und Arbeitsbereiche verwendet werden sollen, dass die meisten Microsoft Sentinel-Funktionen mit einem einzelnen Arbeitsbereich oder einer Microsoft Sentinel-Instanz arbeiten und Microsoft Sentinel alle im Arbeitsbereich enthaltenen Protokolle aufnimmt.

Managed Security Service Provider (MSSP)

Bei einem MSSP gelten viele, wenn nicht alle, der oben genannten Anforderungen, sodass mehrere Arbeitsbereiche über Mandanten hinweg die Best Practice sind. Insbesondere empfehlen wir, mindestens einen Arbeitsbereich für jeden Microsoft Entra-Mandanten zu erstellen, um integrierte Dienst-zu-Dienst-Datenkonnektoren zu unterstützen, die nur innerhalb ihres eigenen Microsoft Entra-Mandanten funktionieren.

  • Connectoren, die auf Diagnoseeinstellungen basieren, können nicht mit einem Arbeitsbereich verknüpft werden, der sich nicht in demselben Mandanten befindet, in dem sich die Ressource befindet. Dies gilt für Connectors wie Azure Firewall, Azure Storage, Azure Activity oder Microsoft Entra ID.

  • Partnerdatenkonnektoren basieren häufig auf API- oder Agent-Sammlungen und sind daher keinem bestimmten Microsoft Entra-Mandanten zugeordnet.

Verwenden sie Azure Lighthouse, um mehrere Microsoft Sentinel-Instanzen in verschiedenen Mandanten zu verwalten.u

Microsoft Sentinel-Architektur mit mehreren Arbeitsbereichen

Wie durch die oben genannten Anforderungen impliziert, gibt es Fälle, in denen ein einzelnes SOC mehrere Log Analytics-Arbeitsbereiche, die für Microsoft Sentinel aktiviert sind, zentral verwalten und überwachen muss, möglicherweise über Microsoft Entra Mandanten hinweg.

  • Ein MSSP-Microsoft Sentinel-Dienst.
  • Ein globales SOC für mehrere Tochtergesellschaften, die jeweils über einen eigenen lokalen SOC verfügen.
  • Ein SOC, der mehrere Microsoft Entra Mandanten innerhalb einer Organisation überwacht.

Um diese Fälle zu beheben, bietet Microsoft Sentinel Funktionen mit mehreren Arbeitsbereichen, die eine zentrale Überwachung, Konfiguration und Verwaltung ermöglichen und einen zentralen Bereich für alles bieten, was vom SOC abgedeckt wird. Dieses Diagramm zeigt eine Beispielarchitektur für solche Anwendungsfälle.

Diagramm zur Erweiterung des Arbeitsbereichs über mehrere Mandanten hinweg: Architektur.

Dieses Modell bietet erhebliche Vorteile gegenüber einem vollständig zentralisierten Modell, bei dem alle Daten in einen einzelnen Arbeitsbereich kopiert werden:

  • Flexible Rollenzuweisung an globale und lokale SOCs oder an den MSSP bzw. seine Kunden.
  • Weniger Herausforderungen in Bezug auf Datenbesitz, Datenschutz und Einhaltung gesetzlicher Bestimmungen.
  • Minimale Netzwerklatenz und -gebühren.
  • Einfaches Onboarding und Offboarding neuer Tochtergesellschaften oder Kunden.

Nächste Schritte

In diesem Artikel haben Sie erfahren, wie Microsoft Sentinel auf mehrere Arbeitsbereiche und Mandanten ausgeweitet werden können.