Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Viktigt!
Microsoft Sentinel är allmänt tillgängligt i Microsoft Defender-portalen, inklusive för kunder utan Microsoft Defender XDR eller en E5-licens.
Från och med juli 2026 omdirigeras alla kunder som använder Microsoft Sentinel i Azure-portalen till Defender-portalen och kommer endast att använda Microsoft Sentinel i Defender-portalen. Från och med juli 2025 registreras och omdirigeras många nya kunder automatiskt till Defender-portalen.
Om du fortfarande använder Microsoft Sentinel i Azure-portalen rekommenderar vi att du börjar planera övergången till Defender-portalen för att säkerställa en smidig övergång och dra full nytta av den enhetliga säkerhetsåtgärdsupplevelse som erbjuds av Microsoft Defender. Mer information finns i It's Time to Move: Retiring Microsoft Sentinel's Azure Portal for greater security (Det är dags att flytta: Dra tillbaka Microsoft Sentinels Azure-portal för ökad säkerhet).
För att förbereda för distributionen måste du avgöra om en arkitektur för flera arbetsytor är relevant för din miljö. I den här artikeln får du lära dig hur Microsoft Sentinel kan utökas över flera arbetsytor och klienter så att du kan avgöra om den här funktionen passar organisationens behov. Den här artikeln är en del av distributionsguiden för Microsoft Sentinel.
Använd någon av följande uppsättningar med konfigurationsinstruktioner, beroende på vilken portal du använder för att utöka Microsoft Sentinel mellan arbetsytor:
| Portal | Referenser |
|---|---|
| Portalen för Microsoft Defender |
-
Flera Microsoft Sentinel-arbetsytor i Defender-portalen - Hantering av flera klientorganisationer i Microsoft Defender |
| Azure-portalen |
-
Utöka Microsoft Sentinel över arbetsytor och klientorganisationer - Hantera flera Log Analytics-arbetsytor som är aktiverade för Microsoft Sentinel centralt med arbetsytehanteraren |
Behovet av att använda flera arbetsytor
När du registrerar Microsoft Sentinel är ditt första steg att välja din Log Analytics-arbetsyta. Du kan dra full nytta av Microsoft Sentinel-upplevelsen med en enda arbetsyta, men i vissa fall kanske du vill utöka din arbetsyta för att fråga och analysera dina data mellan arbetsytor och klientorganisationer.
I den här tabellen visas några av dessa scenarier och föreslår, när det är möjligt, hur du kan använda en enda arbetsyta för scenariot.
| Krav | Beskrivning | Sätt att minska antalet arbetsytor |
|---|---|---|
| Suveränitet och regelefterlevnad | En arbetsyta är kopplad till en specifik region. Om du vill behålla data i olika Azure-geografiska områden för att uppfylla regelkraven delar du upp data i separata arbetsytor. I Microsoft Sentinel lagras och bearbetas data främst i samma geografi eller region, med vissa undantag, till exempel när du använder identifieringsregler som använder Microsofts maskininlärning. I sådana fall kan data kopieras utanför arbetsytans geografiska område för bearbetning. |
|
| Dataägarskap | Gränserna för dataägarskap, till exempel av dotterbolag eller anslutna företag, är bättre avgränsade med hjälp av separata arbetsytor. | |
| Flera Azure-hyresgäster | Microsoft Sentinel stöder datainsamling från Microsoft- och Azure SaaS-resurser endast inom en egen Microsoft Entra-klientgräns. Därför kräver varje Microsoft Entra-klientorganisation en separat arbetsyta. | |
| Detaljerad dataåtkomstkontroll | En organisation kan behöva tillåta att olika grupper, inom eller utanför organisationen, får åtkomst till vissa av de data som samlas in av Microsoft Sentinel. Till exempel:
|
Använda resursen Azure RBAC eller azure RBAC på tabellnivå |
| Detaljerade kvarhållningsinställningar | Tidigare var flera arbetsytor det enda sättet att ange olika kvarhållningsperioder för olika datatyper. Detta behövs inte längre i många fall tack vare införandet av kvarhållningsinställningar på tabellnivå. | Använda kvarhållningsinställningar på tabellnivå eller automatisera borttagning av data |
| Dela upp fakturering | Genom att placera arbetsytor i separata prenumerationer kan de faktureras till olika parter. | Användningsrapportering och korsdebitering |
| Legacy-arkitektur | Användningen av flera arbetsytor kan bero på en historisk design som tog hänsyn till begränsningar eller metodtips som inte längre är sanna. Det kan också vara ett godtyckligt designval som kan ändras för att bättre hantera Microsoft Sentinel. Exempel:
|
Omarbeta arkitekturen för arbetsytor |
När du fastställer hur många klienter och arbetsytor som ska användas bör du tänka på att de flesta Microsoft Sentinel-funktioner fungerar med hjälp av en enda arbetsyta eller Microsoft Sentinel-instans, och Microsoft Sentinel matar in alla loggar som finns på arbetsytan.
Hanterad säkerhetstjänstleverantör (MSSP)
När det gäller en MSSP gäller många, om inte alla ovanstående krav, vilket gör flera arbetsytor, mellan klienter, till bästa praxis. Mer specifikt rekommenderar vi att du skapar minst en arbetsyta för varje Microsoft Entra-klientorganisation för att stödja inbyggda tjänst-till-tjänst-dataanslutningar som endast fungerar inom sin egen Microsoft Entra-klientorganisation.
Anslutningar som baseras på diagnostikinställningar kan inte anslutas till en arbetsyta som inte ligger i samma klientorganisation där resursen är. Detta gäller för anslutningsappar som Azure Firewall, Azure Storage, Azure Activity eller Microsoft Entra-ID.
Partnerdataanslutningar baseras ofta på API- eller agentsamlingar och är därför inte kopplade till en specifik Microsoft Entra-klientorganisation.
Använda Azure Lighthouse för att hantera flera Microsoft Sentinel-instanser i olika klientorganisationer.u
Arkitektur för flera arbetsytor i Microsoft Sentinel
Enligt kraven ovan finns det fall där en enskild SOC måste hantera och övervaka flera Log Analytics-arbetsytor som är aktiverade för Microsoft Sentinel, eventuellt i Microsoft Entra-klientorganisationer.
- En MSSP Microsoft Sentinel-tjänst.
- En global SOC som betjänar flera dotterbolag, var och en har sin egen lokala SOC.
- En SOC-övervakning av flera Microsoft Entra-klienter inom en organisation.
För att hantera dessa fall erbjuder Microsoft Sentinel funktioner för flera arbetsytor som möjliggör central övervakning, konfiguration och hantering, vilket ger en enda fönsterruta i allt som omfattas av SOC. Det här diagrammet visar en exempelarkitektur för sådana användningsfall.
Den här modellen ger betydande fördelar jämfört med en helt centraliserad modell där alla data kopieras till en enda arbetsyta:
- Flexibel rolltilldelning till globala och lokala SOC:er eller till MSSP-kunderna.
- Färre utmaningar när det gäller dataägarskap, datasekretess och regelefterlevnad.
- Minimal svarstid i nätverk och minimala avgifter.
- Enkel registrering och avregistrering av nya dotterbolag eller kunder.
Nästa steg
I den här artikeln har du lärt dig hur Microsoft Sentinel kan utökas över flera arbetsytor och klientorganisationer.