Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Für viele Umgebungen, in denen Azure Monitor und Microsoft Sentinel verwendet wird, dürfte ein einzelner Log Analytics-Arbeitsbereich ausreichend sein. Viele Unternehmen richten jedoch mehrere Arbeitsbereiche ein, um die Kosten zu optimieren und den verschiedenen Geschäftsanforderungen besser gerecht zu werden. In diesem Artikel werden verschiedene Kriterien vorgestellt, anhand derer Sie entscheiden können, ob Sie einen einzelnen Arbeitsbereich oder mehrere Arbeitsbereiche verwenden sollten. Außerdem wird die Konfiguration und Platzierung dieser Arbeitsbereiche erläutert, um Ihre Anforderungen zu erfüllen und gleichzeitig die Kosten zu optimieren.
Hinweis
In diesem Artikel werden Azure Monitor und Microsoft Sentinel beschrieben, da viele Kunden beide Dienste in ihre Entwurfsüberlegungen einbeziehen müssen. Die meisten Entscheidungskriterien gelten für beide Dienste. Wenn Sie nur einen dieser Dienste verwenden, können Sie den anderen in Ihrer Auswertung einfach ignorieren.
In diesem Video werden die Grundlagen von Azure Monitor-Protokollen, bewährte Methoden und Entwurfsüberlegungen zum Entwickeln einer Bereitstellung der Azure Monitor-Protokolle behandelt:
Designstrategie
Sie sollten Ihren Entwurf immer mit einem einzelnen Arbeitsbereich beginnen, da sich die Verwaltung mehrerer Arbeitsbereiche und die Datenabfrage von diesen Bereichen so weniger komplex gestaltet. Hinsichtlich der Datenmenge in Ihrem Arbeitsbereich bestehen keine Leistungseinschränkungen. Mehrere Dienste und Datenquellen können Daten an denselben Arbeitsbereich senden. Wenn Sie Kriterien zum Erstellen weiterer Arbeitsbereiche identifizieren, sollte Ihr Entwurf die kleinste Anzahl von Arbeitsbereichen verwenden, um Ihre Anforderungen zu erfüllen.
Beim Entwerfen einer Arbeitsbereichskonfiguration müssen mehrere Kriterien berücksichtigt werden. Einige Kriterien können jedoch miteinander in Konflikt stehen. Beispielsweise können Sie Gebühren für ausgehenden Datenverkehr reduzieren, indem Sie in jeder Azure-Region einen separaten Arbeitsbereich erstellen. Durch die Konsolidierung in einen einzelnen Arbeitsbereich können Sie die Gebühren mit einer Mindestabnahme möglicherweise noch weiter senken. Sie sollten alle Kriterien unabhängig voneinander bewerten. Berücksichtigen Sie Ihre Anforderungen und Prioritäten, um festzustellen, welcher Entwurf für Ihre Umgebung am effektivsten ist.
Designkriterien
Die folgende Tabelle enthält Kriterien, die beim Entwerfen ihrer Arbeitsbereichsarchitektur berücksichtigt werden sollten. In den nachfolgenden Abschnitten werden die Kriterien beschrieben.
| Kriterien | BESCHREIBUNG |
|---|---|
| Operative und sicherheitsrelevante Daten | Sie können operative Daten aus Azure Monitor in einem Arbeitsbereich mit den sicherheitsbezogenen Daten aus Microsoft Sentinel kombinieren oder sie jeweils in einem eigenen Arbeitsbereich speichern. Durch eine Kombination der beiden Datentypen erhalten Sie einen besseren Überblick über sämtliche Daten, aber Ihre Sicherheitsstandards sehen möglicherweise eine Trennung vor, damit Ihr Sicherheitsteam über einen dedizierten Arbeitsbereich verfügt. Es könnten auch Kostenfolgen für jede Strategie bestehen. |
| Azure-Mandanten | Wenn Sie über mehrere Azure-Mandanten verfügen, erstellen Sie normalerweise einen Arbeitsbereich für jeden Mandanten. Einige Datenquellen können nur Überwachungsdaten an einen Arbeitsbereich in demselben Azure-Mandanten senden. |
| Azure-Regionen | Jeder Arbeitsbereich befindet sich in einer bestimmten Azure-Region. Möglicherweise gibt es gesetzliche Vorschriften oder Complianceanforderungen, die die Speicherung von Daten an bestimmten Orten regeln. |
| Datenbesitz | Sie können separate Arbeitsbereiche erstellen, um den Datenbesitz zu definieren. Beispielsweise können Sie Arbeitsbereiche nach Tochtergesellschaften oder verbundenen Unternehmen erstellen. |
| Getrennte Abrechnung | Durch die Zuordnung von Arbeitsbereichen zu separaten Abonnements können sie den verschiedenen Parteien in Rechnung gestellt werden. |
| Datenaufbewahrung | Sie können für jeden Arbeitsbereich und jede Tabelle in einem Arbeitsbereich unterschiedliche Aufbewahrungseinstellungen festlegen. Wenn Sie verschiedene Aufbewahrungseinstellungen für unterschiedliche Ressourcen benötigen, aus denen Daten an dieselben Tabellen gesendet werden, benötigen Sie einen separaten Arbeitsbereich. |
| Verpflichtungsstufen | Commitment-Stufen ermöglichen es Ihnen, Ihre Erfassungskosten zu senken, indem Sie sich verpflichten, eine Mindestmenge an täglichen Daten in einem einzigen Arbeitsbereich zu erfassen. |
| Einschränkungen des Legacy-Agents | Bei Legacy-VM-Agents gibt es Einschränkungen hinsichtlich der Anzahl der Arbeitsbereiche, zu denen sie eine Verbindung herstellen können. |
| Zugriffssteuerung für Daten | Konfigurieren Sie den Zugriff auf den Arbeitsbereich und auf verschiedene Tabellen und Daten aus unterschiedlichen Ressourcen. |
| Resilienz | Um sicherzustellen, dass Daten in Ihrem Arbeitsbereich im Falle eines Regionsausfalls verfügbar sind, können Sie Daten in mehrere Arbeitsbereiche in verschiedenen Regionen aufnehmen. |
Operative und sicherheitsrelevante Daten
Die Entscheidung, ob Sie die operativen Daten aus Azure Monitor im selben Arbeitsbereich wie die sicherheitsrelevanten Daten aus Microsoft Sentinel kombinieren oder jeweils einen eigenen Arbeitsbereich einrichten, hängt von Ihren Sicherheitsanforderungen und den potenziellen Kosten für Ihre Umgebung ab.
Dedizierte Arbeitsbereiche
Durch das Erstellen dedizierter Arbeitsbereiche für Azure Monitor und Microsoft Sentinel können Sie den Besitz von Daten zwischen operativen und Sicherheitsteams trennen. Dieser Ansatz kann auch dazu beitragen, die Kosten zu optimieren: Wenn Microsoft Sentinel in einem Arbeitsbereich aktiviert ist, unterliegen alle Daten in diesem Arbeitsbereich den Microsoft Sentinel-Preisen – selbst dann, wenn es sich um operative Daten handelt, die mit Azure Monitor erfasst wurden.
Ein Arbeitsbereich mit Microsoft Sentinel erhält drei Monate kostenlose Datenaufbewahrung anstelle von 31 Tagen. Dieses Szenario führt in der Regel zu höheren Kosten für operative Daten in einem Arbeitsbereich ohne Microsoft Sentinel. Siehe Azure Monitor-Protokolle – Preisdetails.
Kombinierter Arbeitsbereich
Wenn Sie Ihre Daten aus Azure Monitor und Microsoft Sentinel in demselben Arbeitsbereich kombinieren, erhalten Sie eine bessere Sichtbarkeit über alle Ihre Daten, sodass Sie sowohl in Abfragen als auch in Arbeitsmappen problemlos kombinieren können. Wenn der Zugriff auf sicherheitsrelevante Daten auf ein bestimmtes Team beschränkt werden soll, können Sie mithilfe von RBAC auf Tabellenebene bestimmte Benutzer*innen für Tabellen mit sicherheitsrelevanten Daten sperren oder über den Ressourcenkontext den Zugriff von Benutzer*innen auf den Arbeitsbereich beschränken.
Diese Konfiguration kann zu Kosteneinsparungen führen, wenn Sie eine Verpflichtungsebene erreichen, die einen Rabatt für Ihre Erfassungsgebühren bietet. Schauen Sie sich beispielsweise eine Organisation an, die operative Daten und Sicherheitsdaten hat, von denen jeweils etwa 50 GB pro Tag erfasst werden. Die Zusammenführung der Daten im selben Arbeitsbereich würde einen Verpflichtungsgrad von 100 GB pro Tag ermöglichen. In diesem Szenario würde ein Rabatt von 15 % für Azure Monitor und ein Rabatt von 50 % für Microsoft Sentinel angeboten.
Wenn Sie separate Arbeitsbereiche nach anderen Kriterien erstellen, richten Sie in der Regel weitere Arbeitsbereichspaare ein. Wenn Sie beispielsweise über zwei Azure-Mandanten verfügen, können Sie vier Arbeitsbereiche erstellen, wobei jeder Mandant einen Arbeitsbereich für Betrieb und einen für Sicherheit enthält.
- Wenn Sie sowohl Azure Monitor als auch Microsoft Sentinel verwenden: Ziehen Sie eine Trennung der beiden Datentypen in jeweils einem eigenen Arbeitsbereich in Betracht, wenn dies für Ihr Sicherheitsteam erforderlich ist oder zu Kosteneinsparungen führt. Erwägen Sie, die beiden zu kombinieren, um eine bessere Sichtbarkeit Ihrer kombinierten Überwachungsdaten zu erreichen oder wenn es Ihnen hilft, eine Verpflichtungsstufe zu erreichen.
- Wenn Sie sowohl Microsoft Sentinel als auch Microsoft Defender for Cloud verwenden, sollten Sie denselben Arbeitsbereich für beide Lösungen verwenden, damit sicherheitsrelevante Daten am selben Ort gespeichert werden.
Azure-Mandanten
Die meisten Ressourcen können überwachungsdaten nur an einen Arbeitsbereich im selben Azure-Mandanten senden. Virtuelle Computer, die den Azure Monitor-Agent oder die Log Analytics-Agents verwenden, können Daten an Arbeitsbereiche in separaten Azure-Mandanten senden. Sie können dieses Szenario als Dienstanbieter in Betracht ziehen.
- Wenn Sie über einen einzelnen Azure-Mandanten verfügen, erstellen Sie einen einzelnen Arbeitsbereich für diesen Mandanten.
- Wenn Sie über mehrere Azure-Mandanten verfügen, erstellen Sie einen Arbeitsbereich für jeden Mandanten. Weitere Optionen, z. B. Strategien für Dienstanbieter, finden Sie unter Strategien für mehrere Mandanten.
Azure-Regionen
Jeder Log Analytics-Arbeitsbereich befindet sich in einer bestimmten Azure-Region. Möglicherweise müssen Daten aufgrund von gesetzlichen Vorschriften oder Complianceanforderungen in einer bestimmten Region gespeichert werden. Ein internationales Unternehmen könnte z. B. einen Arbeitsbereich in jeder großen geografischen Region wie etwa den USA und Europa einrichten.
- Wenn Sie Anforderungen für die Aufbewahrung von Daten in einer bestimmten Region erfüllen müssen, erstellen Sie für jede Region mit diesen Anforderungen einen separaten Arbeitsbereich.
- Wenn keine Anforderungen für die Aufbewahrung von Daten in einer bestimmten Region gelten, verwenden Sie einen einzelnen Arbeitsbereich für alle Regionen.
- Wenn Sie Daten an eine Region senden, die sich außerhalb der Region Ihres Arbeitsbereichs befindet, unabhängig davon, ob sich die sendende Ressource in Azure befindet: Erwägen Sie die Verwendung eines Arbeitsbereichs in derselben Region wie Ihre Daten.
Sie sollten auch potenzielle Bandbreitengebühren berücksichtigen, die anfallen können, wenn Sie Daten von einer Ressource in einer anderen Region an einen Arbeitsbereich senden. Für die meisten Kunden sind diese Gebühren im Vergleich zu den Kosten für die Datenerfassung gering. Die Gebühren entstehen in der Regel durch die Übermittlung von Daten von einem virtuellen Computer an den Arbeitsbereich. Durch die Überwachung von Daten von anderen Azure-Ressourcen mithilfe von Diagnoseeinstellungen entstehen keine Gebühren für ausgehenden Datenverkehr.
Verwenden Sie den Azure-Preisrechner, um die Kosten zu schätzen und zu entscheiden, welche Regionen Sie benötigen. Ziehen Sie Arbeitsbereiche in mehreren Regionen in Betracht, wenn die Bandbreitengebühren erheblich sind.
- Wenn Bandbreitengebühren hoch genug sind, um die zusätzliche Komplexität zu rechtfertigen, erstellen Sie einen separaten Arbeitsbereich für jede Region mit virtuellen Computern.
- Wenn Bandbreitengebühren nicht hoch genug sind, um die zusätzliche Komplexität zu rechtfertigen, verwenden Sie einen einzigen Arbeitsbereich für alle Regionen.
Datenbesitz
Möglicherweise müssen Sie je nach Besitzverhältnissen Daten trennen oder Grenzen definieren. Beispielsweise könnten Sie über unterschiedliche Tochtergesellschaften oder verbundene Unternehmen verfügen, die eine Abgrenzung ihrer Überwachungsdaten erforderlich machen.
- Wenn eine Datentrennung erforderlich ist, verwenden Sie für jeden Datenbesitzer einen separaten Arbeitsbereich.
- Wenn keine Datentrennung erforderlich ist, verwenden Sie für alle Datenbesitzer einen einzigen Arbeitsbereich.
Getrennte Abrechnung
Möglicherweise müssen Sie die Abrechnung auf verschiedene Parteien aufteilen oder eine Rückbuchung an einen Kunden oder eine interne Geschäftseinheit durchführen. Mit Azure Cost Management + Billing können Sie Gebühren nach Arbeitsbereich einsehen. Sie können auch eine Protokollabfrage verwenden, um abrechnungsfähiges Datenvolumen nach Azure-Ressource, Ressourcengruppe oder Abonnement anzuzeigen. Dieser Ansatz reicht für Ihre Abrechnungsanforderungen möglicherweise aus.
- Wenn Sie keine Abrechnung aufteilen oder keine Gebühr rückbuchen müssen, verwenden Sie einen einzigen Arbeitsbereich für alle Kostenträger.
- Wenn Sie die Abrechnung aufteilen oder eine Gebühr rückbuchen müssen, überlegen Sie, ob Azure Cost Management + Billing oder eine Protokollabfrage eine Kostenberichterstattung bieten, die für Ihre Anforderungen präzise genug ist. Ist dies nicht der Fall, verwenden Sie einen separaten Arbeitsbereich für jeden Kostenträger.
Beibehaltung von Daten
Sie können Standardeinstellungen für die Datenaufbewahrung für einen Arbeitsbereich oder verschiedene Einstellungen für jede Tabelle konfigurieren. Möglicherweise benötigen Sie unterschiedliche Einstellungen für verschiedene Datasets in einer bestimmten Tabelle. In diesem Fall müssen Sie diese Daten auf verschiedene Arbeitsbereiche aufteilen, und zwar jeweils mit eindeutigen Aufbewahrungseinstellungen.
- Wenn Sie dieselben Aufbewahrungseinstellungen für alle Daten in jeder Tabelle verwenden können, verwenden Sie einen einzigen Arbeitsbereich für alle Ressourcen.
- Wenn Sie unterschiedliche Aufbewahrungseinstellungen für verschiedene Ressourcen in derselben Tabelle benötigen, verwenden Sie einen separaten Arbeitsbereich für die unterschiedlichen Ressourcen.
Mindestabnahmen
Mindestabnahmen bieten einen Rabatt auf Ihre Arbeitsbereichserfassungskosten, wenn Sie sich für eine bestimmte Menge an täglichen Daten verpflichten. Sie können Daten in einem einzelnen Arbeitsbereich konsolidieren, um die Ebene einer bestimmten Stufe zu erreichen. Wenn dieselbe Datenmenge auf mehrere Arbeitsbereiche aufgeteilt ist, würden sie nicht für dieselbe Stufe infrage kommen, es sei denn, Sie verfügen über einen dedizierten Cluster.
Wenn Sie sich zur Erfassung von mindestens 100 GB pro Tag verpflichten können, sollten Sie einen dedizierten Cluster implementieren, der zusätzliche Funktionen und Leistung bietet. Dedizierte Cluster ermöglichen es Ihnen auch, Daten aus mehreren Arbeitsbereichen innerhalb des Clusters zusammenzuführen, um das Niveau einer Verpflichtungsebene zu erreichen.
- Wenn Sie mindestens 100 GB pro Tag über alle Ressourcen hinweg erfassen: Erstellen Sie einen dedizierten Cluster, und legen Sie die geeignete Mindestabnahme fest.
- Wenn Sie mindestens 100 GB pro Tag über Ressourcen hinweg erfassen: Sie sollten erwägen, diese in einem einzigen Arbeitsbereich zu kombinieren, um von einer Mindestabnahme zu profitieren.
Einschränkungen des Legacy-Agents
Auch wenn Sie es aufgrund der zusätzlichen Gebühren vermeiden sollten, doppelte Daten an mehrere Arbeitsbereiche zu senden, sind virtuelle Computer möglicherweise mit mehreren Arbeitsbereichen verbunden. Das häufigste Szenario ist ein Agent, der mit separaten Arbeitsbereichen für Azure Monitor und Microsoft Sentinel verbunden ist.
Der Azure Monitor-Agent und der Log Analytics-Agent für Windows können eine Verbindung mit mehreren Arbeitsbereichen herstellen. Der Log Analytics-Agent für Linux kann nur eine Verbindung mit einem einzigen Arbeitsbereich herstellen.
- Wenn Sie den Log Analytics-Agent für Linux verwenden, migrieren Sie zum Azure Monitor-Agent, oder stellen Sie sicher, dass Ihre Linux-Computer nur Zugriff auf einen einzigen Arbeitsbereich benötigen.
Zugriffssteuerung für Daten
Wenn Sie einem Benutzer Zugriff auf einen Arbeitsbereich gewähren, hat er Zugriff auf alle Daten in diesem Arbeitsbereich. Diese Zugriffsart ist für Mitglieder einer zentralen Verwaltung oder eines Sicherheitsteams geeignet, die auf Daten für alle Ressourcen zugreifen müssen. Der Zugriff auf den Arbeitsbereich wird auch durch rollenbasierte Zugriffssteuerung (RBAC) im Ressourcenkontext und RBAC auf Tabellenebene bestimmt.
RBAC im Ressourcenkontext: Wenn Benutzende Lesezugriff auf eine Azure-Ressource hat, erben sie standardmäßig die Zugriffsberechtigungen für alle Überwachungsdaten dieser Ressource, die an den Arbeitsbereich gesendet wurden. Durch diese Zugriffsebene können Benutzer auf Informationen zu Ressourcen zugreifen, die sie verwalten, ohne dass sie explizit Zugriff auf den Arbeitsbereich erhalten. Wenn Sie diesen Zugriff blockieren müssen, können Sie den Zugriffssteuerungsmodus ändern, um explizite Arbeitsbereichsberechtigungen anzufordern.
- Wenn Sie möchten, dass Benutzer auf Daten für ihre Ressourcen zugreifen können, behalten Sie den standardmäßigen Zugriffssteuerungsmodus für die Verwendung von Ressourcen- oder Arbeitsbereichsberechtigungen bei.
- Wenn Sie allen Benutzern explizit Zugriffsberechtigungen zuweisen möchten, ändern Sie den Zugriffssteuerungsmodus in Arbeitsbereichsberechtigungen erforderlich.
RBAC auf Tabellenebene: Mit RBAC auf Tabellenebene können Sie Zugriffsberechtigungen für bestimmte Tabellen im Arbeitsbereich gewähren oder verweigern. Auf diese Weise können Sie präzise Berechtigungen implementieren, die für bestimmte Situationen in Ihrer Umgebung erforderlich sind.
Beispielsweise können Sie nur Zugriff auf bestimmte Tabellen gewähren, die von Microsoft Sentinel für ein internes Überwachungsteam erfasst wurden. Alternativ können Sie Ressourcenbesitzern, die operative Daten im Zusammenhang mit ihren Ressourcen benötigen, den Zugriff auf sicherheitsrelevante Tabellen verweigern.
- Wenn Sie keine präzise Zugriffssteuerung auf Tabellenebene benötigen, gewähren Sie dem operativen Team und dem Sicherheitsteam Zugriff auf ihre Ressourcen, und ermöglichen Sie den Ressourcenbesitzern die Verwendung von RBAC nach Ressourcenkontext für ihre Ressourcen.
- Wenn Sie eine präzise Zugriffssteuerung auf Tabellenebene benötigen, gewähren oder verweigern Sie den Zugriff auf bestimmte Tabellen mithilfe von RBAC auf Tabellenebene.
Weitere Informationen finden Sie unter Verwalten des Zugriffs auf Microsoft Sentinel-Daten nach Ressource.
Resilienz
Um sicherzustellen, dass wichtige Daten in Ihrem Arbeitsbereich im Falle eines Regionsausfalls verfügbar sind, können Sie einige oder alle Ihre Daten in mehrere Arbeitsbereiche in verschiedenen Regionen aufnehmen.
Diese Option erfordert die Verwaltung der Integration mit anderen Diensten und Produkten separat für jeden Arbeitsbereich. Obwohl die Daten im Falle eines Fehlers im alternativen Arbeitsbereich verfügbar sind, wechseln Ressourcen, die auf die Daten angewiesen sind, z. B. auf Warnungen und Arbeitsmappen, nicht automatisch zu diesem alternativen Arbeitsbereich. Erwägen Sie das Speichern von ARM-Vorlagen für kritische Ressourcen mit einer Konfiguration für den alternativen Arbeitsbereich in Azure DevOps oder als deaktivierte Richtlinien, die in einem Failoverszenario schnell aktiviert werden können.
Arbeiten mit mehreren Arbeitsbereichen
Viele Entwürfe umfassen mehrere Arbeitsbereiche. Ein zentrales SecOps-Team kann beispielsweise eigene Microsoft Sentinel-Arbeitsbereiche verwenden, um zentralisierte Artefakte wie Analyseregeln oder Arbeitsmappen zu verwalten.
Azure Monitor und Microsoft Sentinel enthalten Features, mit denen Sie diese Daten arbeitsbereichsübergreifend analysieren können. Weitere Informationen finden Sie unter:
- Erstellen einer Protokollabfrage über mehrere Arbeitsbereiche und Apps in Azure Monitor
- Erweitern von Microsoft Sentinel über Arbeitsbereiche und Mandanten hinweg
Beim Benennen der einzelnen Arbeitsbereiche wird empfohlen, einen aussagekräftigen Indikator in den Namen einzuordnen, damit Sie den Zweck der einzelnen Arbeitsbereiche leicht identifizieren können.
Strategien für mehrere Mandanten
Umgebungen mit mehreren Azure-Mandanten, einschließlich Anbietern von Microsoft-Diensten (MSPs), unabhängigen Softwareanbietern (ISVs) und großen Unternehmen, erfordern häufig eine Strategie, in der ein zentrales Administratorteam auf Arbeitsbereiche in anderen Mandanten zugreifen und diese verwalten kann. Jeder der Mandanten kann für separate Kunden oder unterschiedliche Geschäftseinheiten stehen.
Hinweis
Für Partner und Dienstanbieter, die Teil des Cloud Solution Provider-(CSP-)Programms sind, ist Log Analytics in Azure Monitor einer der Azure-Dienste, die in Azure CSP-Abonnements zur Verfügung stehen.
In den folgenden Abschnitten werden zwei grundlegende Strategien für diese Funktionalität beschrieben.
Verteilte Architektur
In einer verteilten Architektur wird in jedem Azure-Mandanten ein Log Analytics-Arbeitsbereich erstellt. Dies ist die einzige Option, die Sie nutzen können, wenn Sie andere Azure-Dienste als virtuelle Computer überwachen.
Es gibt zwei Optionen, mit denen Dienstanbieteradministratoren auf die Arbeitsbereiche in den Kundenmandanten zugreifen können:
- Mit Azure Lighthouse können Sie auf jeden Kundenmandanten zuzugreifen. Die Dienstanbieteradministratoren sind in einer Microsoft Entra-Benutzergruppe im Mandanten des Dienstanbieters enthalten. Dieser Gruppe wird während des Onboardingprozesses für jeden Kunden Zugriff gewährt. Die Administratoren können dann über ihren Mandanten des Dienstanbieters auf die Arbeitsbereiche jedes Kunden zugreifen und müssen sich nicht beim Mandanten jedes einzelnen Kunden anmelden. Weitere Informationen finden Sie unter Überwachen von Kundenressourcen in großem Umfang.
- Fügen Sie einzelne Benutzer des Dienstanbieters als Microsoft Entra-Gastbenutzer (B2B) hinzu. Die Kundenmandantenadministratoren verwalten den individuellen Zugriff für jeden Dienstanbieteradministrator. Die Dienstanbieteradministratoren müssen sich im Azure-Portal beim Verzeichnis jedes Mandanten anmelden, um auf diese Arbeitsbereiche zuzugreifen.
Vorteile dieser Strategie:
- Protokolle können von Ressourcen jeder Art gesammelt werden.
- Der Kunde kann bestimmte Berechtigungsstufen mit der delegierten Azure-Ressourcenverwaltung bestätigen. Alternativ kann der Kunde den Zugriff auf die Protokolle mithilfe eines eigenen Azure RBAC steuern.
- Jeder Kunde kann andere Einstellungen für seinen Arbeitsbereich verwenden, etwa hinsichtlich Aufbewahrungsdauer und Datenobergrenze.
- Isolation zwischen Kunden im Hinblick auf behördliche Bestimmungen und Compliance.
- Die Gebühr für jeden Arbeitsbereich ist in der Rechnung für das Abonnement des Kunden enthalten.
Nachteile dieser Strategie:
- Die Ausführung einer Abfrage für eine große Anzahl von Arbeitsbereichen ist langsam und kann nicht auf über 100 Arbeitsbereiche skaliert werden. Dies bedeutet, dass Sie eine zentrale Visualisierung und Datenanalyse erstellen können. Die Ausführung wird jedoch langsam erfolgen, wenn mehr als ein paar Dutzend Arbeitsbereiche vorhanden sind. Diese Situation ist weniger akut, wenn alle Arbeitsbereiche im selben dedizierten Cluster enthalten sind. Näheres zum Ausführen von Abfragen über Arbeitsbereiche hinweg finden Sie hier.
- Wenn für Kunden kein Onboarding für die delegierte Azure-Ressourcenverwaltung durchgeführt wird, müssen Dienstanbieteradministratoren im Kundenverzeichnis bereitgestellt werden. Durch diese Anforderung gestaltet es sich für den Dienstanbieter schwieriger, viele Kundenmandanten gleichzeitig zu verwalten.
- Wenn Sie eine Abfrage für einen Arbeitsbereich ausführen, können die Administratoren des Arbeitsbereichs möglicherweise den vollständigen Text der Abfrage über die Abfrageüberwachung einsehen.
Zentralisiert
Ein einzelner Arbeitsbereich wird im Abonnement des Dienstanbieters erstellt. Diese Option kann Daten von virtuellen Kundencomputern und Azure PaaS-Diensten basierend auf Diagnoseeinstellungen sammeln. Agents, die auf den virtuellen Computern installiert sind, und PaaS-Dienste können so konfiguriert werden, dass ihre Protokolle an diesen zentralen Arbeitsbereich gesendet werden.
Vorteile dieser Strategie:
- Es ist einfach, viele Kunden zu verwalten.
- Der Dienstanbieter ist im vollständigen Besitz der Protokolle und der verschiedenen Artefakte, wie etwa Funktionen und gespeicherte Abfragen.
- Ein Dienstanbieter kann übergreifende Analysen für alle seine Kunden ausführen.
Nachteile dieser Strategie:
- Protokolle können nur von virtuellen Computern mit einem Agent oder Azure PaaS-Diensten (über Azure Lighthouse-Delegierung) gesammelt werden. Dies funktioniert nicht mit SaaS-Connectors oder Azure Service Fabric-Datenquellen.
- Es kann schwierig sein, Daten der einzelnen Kunden voneinander zu trennen, da ihre Daten in einem einzigen Arbeitsbereich enthalten sind. Bei Abfragen muss der voll qualifizierte Domänenname des Computers oder die Azure-Abonnement-ID verwendet werden.
- Sämtliche Daten aller Kunden werden in derselben Region mit nur einer Rechnung und denselben Aufbewahrungs- und Konfigurationseinstellungen gespeichert.
Hybrid
In einem Hybridmodell verfügt jeder Mandant über einen eigenen Arbeitsbereich. Zum Erstellen von Berichten und Analysen wird ein Mechanismus verwendet, mit dem Daten an einen zentralen Speicherort gepullt werden. Diese Daten könnten wenige Datentypen oder eine Zusammenfassung der Aktivitäten enthalten, wie z. B. eine tägliche Statistik.
Es bestehen verschiedene Optionen zum Implementieren von Protokollen an einem zentralen Speicherort:
- Zentraler Arbeitsbereich: Der Dienstanbieter erstellt einen Arbeitsbereich in seinem Mandanten und ruft mithilfe der folgenden Elemente Daten aus den verschiedenen Arbeitsbereichen ab:
- Skript, das die Abfrage-API mit der Protokollerfassungs-API verwendet, um die Daten aus den Mandantenarbeitsbereichen an den zentralen Arbeitsbereich zu senden.
- Azure Logic Apps zum Kopieren von Daten in den zentralen Arbeitsbereich.
- Datenexport aus dem Quellarbeitsbereich und erneute Erfassung im zentralen Arbeitsbereich. Sie können auch Zusammenfassungsregeln erstellen, um eine Aggregation von Schlüsseldaten aus den ursprünglichen Arbeitsbereichen in den zentralen Arbeitsbereich zu exportieren.
- Power BI: Mithilfe der Integration zwischen dem Log Analytics-Arbeitsbereich und Power BI werden Daten aus den Mandantenarbeitsbereichen nach Power BI exportiert.
Nächste Schritte
- Weitere Informationen zum Entwerfen und Konfigurieren des Datenzugriffs in einem Arbeitsbereich
- Beispielhafte Arbeitsbereichsarchitekturen für Microsoft Sentinel abrufen
- Hier ist ein Video zum Entwerfen der richtigen Struktur für Ihren Log Analytics-Arbeitsbereich: ITOps Talk: Ausführliche Betrachtung des Log Analytics Arbeitsbereichsdesigns