Day22:今天来聊一下如何建立及管理 Azure Sentinel 工作区

部署Azure Sentinel环境牵涉到设计一个WorkSpace设定,以符合安全性和合规性需求。

布建套装程序包括建立Log Analytics工作区,以及设定Azure Sentinel选项。

在部署Azure Sentinel之前,要先了解WorkSpace选项。

Azure Sentinel的解决方案会安装在Log Analytics WorkSpace中,大部分的执行会着重

在建立Log Analytics WorkSpace 。

建立新的Log Analytics WorkSpace 时,最重要的一个选项就是区域。

区域会指定记录资料所在的位置。

总共有三个执行选项：

-具有单一Azure Sentinel工作区的单一租用户

具有单一Azure Sentinel工作区的单一租用户,将会是相同租用户中所有资源记录的中央存放库。

-具有区域 Azure Sentinel 工作区的单一租用户

具有区域Azure Sentinel工作区的单一租用户会有多个 Sentinel 工作区，需要建立和设定多个

Azure Sentinel和Log Analytics工作区。

-多租用户

需要管理Azure Sentinel工作区，而非在租用户中,可以使用Azure Lighthouse来实作多租用户工作区。

此安全性设定会授与对租用户的存取权。 租用户中的租用户设定(区域或多区域)考量与之前相同。

在设计出工作区架构之後,登入 Azure 入口网站。在搜寻列中,搜寻 Sentinel，然後选取

[Azure Sentinel]。 Azure Sentinel 工作区会显示列出目前工作区的清单。

选取[+新增] 按钮以开始建立流程。

管理Azure Sentinel设定

AzureSentinel 的环境设定受两个区域所管理。在Azure Sentinel及Azure Sentinel所在的

Log Analytics工作区中。在Azure Sentinel中，在左侧导览列有设定的选项。

设定记录保留

除非所有工作区都使用旧版的免费定价层

，否则可为其设定30天到730天(两年) 的资料保留期。若要调整保留天数,

请选取[Azure Sentinel 设定]

区域中的 [工作区设定]。下一个画面是在 Log Analytics 入口网站中。

选取 [使用量和估计成本] 索引标签。在页面顶端，选取 [保留] 按钮。

一个让您能够调整保留天数的窗格将会开启。