部署Azure Sentinel環境牽涉到設計一個WorkSpace設定,以符合安全性和合規性需求。

佈建套裝程式包括建立Log Analytics工作區,以及設定Azure Sentinel選項。

在部署Azure Sentinel之前,要先瞭解WorkSpace選項。

Azure Sentinel的解決方案會安裝在Log Analytics WorkSpace中,大部分的執行會著重

在建立Log Analytics WorkSpace 。

建立新的Log Analytics WorkSpace 時,最重要的一個選項就是區域。

區域會指定記錄資料所在的位置。

總共有三個執行選項：

-具有單一Azure Sentinel工作區的單一租用戶

具有單一Azure Sentinel工作區的單一租用戶,將會是相同租用戶中所有資源記錄的中央存放庫。

-具有區域 Azure Sentinel 工作區的單一租用戶

具有區域Azure Sentinel工作區的單一租用戶會有多個 Sentinel 工作區，需要建立和設定多個

Azure Sentinel和Log Analytics工作區。

-多租用戶

需要管理Azure Sentinel工作區，而非在租用戶中,可以使用Azure Lighthouse來實作多租用戶工作區。

此安全性設定會授與對租用戶的存取權。 租用戶中的租用戶設定(區域或多區域)考量與之前相同。

在設計出工作區架構之後,登入 Azure 入口網站。在搜尋列中,搜尋 Sentinel，然後選取

[Azure Sentinel]。 Azure Sentinel 工作區會顯示列出目前工作區的清單。

選取[+新增] 按鈕以開始建立流程。

管理Azure Sentinel設定

AzureSentinel 的環境設定受兩個區域所管理。在Azure Sentinel及Azure Sentinel所在的

Log Analytics工作區中。在Azure Sentinel中，在左側導覽列有設定的選項。

設定記錄保留

除非所有工作區都使用舊版的免費定價層

，否則可為其設定30天到730天(兩年) 的資料保留期。若要調整保留天數,

請選取[Azure Sentinel 設定]

區域中的 [工作區設定]。下一個畫面是在 Log Analytics 入口網站中。

選取 [使用量和估計成本] 索引標籤。在頁面頂端，選取 [保留] 按鈕。

一個讓您能夠調整保留天數的窗格將會開啟。