Compartir a través de


Prepararse para varias áreas de trabajo e inquilinos en Microsoft Sentinel

Para prepararse para la implementación, debe determinar si una arquitectura de varias áreas de trabajo es relevante para su entorno. En este artículo, aprenderá cómo Microsoft Sentinel puede extenderse entre varias áreas de trabajo e inquilinos para que pueda determinar si esta funcionalidad se adapta a las necesidades de su organización. Este artículo forma parte de la Guía de implementación de Microsoft Sentinel.

Si ha decidido configurar el entorno para ampliarlo en diferentes áreas de trabajo, consulte Extensión de Microsoft Sentinel en áreas de trabajo e inquilinos y Administración centralizada de varias áreas de trabajo de Log Analytics habilitadas para Microsoft Sentinel con el administrador de áreas de trabajo. Si su organización planea incorporarse al portal de Microsoft Defender, consulte Administración multiinquilino de Microsoft Defender.

La necesidad de usar varias áreas de trabajo

Al incorporar Microsoft Sentinel, el primer paso consiste en seleccionar el área de trabajo de Log Analytics. Aunque puede obtener la ventaja completa de la experiencia de Microsoft Sentinel con una sola área de trabajo, en algunos casos, es posible que quiera ampliar el área de trabajo para consultar y analizar los datos entre áreas de trabajo e inquilinos.

Esta tabla enumera algunos de estos escenarios y, cuando es posible, sugiere cómo podría utilizar una única área de trabajo para el escenario.

Requisito Descripción Formas de reducir el número de áreas de trabajo
Soberanía y cumplimiento normativo Un área de trabajo está ligada a una región específica. Para mantener los datos en diferentes zonas geográficas de Azure para satisfacer los requisitos normativos, divida los datos en áreas de trabajo independientes.

En Microsoft Sentinel, los datos se almacenan y procesan principalmente en la misma zona geográfica o región, con algunas excepciones, como cuando se usan reglas de detección que aprovechan el aprendizaje automático de Microsoft. En tales casos, los datos se pueden copiar fuera de la zona geográfica del área de trabajo para su procesamiento.
Propiedad de los datos Los límites de la propiedad de los datos, por ejemplo de subsidiarias o empresas afiliadas, se delimitan mejor mediante áreas de trabajo independientes.
Varios inquilinos de Azure Microsoft Sentinel admite la recopilación de datos de recursos SaaS de Microsoft y Azure únicamente dentro de su propio límite de inquilinos de Microsoft Entra. Por lo tanto, cada inquilino de Microsoft Entra requiere un área de trabajo independiente.
Control de acceso a datos pormenorizado Una organización puede necesitar permitir a diferentes grupos, dentro o fuera de la organización, acceder a algunos de los datos recopilados por Microsoft Sentinel. Por ejemplo:
  • Acceso de los propietarios de recursos a los datos que pertenecen a sus recursos
  • Acceso de SOC regional o subsidiario a los datos relevantes para sus partes de la organización
Usar Azure RBAC de recursos o Azure RBAC de nivel de tabla
Configuración de retención pormenorizada Históricamente, la única manera de establecer diferentes períodos de retención para tipos de datos diferentes era con varias áreas de trabajo. Esto ya no es necesario en muchos casos, gracias a la introducción de la configuración de retención de nivel de tabla. Usar la configuración de retención de nivel de tabla o automatizar la eliminación de datos
Facturación dividida Al colocar áreas de trabajo en suscripciones independientes, se pueden facturar a distintas entidades. Informes de uso y cargos cruzados
Arquitectura heredada El uso de varias áreas de trabajo puede deberse a un diseño histórico que tenía en cuenta limitaciones o buenas prácticas que ya no son válidas. También podría ser una opción de diseño arbitraria que se puede modificar para adaptarse mejor a Microsoft Sentinel.

Algunos ejemplos son:
  • Uso de un área de trabajo predeterminada por suscripción al implementar Microsoft Defender for Cloud.
  • Necesidad de la configuración de retención o el control de acceso pormenorizado, soluciones para las que son relativamente nuevos.
Volver a diseñar las áreas de trabajo

Al determinar cuántos inquilinos y áreas de trabajo usar, tenga en cuenta que la mayoría de las características de Microsoft Sentinel funcionan mediante una sola área de trabajo o una instancia de Microsoft Sentinel, y Microsoft Sentinel ingiere todos los registros que se encuentran dentro del área de trabajo.

Proveedor de servicios de seguridad administrada (MSSP)

En el caso de un MSSP, muchos si no se aplican todos los requisitos anteriores, se recomienda crear varias áreas de trabajo en los inquilinos. En concreto, se recomienda crear al menos un área de trabajo para cada inquilino de Microsoft Entra para admitir conectores de datos de servicio a servicio integrados que solo funcionan dentro de su propio inquilino de Microsoft Entra.

Utilice Azure Lighthouse para ayudar a administrar varias instancias de Microsoft Sentinel en diferentes inquilinos.

Arquitectura de varias áreas de trabajo de Microsoft Sentinel

Como se desprende de los requisitos anteriores, hay casos en los que un único SOC necesita administrar y supervisar de forma centralizada varias áreas de trabajo de Log Analytics habilitadas para Microsoft Sentinel, potencialmente a través de los inquilinos de Microsoft Entra.

  • Un servicio de MSSP de Microsoft Sentinel.
  • Un SOC global que atiende a varias subsidiarias, cada una de las cuales tiene su propio SOC local.
  • Un SOC que monitorea múltiples inquilinos de Microsoft Entra dentro de una organización.

Para abordar estos casos, Microsoft Sentinel ofrece funcionalidades de varias áreas de trabajo que permiten la supervisión, configuración y administración centrales, lo que proporciona un único panel en todo lo que abarca el SOC. En este diagrama se muestra una arquitectura de ejemplo para estos casos de uso.

Diagrama en el que se muestra la extensión del área de trabajo entre varios inquilinos: arquitectura.

Este modelo ofrece importantes ventajas con respecto a un modelo totalmente centralizado en el que todos los datos se copian en una sola área de trabajo:

  • Asignación de roles flexible al SOC global y local o al MSSP de sus clientes.
  • Menos desafíos relacionados con la propiedad de los datos, la privacidad de los datos y el cumplimiento normativo.
  • Cargos y latencia de red mínima.
  • Incorporación y retirada fáciles de nuevas subsidiarias o clientes.

Pasos siguientes

En este artículo, ha aprendido cómo Microsoft Sentinel puede extenderse a través de múltiples áreas de trabajo e inquilinos.