Plan para el área de trabajo de Microsoft Sentinel
Antes de implementar Microsoft Sentinel, es fundamental comprender las opciones del área de trabajo. La solución de Microsoft Sentinel se instala en un área de trabajo de Log Analytics y la mayoría de las consideraciones de implementación se centran en la creación de dicha área de trabajo. La única opción más importante al crear una nueva área de trabajo de Log Analytics es la región. La región especifica la ubicación en la que residirán los datos de registro.
Las tres opciones de implementación son las siguientes:
Inquilino único con un área de trabajo de Microsoft Sentinel única
Inquilino único con áreas de trabajo de Microsoft Sentinel regionales
Multiinquilino
Área de trabajo única de inquilino único
El inquilino único con un área de trabajo de Microsoft Sentinel única será el repositorio central de los registros en todos los recursos del mismo inquilino.
Esta área de trabajo recibe registros de recursos de otras regiones del mismo inquilino. Dado que los datos de registro (cuando se recopilan) viajarán entre regiones y se almacenarán en otra región, esto crea dos posibles problemas. Primero, puede generar un costo por ancho de banda. En segundo lugar, si hay un requisito de gobernanza de datos para mantener los datos en una región específica, la opción de área de trabajo única no sería una opción de implementación.
Entre las ventajas e inconvenientes del inquilino único con un área de trabajo única se incluyen las siguientes:
| Ventajas | Desventajas |
|---|---|
| Panel central de cristal | Puede no cumplir los requisitos de gobernanza de datos |
| Consolida toda la información y los registros de seguridad | Puede incurrir en costo por ancho de banda entre regiones |
| Es más sencillo consultar toda la información | |
| RBAC de Azure Log Analytics para controlar el acceso a los datos | |
| Control de acceso basado en roles (RBAC) de Microsoft Sentinel para RBAC del servicio |
Inquilino único con áreas de trabajo de Microsoft Sentinel regionales
El inquilino único con áreas de trabajo de Microsoft Sentinel regionales tendrá varias áreas de trabajo de Sentinel que requieren la creación y configuración de varias áreas de trabajo de Microsoft Sentinel y de Log Analytics.
| Ventajas | Desventajas |
|---|---|
| Sin costos por ancho de banda entre regiones | Sin panel central de cristal, No ve todos los datos en un solo lugar. |
| Puede ser necesario cumplir los requisitos de gobernanza de datos | Analytics, Workbooks, etc., se deben implementar varias veces |
| Control de acceso a datos pormenorizado | |
| Configuración de retención pormenorizada | |
| Facturación dividida |
Para consultar datos entre las distintas áreas de trabajo, use la función workspace() antes del nombre de la tabla.
TableName
| union workspace("WorkspaceName").TableName
Áreas de trabajo multiinquilino
Si necesita administrar un área de trabajo de Microsoft Sentinel, no en su inquilino, puede implementar áreas de trabajo multiinquilino con Azure Lighthouse. Esta configuración de seguridad le concede acceso a los inquilinos. La configuración de inquilino en el inquilino (ya sea regional o multirregional) es la misma consideración que antes.
Uso del mismo área de trabajo de Log Analytics que Microsoft Defender for Cloud
Use la misma área de trabajo para Microsoft Sentinel y Microsoft Defender for Cloud, para que todos los registros recopilados por Microsoft Defender for Cloud también los pueda ingerir y usar Microsoft Sentinel. El área de trabajo predeterminada creada por Microsoft Defender for Cloud no aparecerá como un área de trabajo disponible para Microsoft Sentinel.