Etapa 2. Projetar seu workspace do Microsoft Sentinel
A implantação do ambiente do Microsoft Sentinel envolve criar uma configuração de workspace para atender aos requisitos de segurança e conformidade. O processo de provisionamento inclui a criação de workspaces do Log Analytics e a configuração das opções corretas do Microsoft Sentinel.
Este artigo fornece recomendações sobre como projetar e implementar workspaces do Microsoft Sentinel para os princípios de Confiança Zero.
Etapa 1: projetar uma estratégia de governança
Se a sua organização tiver muitas assinaturas do Azure, talvez seja necessário uma maneira de gerenciar com eficiência o acesso, as políticas e a conformidade dessas assinaturas. Os grupos de gerenciamento fornecem um escopo de governança para assinaturas. Quando você organiza suas assinaturas em grupos de gerenciamento, as condições de governança configuradas para um grupo de gerenciamento se aplicam às assinaturas nele contidas. Para obter mais informações, confira Organizar seus recursos com grupos de gerenciamento.
Por exemplo, o workspace do Microsoft Sentinel no diagrama a seguir está na assinatura de Segurança no grupo de gerenciamento de Plataforma, que faz parte do locatário do Microsoft Entra ID.
A assinatura do Security Azure e o workspace do Microsoft Sentinel herdam o RBAC (controle de acesso baseado em função) e as políticas do Azure aplicadas ao grupo de gerenciamento da plataforma.
Etapa 2: criar dois workspaces do Log Analytics
Para usar o Microsoft Sentinel, sua primeira etapa é criar seus workspaces do Log Analytics. Um único workspace do Log Analytics pode ser suficiente para muitos ambientes porém, muitas organizações criam vários workspaces para otimizar os custos e atender melhor aos diferentes requisitos de negócios.
É uma prática recomendada criar workspaces separados para os dados operacionais e de segurança para gerenciamento de custos e propriedade de dados no Microsoft Sentinel. Por exemplo, se houver mais de uma pessoa administrando direitos de acesso e funções operacionais, sua primeira decisão para Confiança Zero é criar workspaces separados para essas funções.
A plataforma de operações de segurança unificada, que fornece acesso ao Microsoft Sentinel no portal do Defender, dá suporte a um único workspace apenas.
Para obter mais informações, confira a Solução de exemplo da Contoso para workspaces separados para funções de operação e segurança.
Considerações sobre o design do workspace do Log Analytics
Para um único locatário, há duas maneiras de configurar os workspaces do Microsoft Sentinel:
Locatário único com um único workspace do Log Analytics. Nesse caso, o workspace se torna o repositório central para logs em todos os recursos dentro do locatário.
Vantagens:
- Consolidação central de logs.
- Mais fácil de consultar informações.
- Controle de acesso baseado em função do Azure (RBAC do Azure) para controlar o acesso ao Log Analytics e ao Microsoft Sentinel. Para obter mais informações, confira Gerenciar o acesso aos workspaces do Log Analytics – Azure Monitor e Funções e permissões no Microsoft Sentinel.
Desvantagens:
- Pode não atender aos requisitos de governança.
- Há um custo de largura de banda entre regiões.
Locatário único com workspaces regionais do Log Analytics.
Vantagens:
- Não há custos de largura de banda entre regiões.
- Pode ser necessário atender à governança.
- Controle de acesso a dados granular.
- Configurações de retenção granular.
- Cobrança dividida.
Desvantagens:
- Não há painel central.
- Análises, pastas de trabalho e outras configurações precisam ser implantadas várias vezes.
Para obter mais informações, consulte Projetar uma arquitetura de workspace do Log Analytics.
Etapa 3: Arquitetar o workspace do Microsoft Sentinel
A integração do Microsoft Sentinel requer a seleção de um workspace do Log Analytics. A seguir estão considerações para configurar o Log Analytics para o Microsoft Sentinel:
Crie um grupo de recursos de Segurança para fins de governança, o que permite isolar os recursos do Microsoft Sentinel e o acesso baseado em função à coleção. Para obter mais informações, consulte Projetar uma arquitetura de workspace do Log Analytics.
Crie um workspace do Log Analytics no grupo de recursos de segurança e integre o Microsoft Sentinel nele. Isso automaticamente lhe dá 31 dias de ingestão de dados de até 10 GB por dia grátis como parte de uma avaliação gratuita.
Defina seu workspace do Log Analytics com suporte ao Microsoft Sentinel para retenção de 90 dias, no mínimo.
Depois de integrar o Microsoft Sentinel a um workspace do Log Analytics, você obtém 90 dias de retenção de dados sem custo adicional e garante uma substituição de 90 dias de dados de log. Você incorrerá em custos para a quantidade total de dados no workspace após 90 dias. Você pode considerar a retenção de dados de log por mais tempo com base nos requisitos governamentais. Para obter mais informações, confira Criar workspaces do Log Analytics e Início rápido: integração no Microsoft Sentinel.
Confiança Zero com o Microsoft Sentinel
Para implementar a arquitetura de confiança zero, considere estender o workspace para consultar e analisar seus dados entre workspaces e locatários. Use Amostra de projetos de workspace do Microsoft Sentinel e Estender o Microsoft Sentinel em workspaces e locatários para determinar o melhor design de workspace para sua organização.
Além disso, use as diretrizes prescritivas de funções da nuvem e gerenciamento de operações e respectiva planilha do Excel (download). Neste guia, as tarefas de Confiança Zero a serem consideradas para o Microsoft Sentinel são:
- Definir funções RBAC do Microsoft Sentinel com grupos associados do Microsoft Entra.
- Validar se as práticas de acesso implementadas ao Microsoft Sentinel ainda atendem aos requisitos da sua organização.
- Considerar o uso de chaves gerenciadas pelo cliente.
Confiança Zero com RBAC
Para cumprir a Confiança Zero, recomendamos que você configure o RBAC do Azure com base nos recursos que são permitidos aos seus usuários em vez de fornecer a eles acesso a todo o ambiente do Microsoft Sentinel.
A tabela a seguir lista algumas das funções específicas do Microsoft Sentinel.
| Nome da função | Descrição |
|---|---|
| Leitor do Microsoft Sentinel | Veja dados, incidentes, pastas de trabalho e outros recursos do Microsoft Sentinel. |
| Respondente do Microsoft Sentinel | Além das capacidades da função Leitor do Microsoft Sentinel, gerencie incidentes (atribuir, ignorar etc.). Essa função é aplicável a tipos de usuários de analistas de segurança. |
| Operador de Guia Estratégico do Microsoft Sentinel | Listar, exibir e executar manualmente guias estratégicos. Essa função também é aplicável a tipos de usuários de analistas de segurança. Essa função serve para conceder a um respondente do Microsoft Sentinel a capacidade de executar guias estratégicos do Microsoft Sentinel com o mínimo de privilégio. |
| Colaborador do Microsoft Sentinel | Além das capacidades da função Operador de guia estratégico do Microsoft Sentinel, crie e edite pastas de trabalho, regras de análise e outros recursos do Microsoft Sentinel. Essa função é aplicável a tipos de usuário de engenheiros de segurança. |
| Colaborador de automação do Microsoft Sentinel | Permite que o Microsoft Sentinel adicione guias estratégicos a regras de automação. Não é destinado a contas de usuário. |
Ao atribuir funções do Azure específicas do Microsoft Sentinel, você pode encontrar outras funções do Azure e do Log Analytics que podem ter sido atribuídas aos usuários para outras finalidades. Por exemplo, as funções Colaborador do Log Analytics e Leitor do Log Analytics concedem acesso a um workspace do Log Analytics.
Para obter mais informações, confira Funções e permissões no Microsoft Sentinel e Gerencie o acesso aos dados do Microsoft Sentinel por recurso.
Confiança Zero em arquiteturas multilocatário com o Azure Lighthouse
O Azure Lighthouse permite o gerenciamento multilocatário, com escalabilidade, maior automação e governança aprimorada em todos os recursos. Com o Azure Lighthouse, você pode gerenciar várias instâncias do Microsoft Sentinel em locatários do Microsoft Entra em escala. Aqui está um exemplo.
Com o Azure Lighthouse, você pode executar consultas em vários workspaces ou criar pastas de trabalho para visualizar e monitorar dados de suas fontes de dados conectadas e obter informações extras. É importante considerar os princípios da Confiança Zero. Consulte Práticas de segurança recomendadas para implementar controles de acesso com privilégios mínimos para o Azure Lighthouse.
Considere as seguintes perguntas ao implementar as práticas recomendadas de segurança para o Azure Lighthouse:
- Quem é responsável pela propriedade dos dados?
- Quais são os requisitos de isolamento e conformidade de dados?
- Como você implementará privilégios mínimos entre locatários?
- Como vários conectores de dados em vários workspaces do Microsoft Sentinel serão gerenciados?
- Como monitorar ambientes do Office 365?
- Como proteger propriedades intelectuais (por exemplo, guias estratégicos, notebooks, regras de análise) entre locatários?
Consulte Gerenciar workspaces do Microsoft Sentinel em escala: RBAC granular do Azure para obter as práticas recomendadas de segurança do Microsoft Sentinel e do Azure Lighthouse.
Integrar seu workspace à plataforma de operações de segurança unificada
Se você estiver trabalhando com um único workspace, recomendamos que você integre o seu workspace à plataforma de operações de segurança unificada para exibir todos os dados do Microsoft Sentinel junto com dados XDR no portal do Microsoft Defender.
A plataforma de operações de segurança unificada também fornece recursos aprimorados, como interrupção automática de ataque para o sistema SAP, consultas unificadas da página de busca avançada do Defender e incidentes e entidades unificados no Microsoft Defender e no Microsoft Sentinel.
Para saber mais, veja:
- Conectar o Microsoft Sentinel ao Microsoft Defender XDR
- Microsoft Sentinel no portal do Microsoft Defender
Treinamento recomendado
Atualmente, o conteúdo de treinamento não abrange a plataforma de operações de segurança unificada.
Introdução ao Microsoft Sentinel
| Treinamento | Introdução ao Microsoft Sentinel |
|---|---|
|
Saiba como o Microsoft Sentinel permite que você comece a obter insights de segurança valiosos da sua nuvem e de dados locais rapidamente. |
Configurar seu ambiente do Microsoft Sentinel
| Treinamento | Configurar seu ambiente do Microsoft Sentinel |
|---|---|
|
Comece a usar o Microsoft Sentinel configurando corretamente o workspace do Microsoft Sentinel. |
Criar e gerenciar workspaces do Microsoft Sentinel
| Treinamento | Criar e gerenciar workspaces do Microsoft Sentinel |
|---|---|
|
Saiba mais sobre a arquitetura dos workspaces do Microsoft Sentinel para configurar o sistema para atender aos requisitos de operações de segurança da organização. |
Próxima etapa
Continue com a etapa 3 para configurar o Microsoft Sentinel para ingerir fontes de dados e configurar a detecção de incidentes.
Referências
Consulte estes links para saber mais sobre os serviços e tecnologias mencionados neste artigo.
| Área de serviço | Saiba mais |
|---|---|
| Microsoft Sentinel | - Guia de Início Rápido: Integrar o Microsoft Sentinel - Gerenciar o acesso aos dados do Microsoft Sentinel por recurso |
| Governança do Microsoft Sentinel | - Organizar seus recursos com grupos de gerenciamento - Funções e permissões no Microsoft Sentinel |
| Workspaces do Log Analytics | - Criar uma arquitetura de workspace do Log Analytics - Critérios de design para workspaces do Log Analytics - Solução da Contoso - Gerenciar o acesso a workspaces do Log Analytics - Azure Monitor - Criar uma arquitetura de workspace do Log Analytics - Criar workspaces do Log Analytics |
| Workspaces do Microsoft Sentinel e Azure Lighthouse | - Gerenciar workspaces do Microsoft Sentinel em escala: RBAC granular do Azure - Práticas de segurança recomendadas |