Planejar o workspace do Microsoft Sentinel
Antes de implantar o Microsoft Sentinel, é fundamental compreender as opções do workspace. A solução Microsoft Azure Sentinel é instalada em um Workspace do Log Analytics, e a maioria das considerações de implementação se concentra na criação do Workspace do Log Analytics. A opção única mais importante na criação de um novo Workspace do Log Analytics é a região. A região especifica o local em que residem os dados de log.
As três opções de implementação:
Locatário único com um único Workspace do Microsoft Azure Sentinel
Locatário único com Workspaces regionais do Microsoft Azure Sentinel
Multilocatário
Locatário único com um único workspace
O locatário único com um único workspace do Microsoft Azure Sentinel será o repositório central de logs em todos os recursos do mesmo locatário.
Esse workspace recebe logs de recursos em outras regiões do mesmo locatário. Como os dados de log (quando coletados) percorrem todas as regiões e são armazenados em outra região, surgem duas possíveis preocupações. Em primeiro lugar, isso pode incorrer em custos de largura de banda. Em segundo lugar, se houver um requisito de governança de dados para manter os dados em uma região específica, a implementação de um só workspace não será uma boa opção.
As vantagens e desvantagens de locatários individuais em um só workspace incluem:
| Vantagens | Desvantagens |
|---|---|
| Painel central | Pode não atender aos requisitos de governança de dados |
| Consolida todos os logs e de segurança informações | Pode incorrer em custos de largura de banda entre regiões |
| Mais fácil de consultar todas as informações | |
| RBAC do Azure Log Analytics para controlar o acesso a dados | |
| RBAC do Microsoft Azure Sentinel para RBAC de serviço |
Locatário único com workspaces regionais do Microsoft Azure Sentinel
No caso do locatário único com workspaces regionais do Microsoft Azure Sentinel, vários workspaces do Sentinel exigem a criação e a configuração de vários workspaces do Microsoft Azure Sentinel e do Log Analytics.
| Vantagens | Desvantagens |
|---|---|
| Não há custos de largura de banda entre regiões | Não há painel central. Você não contará com um só local para procurar todos os dados. |
| Talvez seja necessário atender aos requisitos de governança de dados | As análises, pastas de trabalho, etc. devem ser implantadas várias vezes. |
| Controle de acesso a dados granular | |
| Configurações de retenção granular | |
| Cobrança dividida |
Para consultar dados entre workspaces, use a função workspace() antes do nome da tabela.
TableName
| union workspace("WorkspaceName").TableName
Workspaces multilocatário
Se você precisar gerenciar um workspace do Microsoft Sentinel fora do seu locatário, implemente workspaces multilocatário usando o Azure Lighthouse. Essa configuração de segurança concede acesso aos locatários. A configuração de locatário dentro do locatário (regional ou de várias regiões) é a mesma consideração de antes.
Usar o mesmo workspace do Log Analytics que o Microsoft Defender para Nuvem
Use o mesmo workspace para o Microsoft Sentinel e o Microsoft Defender para Nuvem, para que todos os logs coletados pelo Microsoft Defender para Nuvem também possam ser ingeridos e usados pelo Microsoft Sentinel. O workspace padrão criado pelo Microsoft Defender para Nuvem não aparecerá como um workspace disponível para o Microsoft Sentinel.