Prepare-se para vários espaços de trabalho e locatários no Microsoft Sentinel
Para se preparar para sua implantação, você precisa determinar se uma arquitetura de vários espaços de trabalho é relevante para seu ambiente. Neste artigo, você aprenderá como o Microsoft Sentinel pode se estender por vários espaços de trabalho e locatários para determinar se esse recurso atende às necessidades da sua organização. Este artigo faz parte do guia de implantação do Microsoft Sentinel.
Se você decidiu configurar seu ambiente para se estender entre espaços de trabalho, consulte Estender o Microsoft Sentinel entre espaços de trabalho e locatários e Gerenciar centralmente vários espaços de trabalho do Log Analytics habilitados para o Microsoft Sentinel com o gerenciador de espaços de trabalho. Se sua organização planeja integrar o portal do Microsoft Defender, consulte Gerenciamento multilocatário do Microsoft Defender.
A necessidade de usar vários espaços de trabalho
Ao integrar o Microsoft Sentinel, a primeira etapa é selecionar o espaço de trabalho do Log Analytics. Embora você possa obter todos os benefícios da experiência do Microsoft Sentinel com um único espaço de trabalho, em alguns casos, convém estender seu espaço de trabalho para consultar e analisar seus dados entre espaços de trabalho e locatários.
Esta tabela lista alguns desses cenários e, quando possível, sugere como você pode usar um único espaço de trabalho para o cenário.
| Requisito | Description | Formas de reduzir a contagem de áreas de trabalho |
|---|---|---|
| Soberania e conformidade regulamentar | Uma área de trabalho está vinculada a uma região específica. Para manter os dados em diferentes geografias do Azure para satisfazer os requisitos regulamentares, divida os dados em espaços de trabalho separados. No Microsoft Sentinel, os dados são principalmente armazenados e processados na mesma geografia ou região, com algumas exceções, como ao usar regras de deteção que aproveitam o aprendizado de máquina da Microsoft. Nesses casos, os dados podem ser copiados fora da geografia do espaço de trabalho para processamento. |
|
| Propriedade dos dados | Os limites da propriedade de dados, por exemplo, por subsidiárias ou empresas afiliadas, são melhor delineados usando espaços de trabalho separados. | |
| Vários locatários do Azure | O Microsoft Sentinel oferece suporte à coleta de dados dos recursos SaaS da Microsoft e do Azure somente dentro de seu próprio limite de locatário do Microsoft Entra. Portanto, cada locatário do Microsoft Entra requer um espaço de trabalho separado. | |
| Controle granular de acesso a dados | Uma organização pode precisar permitir que diferentes grupos, dentro ou fora da organização, acessem alguns dos dados coletados pelo Microsoft Sentinel. Por exemplo:
|
Usar o recurso Azure RBAC ou o Azure RBAC de nível de tabela |
| Configurações granulares de retenção | Historicamente, vários espaços de trabalho eram a única maneira de definir períodos de retenção diferentes para diferentes tipos de dados. Isso não é mais necessário em muitos casos, graças à introdução de configurações de retenção no nível da tabela. | Usar configurações de retenção no nível da tabela ou automatizar a exclusão de dados |
| Faturação dividida | Ao colocar espaços de trabalho em assinaturas separadas, eles podem ser cobrados para partes diferentes. | Relatório de utilização e cobrança cruzada |
| Arquitetura legada | O uso de vários espaços de trabalho pode resultar de um design histórico que levou em consideração limitações ou práticas recomendadas que não são mais verdadeiras. Também pode ser uma escolha de design arbitrária que pode ser modificada para acomodar melhor o Microsoft Sentinel. Exemplos incluem:
|
Rearquitetar áreas de trabalho |
Ao determinar quantos locatários e espaços de trabalho usar, considere que a maioria dos recursos do Microsoft Sentinel opera usando um único espaço de trabalho ou instância do Microsoft Sentinel, e o Microsoft Sentinel ingere todos os logs alojados no espaço de trabalho.
Provedor de Serviços de Segurança Gerenciada (MSSP)
No caso de um MSSP, muitos, se não todos, os requisitos acima se aplicam, tornando vários espaços de trabalho, entre locatários, a melhor prática. Especificamente, recomendamos que você crie pelo menos um espaço de trabalho para cada locatário do Microsoft Entra para oferecer suporte a conectores de dados internos de serviço para serviço que funcionam apenas em seu próprio locatário do Microsoft Entra.
Os conectores baseados em configurações de diagnóstico não podem ser conectados a um espaço de trabalho que não esteja localizado no mesmo locatário onde o recurso reside. Isso se aplica a conectores como o Firewall do Azure, o Armazenamento do Azure, a Atividade do Azure ou a ID do Microsoft Entra.
Os conectores de dados de parceiros geralmente são baseados em coleções de API ou agentes e, portanto, não são anexados a um locatário específico do Microsoft Entra.
Use o Azure Lighthouse para ajudar a gerenciar várias instâncias do Microsoft Sentinel em diferentes locatários.u
Arquitetura de vários espaços de trabalho do Microsoft Sentinel
Conforme implícito pelos requisitos acima, há casos em que um único SOC precisa gerenciar e monitorar centralmente vários espaços de trabalho do Log Analytics habilitados para o Microsoft Sentinel, potencialmente entre locatários do Microsoft Entra.
- Um serviço MSSP Microsoft Sentinel.
- Um SOC global que serve várias subsidiárias, cada uma com seu próprio SOC local.
- Um SOC monitorando vários locatários do Microsoft Entra dentro de uma organização.
Para resolver esses casos, o Microsoft Sentinel oferece vários recursos de espaço de trabalho que permitem monitoramento, configuração e gerenciamento centralizados, fornecendo um único painel de vidro em tudo o que é coberto pelo SOC. Este diagrama mostra um exemplo de arquitetura para esses casos de uso.
Este modelo oferece vantagens significativas em relação a um modelo totalmente centralizado no qual todos os dados são copiados para um único espaço de trabalho:
- Atribuição flexível de funções aos SOCs globais e locais, ou ao MSSP seus clientes.
- Menos desafios em relação à propriedade de dados, privacidade de dados e conformidade regulamentar.
- Latência mínima de rede e custos.
- Fácil onboarding e offboarding de novas subsidiárias ou clientes.
Próximos passos
Neste artigo, você aprendeu como o Microsoft Sentinel pode se estender por vários espaços de trabalho e locatários.