Planejar o espaço de trabalho do Microsoft Sentinel
Antes de implantar o Microsoft Sentinel, é crucial entender as opções do espaço de trabalho. A solução Microsoft Sentinel é instalada em um espaço de trabalho do Log Analytics e a maioria das considerações de implementação se concentra na criação do espaço de trabalho do Log Analytics. A opção mais importante ao criar um novo espaço de trabalho do Log Analytics é a região. A região especifica o local onde os dados de log residirão.
As três opções de implementação:
Locatário único com um único espaço de trabalho do Microsoft Sentinel
Locatário único com espaços de trabalho regionais do Microsoft Sentinel
Multi-Inquilino
Espaço de trabalho único de inquilino único
O locatário único com um único espaço de trabalho do Microsoft Sentinel será o repositório central para logs em todos os recursos dentro do mesmo locatário.
Esse espaço de trabalho recebe logs de recursos em outras regiões dentro do mesmo locatário. Como os dados de log (quando coletados) viajarão entre regiões e serão armazenados em outra região, isso cria duas preocupações possíveis. Primeiro, ele pode incorrer em um custo de largura de banda. Em segundo lugar, se houver um requisito de governança de dados para manter os dados em uma região específica, a opção de espaço de trabalho único não será uma opção de implementação.
Os inquilinos únicos com uma única compensação de espaço de trabalho incluem:
| Prós | Contras |
|---|---|
| Painel Central de Vidro | Pode não atender aos requisitos de governança de dados |
| Consolida todos os logs e informações de segurança | Pode incorrer em custo de largura de banda para regiões cruzadas |
| Mais fácil de consultar todas as informações | |
| Azure Log Analytics RBAC para controlar o acesso aos dados | |
| RBAC do Microsoft Sentinel para RBAC de serviço |
Locatário único com espaços de trabalho regionais do Microsoft Sentinel
O locatário único com espaços de trabalho regionais do Microsoft Sentinel terá vários espaços de trabalho do Sentinel que exigem a criação e a configuração de vários espaços de trabalho do Microsoft Sentinel e do Log Analytics.
| Prós | Contras |
|---|---|
| Sem custos de largura de banda entre regiões | Sem painel central de vidro. Você não está procurando em um só lugar para ver todos os dados. |
| Pode ser necessário atender aos requisitos de governança de dados | Análises, pastas de trabalho, etc. devem ser implantadas várias vezes. |
| Controlo de acesso de dados granulares | |
| Configurações granulares de retenção | |
| Faturação dividida |
Para consultar dados entre espaços de trabalho, use a função workspace() antes do nome da tabela.
TableName
| union workspace("WorkspaceName").TableName
Espaços de trabalho multilocatários
Se for necessário gerenciar um espaço de trabalho do Microsoft Sentinel, não em seu locatário, implemente espaços de trabalho multilocatários usando o Azure Lighthouse. Esta configuração de segurança dá-lhe acesso aos inquilinos. A configuração do locatário dentro do locatário (regional ou multirregional) é a mesma consideração que antes.
Use o mesmo espaço de trabalho de análise de log do Microsoft Defender for Cloud
Use o mesmo espaço de trabalho para o Microsoft Sentinel e o Microsoft Defender for Cloud, para que todos os logs coletados pelo Microsoft Defender for Cloud também possam ser ingeridos e usados pelo Microsoft Sentinel. O espaço de trabalho padrão criado pelo Microsoft Defender for Cloud não aparecerá como um espaço de trabalho disponível para o Microsoft Sentinel.