Administración de áreas de trabajo de Azure Sentinel a gran escala

Como proveedor de servicios, es posible que haya incorporado varios inquilinos de cliente para Azure Lighthouse. Azure Lighthouse permite a los proveedores de servicios realizar operaciones a escala a través de varios inquilinos de Azure Active Directory (Azure AD) a la vez, lo que hace que las tareas de administración sean más eficaces.

Azure Sentinel ofrece análisis de seguridad e inteligencia frente a amenazas, de forma que proporciona una única solución para la detección de alertas, la visibilidad de amenazas, la búsqueda proactiva y la respuesta a amenazas. Con Azure Lighthouse, puede administrar varias áreas de trabajo de Azure Sentinel en varios inquilinos a gran escala. Esto permite escenarios como la ejecución de consultas en varias áreas de trabajo o la creación de libros para visualizar y supervisar los datos de los orígenes de datos conectados para obtener información. La dirección IP, como las consultas y los cuadernos de estrategias, permanecen en el inquilino de administración, pero se puede usar para realizar la administración de seguridad en los inquilinos del cliente.

Este tema proporciona información general sobre cómo usar Azure Sentinel de forma escalable para la visibilidad entre inquilinos y los servicios de seguridad administrada.

Consideraciones arquitectónicas

Para un proveedor de servicios de seguridad administrada (MSSP) que quiera construir una oferta de seguridad como servicio con Azure Sentinel, es posible que necesite un solo centro de operaciones de seguridad (SOC) para supervisar, administrar y configurar de forma centralizada en varias áreas de trabajo de Azure Sentinel implementadas en inquilinos de clientes individuales. Del mismo modo, las empresas con múltiples inquilinos de Azure AD pueden querer administrar de forma centralizada múltiples áreas de trabajo de Azure Sentinel implementadas entre sus inquilinos.

Este modelo de implementación presenta las siguientes ventajas:

• La propiedad de los datos sigue siendo de cada inquilino administrado.
• Admite requisitos para almacenar datos dentro de los límites geográficos.
• Garantiza el aislamiento de datos, ya que los datos de varios clientes no se almacenan en la misma área de trabajo.
• Evita la filtración de datos de los inquilinos administrados, lo que ayuda a garantizar el cumplimiento de los datos.
• Los costos relacionados se cargan a cada inquilino administrado, en lugar de al inquilino administrador.
• Los datos de todos los orígenes de datos y conectores de datos que se integran con Azure Sentinel (como los registros de actividad de Azure AD, los registros de Office 365 o las alertas de protección contra amenazas de Microsoft) permanecerán dentro de cada inquilino de cliente.
• Reduce la latencia de red.
• Facilidad para agregar o quitar nuevas subsidiarias o clientes.
• Permite usar una vista de varias áreas de trabajo al trabajar con Azure Lighthouse.
• Para proteger su propiedad intelectual, puede usar cuadernos de estrategias y libros para trabajar entre inquilinos sin compartir código directamente con los clientes. Solo las reglas analíticas y de búsqueda se deben guardar directamente en el inquilino de cada cliente.

Un modelo de implementación alternativo es crear un área de trabajo de Azure Sentinel en el inquilino de administración. En este modelo, Azure Lighthouse permite recopilar registros de orígenes de datos entre inquilinos administrados. Sin embargo, hay algunos orígenes de datos que no se pueden conectar entre inquilinos, como Microsoft Defender. Debido a esta limitación, este modelo no es adecuado para muchos escenarios de proveedores de servicios.

Control de acceso basado en rol de Azure (RBAC de Azure) detallado

Cada suscripción de cliente que administrará un MSSP debe incorporarse a Azure Lighthouse. Esto permite a los usuarios designados del inquilino de administración tener acceso y realizar operaciones de administración en áreas de trabajo de Azure Sentinel implementadas en inquilinos del cliente.

Al crear las autorizaciones, puede asignar los roles integrados de Azure Sentinel a usuarios, grupos o entidades de servicio en el inquilino de administración:

• Lector de Azure Sentinel
• Respondedor de Azure Sentinel
• Colaborador de Azure Sentinel

También puede asignar roles integrados adicionales para realizar funciones adicionales. Para obtener información sobre los roles específicos que se pueden usar con Azure Sentinel, consulte Permisos de Azure Sentinel.

Una vez que haya incorporado a sus clientes, los usuarios designados pueden iniciar sesión en el inquilino de administración y tener acceso directamente al área de trabajo de Azure Sentinel del cliente con los roles asignados.

Ver y administrar incidentes en áreas de trabajo

Si va a administrar los recursos de Azure Sentinel para varios clientes, puede ver y administrar incidentes en varias áreas de trabajo a la vez en varios inquilinos. Para más información, consulte Procesamiento de incidentes en varias áreas de trabajo a la vez y Extender Azure Sentinel por área de trabajo e inquilinos.

Configurar los cuadernos de estrategias para la mitigación

Los cuadernos de estrategias pueden usarse para la mitigación automática cuando se desencadena una alerta. Estos cuadernos de estrategias se pueden ejecutar de forma manual o automática cuando se desencadenan alertas específicas. Los cuadernos de estrategias se pueden implementar en el inquilino de administración o en el inquilino del cliente, con los procedimientos de respuesta configurados en función de los usuarios del inquilino que deberán tomar medidas en respuesta a una amenaza de seguridad.

Crear libros entre inquilinos

Los libros de Azure Monitor en Azure Sentinel le ayudan a visualizar y supervisar los datos de los orígenes de datos conectados para obtener información. Puede usar las plantillas de libro integradas en Azure Sentinel o crear libros personalizados para sus escenarios.

Puede implementar libros en el inquilino de administración y crear paneles a escala para supervisar y consultar datos en los inquilinos de los clientes. Para obtener más información consulte Supervisión entre áreas de trabajo.

También puede implementar libros directamente en un inquilino individual que administra para escenarios específicos de ese cliente.

Ejecución de Log Analytics y consultas de búsqueda en áreas de trabajo de Azure Sentinel

Cree y guarde consultas de Log Analytics para la detección de amenazas de forma centralizada en el inquilino de administración, incluidas las consultas de búsqueda. Estas consultas se pueden realizar en todas las áreas de trabajo de Azure Sentinel de sus clientes mediante el operador de unión y la expresión de área de trabajo (). Para obtener más información consulte Consultas entre áreas de trabajo.

Usar la automatización para la administración entre áreas de trabajo

Puede usar automatización para administrar varias áreas de trabajo de Azure Sentinel y configurar consultas de búsqueda, guías y libros. Para más información consulte Administración entre áreas de trabajo con automatización.

Supervisión de la seguridad de los entornos de Office 365

Use Azure Lighthouse junto con Azure Sentinel para supervisar la seguridad de los entornos de Office 365 entre inquilinos. En primer lugar, los conectores de datos de Office 365 integrados deben estar habilitados en el inquilino administrado para que la información sobre las actividades de usuarios y administradores en Exchange y SharePoint (incluido OneDrive) se pueda ingerir en un área de trabajo de Azure Sentinel en el inquilino administrado. Esto incluye detalles sobre acciones como descargas de archivos, solicitudes de acceso enviadas, cambios en eventos de grupo y operaciones de buzón de correo, junto con información sobre los usuarios que realizaron dichas acciones. Las alertas de DLP de Office 365 también se admiten como parte del conector integrado de Office 365.

Puede habilitar el conector de Microsoft Cloud App Security (MCAS) para transmitir alertas y registros de Cloud Discovery a Azure Sentinel. Esto le permite adquirir visibilidad sobre las aplicaciones en la nube, obtener análisis sofisticados para identificar y combatir las ciberamenazas y controlar cómo viajan los datos. Los registros de actividad de MCAS se pueden consumir mediante el formato de evento común (CEF).

Después de configurar los conectores de datos de Office 365, puede usar las funcionalidades de Azure Sentinel entre inquilinos, como la visualización y análisis los datos de los libros, el uso de consultas para crear alertas personalizadas y la configuración de los cuadernos de estrategias para responder a las amenazas.

Protección de la propiedad intelectual

Al trabajar con clientes, es posible que quiera proteger la propiedad intelectual que ha desarrollado en Azure Sentinel, como reglas de análisis de Azure Sentinel, consultas de búsqueda, cuadernos de estrategias y libros. Hay distintos métodos que puede usar para asegurarse de que los clientes no tienen acceso completo al código utilizado en estos recursos.

Para más información, vea Protección de la propiedad intelectual del MSSP en Azure Sentinel.

Pasos siguientes

• Más información sobre Azure Sentinel.
• Revise la página de precios de Azure Sentinel.
• Explore Azure Sentinel All in One, un proyecto para acelerar las tareas de implementación y configuración inicial de un entorno de Azure Sentinel.
• Más información sobre las experiencias de administración entre inquilinos.