Estender o Microsoft Sentinel em workspaces e locatários
Ao integrar o Microsoft Sentinel, sua primeira etapa é selecionar seu workspace do Log Analytics. Embora você possa obter todo o benefício da experiência do Microsoft Sentinel com um único workspace, em alguns casos, convém estender seu workspace para consultar e analisar seus dados entre workspaces e locatários. Saiba mais sobre como o Microsoft Sentinel pode se estender por vários espaços de trabalho.
Gerenciar incidentes em vários workspaces
O Microsoft Sentinel dá suporte a uma exibição de incidentes de vários workspaces em que você pode gerenciar e monitorar incidentes centralmente em vários workspaces. Essa exibição centralizada permite gerenciar incidentes diretamente ou fazer busca detalhada e transparente nos detalhes do incidente no contexto do workspace de origem.
Consultar vários espaços de trabalho
Consulte vários workspaces, permitindo que você pesquise e correlacione dados de vários workspaces em uma consulta.
Use a
workspace( )expressão, com o identificador do espaço de trabalho como o argumento, para se referir-se a uma tabela em um espaço de trabalho diferente.- Consulte as informações importantes sobre o uso de formatos do identificador para garantir o desempenho adequado.
Use o Union Operator junto com a expressão
workspace( )para aplicar uma consulta entre tabelas em vários espaços de trabalho.É possível usar funções salvas para simplificar as consultas entre workspaces. Por exemplo, você pode encurtar uma referência longa à tabela SecurityEvent no espaço de trabalho do Cliente A salvando a expressão
workspace("/subscriptions/<customerA_subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName>").SecurityEventcomo uma função chamada
SecurityEventCustomerA. Em seguida, você pode consultar a tabela SecurityEvent do Cliente A com essa função:SecurityEventCustomerA | where ....Uma função também pode simplificar uma união comumente usada. Por exemplo, você pode salvar a seguinte expressão como uma função chamada
unionSecurityEvent:union workspace("/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName1>").SecurityEvent, workspace("/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName2>").SecurityEventEm seguida, é possível escrever uma consulta em ambos os workspaces começando com
unionSecurityEvent | where ....
Incluir consultas entre espaços de trabalho nas regras de análise agendadas
Você pode incluir consultas entre espaços de trabalho em regras de análise agendadas. Você pode usar as regras de análise entre workspaces em um SOC central e entre locatários (usando o Azure Lighthouse), adequado aos MSSPs. Este uso está sujeito às seguintes limitações:
- Você pode incluir até 20 workspaces em uma consulta. No entanto, para um bom desempenho, recomendamos não incluir mais do que 5.
- Você deve implantar o Microsoft Sentinel em todos os workspaces referenciados na consulta.
- Os alertas gerados por uma regra de análise entre workspaces e os incidentes criados com base neles existem somente no workspace em que a regra foi definida. Os alertas não serão exibidos em nenhum dos outros workspaces referenciados na consulta.
- Uma regra de análise entre workspaces, como qualquer regra de análise, continuará em execução mesmo se o usuário que criou a regra perder o acesso aos workspaces referenciados na consulta da regra. A única exceção a isso é no caso de workspaces em assinaturas e/ou locatários diferentes da regra de análise.
Alertas e incidentes criados por regras de análise entre workspaces contêm todas as entidades relacionadas, incluindo aquelas de todos os workspaces referenciados e o workspace “inicial” (onde a regra foi definida). Dessa forma, os analistas obtêm uma visão completa dos alertas e incidentes.
Observação
Consultar vários workspaces na mesma consulta pode afetar o desempenho. Portanto, é recomendável somente quando a lógica requer essa funcionalidade.
Usar pastas de trabalho entre espaços de trabalho
As pastas de trabalho têm painéis e aplicativos para o Microsoft Sentinel. Ao trabalhar com vários workspaces, as pastas de trabalho fornecem monitoramento e ações entre workspaces.
As pastas de trabalho podem oferecer consultas entre workspaces em três métodos, adequados para diferentes níveis de experiência do usuário final:
| Método | Descrição | Quando usar? |
|---|---|---|
| Gravar consultas entre workspaces | O criador da pasta de trabalho pode gravar consultas entre workspaces (descritas acima) na pasta de trabalho. | Quero que o criador da pasta de trabalho crie uma estrutura de workspace transparente para o usuário. |
| Adicionar um seletor de workspace à pasta de trabalho | O criador da pasta de trabalho pode implementar um seletor de workspace como parte da pasta de trabalho. | Quero permitir que o usuário controle os workspaces mostrados pela pasta de trabalho, com uma caixa suspensa fácil de usar. |
| Editar a pasta de trabalho interativamente | Um usuário avançado que modifica uma pasta de trabalho existente pode editar as consultas nela, selecionando os workspaces de destino que usam o seletor de workspace no editor. | Quero permitir que um usuário avançado modifique facilmente pastas de trabalho existentes para trabalhar com vários workspaces. |
Buscar em vários espaços de trabalho
O Microsoft Sentinel conta com exemplos de consulta pré-carregada projetados para ajudar você a começar e conhecer as tabelas e a linguagem de consulta. Os pesquisadores de segurança da Microsoft constantemente adicionam novas consultas internas e ajustam as consultas existentes. Use essas consultas para procurar novas detecções e identificar sinais de intrusão que suas ferramentas de segurança podem ter perdido.
As funcionalidades de busca entre workspaces permitem que sua detecção de ameaças crie novas consultas de busca ou adapte as existentes para abranger vários workspaces usando o operador union e a expressão workspace(), como mostrado anteriormente.
Gerenciar vários espaços de trabalho usando automação
Para configurar e gerenciar vários workspaces do Microsoft Sentinel, você precisa automatizar o uso da API de gerenciamento do Microsoft Sentinel.
- Saiba como automatizar a implantação de recursos do Microsoft Sentinel, incluindo regras de alerta, consultas de busca, pastas de trabalho e guias estratégico.
- Saiba como Implantar conteúdo personalizado de seu repositório. Este recurso proporciona uma metodologia consolidada para gerenciar o Microsoft Sentinel como código e para implantar e configurar recursos de um repositório do Azure DevOps ou do GitHub privado.
Gerenciar os workspaces entre locatários usando o Azure Lighthouse
Conforme mencionado acima, em muitos cenários, os diferentes workspaces do Microsoft Sentinel podem estar localizados em diferentes locatários do Microsoft Entra. É possível usar o Azure Lighthouse para estender todas as atividades entre workspaces para além dos limites de locatário, permitindo que os usuários em seu locatário de gerenciamento trabalhem em workspaces do Microsoft Sentinel em todos os locatários.
Depois que o Azure Lighthouse estiver integrado, use o seletor de diretório + assinatura no portal do Azure para selecionar todas as assinaturas que contêm workspaces que você deseja gerenciar. Isso garante que todos estão disponíveis nos diversos seletores de workspace no portal.
Ao usar o Azure Lighthouse, é recomendável criar um grupo para cada função do Microsoft Sentinel e delegar permissões de cada locatário para esses grupos.
Próximas etapas
Neste artigo, você aprendeu como as funcionalidades do Microsoft Sentinel podem ser estendidas para vários workspaces e locatários. Para ver diretrizes práticas de como implementar a arquitetura entre workspaces do Microsoft Sentinel, confira os seguintes artigos:
- Saiba como trabalhar com vários locatários no Microsoft Sentinel usando o Azure Lighthouse.
- Saiba como exibir e gerenciar incidentes em vários workspaces facilmente.