Prepare-se para vários espaços de trabalho e locatários no Microsoft Sentinel
Para se preparar para sua implantação, você precisa determinar se uma arquitetura de vários espaços de trabalho é relevante para seu ambiente. Neste artigo, você aprenderá como o Microsoft Sentinel pode se estender por vários espaços de trabalho e locatários para determinar se esse recurso atende às necessidades da sua organização. Este artigo faz parte do guia de implantação do Microsoft Sentinel.
Se você decidiu configurar seu ambiente para se estender entre espaços de trabalho, consulte Estender o Microsoft Sentinel entre espaços de trabalho e locatários e Gerenciar centralmente vários espaços de trabalho do Microsoft Sentinel com o gerenciador de espaços de trabalho.
A necessidade de usar vários espaços de trabalho do Microsoft Sentinel
Ao integrar o Microsoft Sentinel, a primeira etapa é selecionar o espaço de trabalho do Log Analytics. Embora você possa obter todos os benefícios da experiência do Microsoft Sentinel com um único espaço de trabalho, em alguns casos, convém estender seu espaço de trabalho para consultar e analisar seus dados entre espaços de trabalho e locatários.
Esta tabela lista alguns desses cenários e, quando possível, sugere como você pode usar um único espaço de trabalho para o cenário.
| Requisito | Descrição | Formas de reduzir a contagem de áreas de trabalho |
|---|---|---|
| Soberania e conformidade regulamentar | Uma área de trabalho está vinculada a uma região específica. Para manter os dados em diferentes geografias do Azure para satisfazer os requisitos regulamentares, divida os dados em espaços de trabalho separados . | |
| Propriedade dos dados | Os limites da propriedade de dados, por exemplo, por subsidiárias ou empresas afiliadas, são melhor delineados usando espaços de trabalho separados. | |
| Vários locatários do Azure | O Microsoft Sentinel oferece suporte à coleta de dados dos recursos SaaS da Microsoft e do Azure somente dentro de seu próprio limite de locatário do Microsoft Entra. Portanto, cada locatário do Microsoft Entra requer um espaço de trabalho separado. | |
| Controlo de acesso de dados granulares | Uma organização pode precisar permitir que diferentes grupos, dentro ou fora da organização, acessem alguns dos dados coletados pelo Microsoft Sentinel. Por exemplo:
|
Usar o recurso Azure RBAC ou o Azure RBAC de nível de tabela |
| Configurações granulares de retenção | Historicamente, vários espaços de trabalho eram a única maneira de definir períodos de retenção diferentes para diferentes tipos de dados. Isso não é mais necessário em muitos casos, graças à introdução de configurações de retenção no nível da tabela. | Usar configurações de retenção no nível da tabela ou automatizar a exclusão de dados |
| Faturação dividida | Ao colocar espaços de trabalho em assinaturas separadas, eles podem ser cobrados para diferentes partes. | Relatório de utilização e cobrança cruzada |
| Arquitetura legada | O uso de vários espaços de trabalho pode resultar de um design histórico que levou em consideração limitações ou práticas recomendadas que não são mais verdadeiras. Também pode ser uma escolha de design arbitrária que pode ser modificada para acomodar melhor o Microsoft Sentinel. Exemplos incluem:
|
Rearquitetar áreas de trabalho |
Provedor de Serviços de Segurança Gerenciada (MSSP)
No caso de um MSSP, muitos, se não todos, os requisitos acima se aplicam, tornando vários espaços de trabalho, entre locatários, a melhor prática. O MSSP pode usar o Azure Lighthouse para estender os recursos de espaço de trabalho cruzado do Microsoft Sentinel entre locatários.
Arquitetura de vários espaços de trabalho do Microsoft Sentinel
Conforme implícito pelos requisitos acima, há casos em que um único SOC precisa gerenciar e monitorar centralmente vários espaços de trabalho do Microsoft Sentinel, potencialmente entre locatários do Microsoft Entra.
Um serviço MSSP Microsoft Sentinel.
Um SOC global que serve várias subsidiárias, cada uma com seu próprio SOC local.
Um SOC monitorando vários locatários do Microsoft Entra dentro de uma organização.
Para resolver esses casos, o Microsoft Sentinel oferece vários recursos de espaço de trabalho que permitem monitoramento, configuração e gerenciamento centralizados, fornecendo um único painel de vidro em tudo o que é coberto pelo SOC. Este diagrama mostra um exemplo de arquitetura para esses casos de uso.
Este modelo oferece vantagens significativas em relação a um modelo totalmente centralizado no qual todos os dados são copiados para um único espaço de trabalho:
Atribuição flexível de funções aos SOCs globais e locais, ou ao MSSP seus clientes.
Menos desafios em relação à propriedade de dados, privacidade de dados e conformidade regulamentar.
Latência mínima de rede e custos.
Fácil onboarding e offboarding de novas subsidiárias ou clientes.
Nas seções a seguir, explicaremos como operar esse modelo e, particularmente, como:
Monitore centralmente vários espaços de trabalho, potencialmente entre locatários, fornecendo ao SOC um único painel de vidro.
Configure e gerencie centralmente vários espaços de trabalho, potencialmente entre locatários, usando automação.
Próximos passos
Neste artigo, você aprendeu como o Microsoft Sentinel pode se estender por vários espaços de trabalho e locatários.