Gerenciar logs
Por fim, você deve entender como implantar e gerenciar os dados de log que o Microsoft Sentinel coleta.
Gerenciamento de log do Azure Monitor
O Azure Monitor e seu recurso Log Analytics são a plataforma de gerenciamento de logs subjacente que alimenta o Microsoft Sentinel. O espaço de trabalho que o Microsoft Sentinel usa é essencialmente um contêiner onde os dados de log são coletados de várias fontes. Você pode ter um único espaço de trabalho do Log Analytics para todos os seus dados de monitoramento ou pode ter requisitos para vários espaços de trabalho.
Qualquer fonte que envie logs para o Monitor ou o Log Analytics inerentemente também oferece suporte ao Microsoft Sentinel. A maioria das soluções Azure e Microsoft suporta o envio de telemetria para o Monitor.
Modelo de preços
O Microsoft Sentinel fatura com base no volume de dados ingeridos para análise no Microsoft Sentinel e armazenados no espaço de trabalho do Log Analytics. Há duas maneiras de pagar pelo serviço Microsoft Sentinel: Reservas de capacidade e pagamento conforme o uso.
O Espaço de Trabalho do Azure Monitor Log Analytics é o local para onde os dados são enviados. Os dados em um espaço de trabalho são organizados em tabelas. Cada tabela armazena diferentes tipos de dados e tem um conjunto exclusivo de propriedades. As propriedades são baseadas no recurso que gera os dados. A maioria das fontes de dados grava em suas próprias tabelas em um espaço de trabalho do Log Analytics.
Você pode obter todos os benefícios da experiência do Microsoft Sentinel ao usar um único espaço de trabalho. Mesmo assim, algumas circunstâncias podem exigir que você tenha vários espaços de trabalho, como:
- Soberania e conformidade regulamentar: um espaço de trabalho está vinculado a uma região específica. Se os dados precisarem ser mantidos em diferentes geografias do Azure para atender aos requisitos regulamentares, eles deverão ser divididos em espaços de trabalho separados.
- Propriedade dos dados: Os limites da propriedade dos dados, por exemplo, por subsidiárias ou empresas afiliadas, são mais bem delineados através da utilização de espaços de trabalho separados.
- Vários locatários do Azure: o Microsoft Sentinel dá suporte à coleta de dados de recursos SaaS (software como serviço) da Microsoft e do Azure apenas dentro de seu próprio limite de locatário do Microsoft Entra. Portanto, cada locatário do Microsoft Entra requer um espaço de trabalho separado.
Você pode ter requisitos, como a necessidade de ter controle granular sobre o acesso aos dados. Essas situações são mais bem satisfeitas usando um único espaço de trabalho. A tabela a seguir lista algumas situações e maneiras de reduzir a contagem do espaço de trabalho.
| Requisito | Descrição | Maneiras de reduzir a contagem de espaços de trabalho |
|---|---|---|
| Controle granular de acesso a dados | Uma organização pode precisar permitir que diferentes grupos, dentro ou fora da organização, acessem alguns dos dados que o Microsoft Sentinel coleta. | Usar o recurso Azure RBAC ou o Azure RBAC de nível de tabela |
| Faturação dividida | Ao colocar espaços de trabalho em assinaturas separadas, eles podem cobrar para partes diferentes. | Relatórios de utilização e carregamento cruzado |
| Arquitetura legada | O uso de vários espaços de trabalho pode resultar de um design histórico que considera limitações desatualizadas ou práticas recomendadas. Também pode ser uma escolha de design arbitrária que pode ser modificada para acomodar melhor o Microsoft Sentinel. | Rearquitetar espaços de trabalho |
Arquitetura de vários espaços de trabalho do Microsoft Sentinel
Há casos em que vários espaços de trabalho do Microsoft Sentinel, potencialmente entre locatários do Microsoft Entra, devem ser monitorados e gerenciados centralmente por um único centro de operações de segurança, como:
- Um provedor de serviços de segurança gerenciado Serviço Microsoft Sentinel
- Um centro de operações de segurança que monitora vários locatários do Microsoft Entra em uma organização
- Um centro de operações de segurança global que atende várias subsidiárias e cada uma tem seu próprio centro de operações de segurança local
Para atender a esse requisito, o Microsoft Sentinel oferece recursos de vários espaços de trabalho que permitem monitoramento, configuração e gerenciamento centralizados. Ele fornece um único console de exibição de gerenciamento em tudo o que o centro de operações de segurança cobre.
Esse modelo de vários espaços de trabalho oferece vantagens significativas em relação a um modelo totalmente centralizado no qual todos os dados são copiados para um único espaço de trabalho, como:
- Uma atribuição de função mais flexível às equipes do centro de operações de segurança global ou local ou ao provedor de serviços de segurança gerenciado para seus clientes
- Menos desafios em relação à propriedade de dados, privacidade de dados e conformidade regulatória
- Latência e encargos de rede mínimos
- Fácil integração e desembarque de novas subsidiárias e clientes