Prepararse para varias áreas de trabajo e inquilinos en Microsoft Sentinel
Para prepararse para la implementación, debe determinar si una arquitectura de varias áreas de trabajo es relevante para su entorno. En este artículo, aprenderá cómo Microsoft Sentinel puede extenderse entre varias áreas de trabajo e inquilinos para que pueda determinar si esta funcionalidad se adapta a las necesidades de su organización. Este artículo forma parte de la Guía de implementación de Microsoft Sentinel.
Si ha decidido configurar su entorno para que se extienda a través de áreas de trabajo, consulte Extender Microsoft Sentinel a través de áreas de trabajo e inquilinos y Administrar de forma centralizada múltiples áreas de trabajo de Microsoft Sentinel con el administrador de áreas de trabajo.
La necesidad de usar varias áreas de trabajo de Microsoft Sentinel
Al incorporar Microsoft Sentinel, el primer paso consiste en seleccionar el área de trabajo de Log Analytics. Aunque puede obtener la ventaja completa de la experiencia de Microsoft Sentinel con una sola área de trabajo, en algunos casos, es posible que quiera ampliar el área de trabajo para consultar y analizar los datos entre áreas de trabajo e inquilinos.
Esta tabla enumera algunos de estos escenarios y, cuando es posible, sugiere cómo podría utilizar una única área de trabajo para el escenario.
| Requisito | Descripción | Formas de reducir el número de áreas de trabajo |
|---|---|---|
| Soberanía y cumplimiento normativo | Un área de trabajo está ligada a una región específica. Para mantener los datos en diferentes zonas geográficas de Azure para satisfacer los requisitos normativos, divida los datos en áreas de trabajo independientes. | |
| Propiedad de los datos | Los límites de la propiedad de los datos, por ejemplo de subsidiarias o empresas afiliadas, se delimitan mejor mediante áreas de trabajo independientes. | |
| Varios inquilinos de Azure | Microsoft Sentinel admite la recopilación de datos de recursos SaaS de Microsoft y Azure únicamente dentro de su propio límite de inquilinos de Microsoft Entra. Por lo tanto, cada inquilino de Microsoft Entra requiere un área de trabajo independiente. | |
| Control de acceso a datos pormenorizado | Una organización puede necesitar permitir a diferentes grupos, dentro o fuera de la organización, acceder a algunos de los datos recopilados por Microsoft Sentinel. Por ejemplo:
|
Usar Azure RBAC de recursos o Azure RBAC de nivel de tabla |
| Configuración de retención pormenorizada | Históricamente, la única manera de establecer diferentes períodos de retención para tipos de datos diferentes era con varias áreas de trabajo. Esto ya no es necesario en muchos casos, gracias a la introducción de la configuración de retención de nivel de tabla. | Usar la configuración de retención de nivel de tabla o automatizar la eliminación de datos |
| Facturación dividida | Al colocar áreas de trabajo en suscripciones independientes, se pueden facturar a distintas entidades. | Informes de uso y cargos cruzados |
| Arquitectura heredada | El uso de varias áreas de trabajo puede deberse a un diseño histórico que tenía en cuenta limitaciones o buenas prácticas que ya no son válidas. También podría ser una opción de diseño arbitraria que se puede modificar para adaptarse mejor a Microsoft Sentinel. Algunos ejemplos son:
|
Volver a diseñar las áreas de trabajo |
Proveedor de servicios de seguridad administrada (MSSP)
En el caso de un MSSP, muchos si no se aplican todos los requisitos anteriores, se recomienda crear varias áreas de trabajo en los inquilinos. El MSSP puede usar Azure Lighthouse para extender las funcionalidades entre áreas de trabajo de Microsoft Sentinel en los inquilinos.
Arquitectura de varias áreas de trabajo de Microsoft Sentinel
Como se desprende de los requisitos anteriores, hay casos en los que un único SOC necesita administrar y supervisar de forma centralizada varias áreas de trabajo de Microsoft Sentinel, potencialmente a través de los inquilinos de Microsoft Entra.
Un servicio de MSSP de Microsoft Sentinel.
Un SOC global que atiende a varias subsidiarias, cada una de las cuales tiene su propio SOC local.
Un SOC que monitorea múltiples inquilinos de Microsoft Entra dentro de una organización.
Para abordar estos casos, Microsoft Sentinel ofrece funcionalidades de varias áreas de trabajo que permiten la supervisión, configuración y administración centrales, lo que proporciona un único panel en todo lo que abarca el SOC. En este diagrama se muestra una arquitectura de ejemplo para estos casos de uso.
Este modelo ofrece importantes ventajas con respecto a un modelo totalmente centralizado en el que todos los datos se copian en una sola área de trabajo:
Asignación de roles flexible al SOC global y local o al MSSP de sus clientes.
Menos desafíos relacionados con la propiedad de los datos, la privacidad de los datos y el cumplimiento normativo.
Cargos y latencia de red mínima.
Incorporación y retirada fáciles de nuevas subsidiarias o clientes.
En las secciones siguientes, explicaremos cómo operar este modelo y, en particular, cómo:
Supervisar de forma centralizada varias áreas de trabajo, potencialmente a través de los inquilinos, proporcionando el SOC con un único panel.
Configurar y administrar de forma centralizada varias áreas de trabajo, potencialmente a través de los inquilinos, mediante la automatización.
Pasos siguientes
En este artículo, ha aprendido cómo Microsoft Sentinel puede extenderse a través de múltiples áreas de trabajo e inquilinos.