Prepararse para varias áreas de trabajo e inquilinos en Microsoft Sentinel
Para prepararse para la implementación, debe determinar si una arquitectura de varias áreas de trabajo es relevante para su entorno. En este artículo, aprenderá cómo Microsoft Sentinel puede extenderse entre varias áreas de trabajo e inquilinos para que pueda determinar si esta funcionalidad se adapta a las necesidades de su organización. Este artículo forma parte de la Guía de implementación de Microsoft Sentinel.
Si ha decidido configurar el entorno para ampliarlo en diferentes áreas de trabajo, consulte Extensión de Microsoft Sentinel en áreas de trabajo e inquilinos y Administración centralizada de varias áreas de trabajo de Log Analytics habilitadas para Microsoft Sentinel con el administrador de áreas de trabajo. Si su organización planea incorporarse a la plataforma de operaciones de seguridad unificada de Microsoft en el portal de Defender, consulte Administración multiinquilino de Microsoft Defender.
La necesidad de usar varias áreas de trabajo
Al incorporar Microsoft Sentinel, el primer paso consiste en seleccionar el área de trabajo de Log Analytics. Aunque puede obtener la ventaja completa de la experiencia de Microsoft Sentinel con una sola área de trabajo, en algunos casos, es posible que quiera ampliar el área de trabajo para consultar y analizar los datos entre áreas de trabajo e inquilinos.
Esta tabla enumera algunos de estos escenarios y, cuando es posible, sugiere cómo podría utilizar una única área de trabajo para el escenario.
| Requisito | Descripción | Formas de reducir el número de áreas de trabajo |
|---|---|---|
| Soberanía y cumplimiento normativo | Un área de trabajo está ligada a una región específica. Para mantener los datos en diferentes zonas geográficas de Azure para satisfacer los requisitos normativos, divida los datos en áreas de trabajo independientes. En Microsoft Sentinel, los datos se almacenan y procesan principalmente en la misma zona geográfica o región, con algunas excepciones, como cuando se usan reglas de detección que aprovechan el aprendizaje automático de Microsoft. En tales casos, los datos se pueden copiar fuera de la zona geográfica del área de trabajo para su procesamiento. |
|
| Propiedad de los datos | Los límites de la propiedad de los datos, por ejemplo de subsidiarias o empresas afiliadas, se delimitan mejor mediante áreas de trabajo independientes. | |
| Varios inquilinos de Azure | Microsoft Sentinel admite la recopilación de datos de recursos SaaS de Microsoft y Azure únicamente dentro de su propio límite de inquilinos de Microsoft Entra. Por lo tanto, cada inquilino de Microsoft Entra requiere un área de trabajo independiente. | |
| Control de acceso a datos pormenorizado | Una organización puede necesitar permitir a diferentes grupos, dentro o fuera de la organización, acceder a algunos de los datos recopilados por Microsoft Sentinel. Por ejemplo:
|
Usar Azure RBAC de recursos o Azure RBAC de nivel de tabla |
| Configuración de retención pormenorizada | Históricamente, la única manera de establecer diferentes períodos de retención para tipos de datos diferentes era con varias áreas de trabajo. Esto ya no es necesario en muchos casos, gracias a la introducción de la configuración de retención de nivel de tabla. | Usar la configuración de retención de nivel de tabla o automatizar la eliminación de datos |
| Facturación dividida | Al colocar áreas de trabajo en suscripciones independientes, se pueden facturar a distintas entidades. | Informes de uso y cargos cruzados |
| Arquitectura heredada | El uso de varias áreas de trabajo puede deberse a un diseño histórico que tenía en cuenta limitaciones o buenas prácticas que ya no son válidas. También podría ser una opción de diseño arbitraria que se puede modificar para adaptarse mejor a Microsoft Sentinel. Algunos ejemplos son:
|
Volver a diseñar las áreas de trabajo |
Al determinar cuántos inquilinos y áreas de trabajo usar, tenga en cuenta que la mayoría de las características de Microsoft Sentinel funcionan mediante una sola área de trabajo o una instancia de Microsoft Sentinel, y Microsoft Sentinel ingiere todos los registros que se encuentran dentro del área de trabajo.
Proveedor de servicios de seguridad administrada (MSSP)
En el caso de un MSSP, muchos si no se aplican todos los requisitos anteriores, se recomienda crear varias áreas de trabajo en los inquilinos. En concreto, se recomienda crear al menos un área de trabajo para cada inquilino de Microsoft Entra para admitir conectores de datos de servicio a servicio integrados que solo funcionan dentro de su propio inquilino de Microsoft Entra.
Todos los conectores basados en la configuración de diagnóstico no se pueden conectar a un área de trabajo que no se encuentre en el mismo inquilino donde reside el recurso. Esto se aplica a conectores como Azure Firewall, Azure Storage, Azure Activity o Microsoft Entra ID.
Los conectores de datos de asociados normalmente se basan en colecciones de agentes o API y, por tanto, no se adjuntan a un inquilino de Microsoft Entra concreto.
Utilice Azure Lighthouse para ayudar a administrar varias instancias de Microsoft Sentinel en diferentes inquilinos.
Arquitectura de varias áreas de trabajo de Microsoft Sentinel
Como se desprende de los requisitos anteriores, hay casos en los que un único SOC necesita administrar y supervisar de forma centralizada varias áreas de trabajo de Log Analytics habilitadas para Microsoft Sentinel, potencialmente a través de los inquilinos de Microsoft Entra.
- Un servicio de MSSP de Microsoft Sentinel.
- Un SOC global que atiende a varias subsidiarias, cada una de las cuales tiene su propio SOC local.
- Un SOC que monitorea múltiples inquilinos de Microsoft Entra dentro de una organización.
Para abordar estos casos, Microsoft Sentinel ofrece funcionalidades de varias áreas de trabajo que permiten la supervisión, configuración y administración centrales, lo que proporciona un único panel en todo lo que abarca el SOC. En este diagrama se muestra una arquitectura de ejemplo para estos casos de uso.
Este modelo ofrece importantes ventajas con respecto a un modelo totalmente centralizado en el que todos los datos se copian en una sola área de trabajo:
- Asignación de roles flexible al SOC global y local o al MSSP de sus clientes.
- Menos desafíos relacionados con la propiedad de los datos, la privacidad de los datos y el cumplimiento normativo.
- Cargos y latencia de red mínima.
- Incorporación y retirada fáciles de nuevas subsidiarias o clientes.
Pasos siguientes
En este artículo, ha aprendido cómo Microsoft Sentinel puede extenderse a través de múltiples áreas de trabajo e inquilinos.