Administración de áreas de trabajo de Microsoft Sentinel a gran escala

Azure Lighthouse permite a los proveedores de servicios realizar operaciones a escala en varios inquilinos de Microsoft Entra a la vez, lo que hace que las tareas de administración sean más eficaces.

Microsoft Sentinel ofrece análisis de seguridad e inteligencia sobre amenazas, con lo que proporciona una única solución para la detección de alertas, la visibilidad de amenazas, la búsqueda proactiva y la respuesta a amenazas. Con Azure Lighthouse puede administrar varias áreas de trabajo de Microsoft Sentinel en inquilinos a gran escala. Esto permite escenarios como la ejecución de consultas en varias áreas de trabajo o la creación de libros para visualizar y supervisar los datos de los orígenes de datos conectados para obtener información. La dirección IP, como las consultas y los cuadernos de estrategias, permanecen en el inquilino de administración, pero se puede usar para realizar la administración de seguridad en los inquilinos del cliente.

Este tema proporciona información general sobre cómo Azure Lighthouse le permite usar Microsoft Sentinel de forma escalable para la visibilidad entre inquilinos y los servicios de seguridad administrada.

Sugerencia

Aunque en este tema hacemos referencia a proveedores de servicios y clientes, esta guía es aplicable también a empresas que usan Azure Lighthouse para administrar varios inquilinos.

Nota

Puede administrar recursos delegados que estén ubicados en diferentes regiones. Sin embargo, no puede delegar recursos entre una nube nacional y la nube pública de Azure o entre dos nubes nacionales independientes.

Consideraciones arquitectónicas

En el caso de un proveedor de servicios de seguridad administrada (MSSP) que quiera compilar una oferta de seguridad como servicio con Microsoft Sentinel, es posible que se necesite un solo centro de operaciones de seguridad (SOC) para supervisar, administrar y configurar de forma centralizada varias áreas de trabajo de Microsoft Sentinel implementadas en inquilinos individuales del cliente. Del mismo modo, es posible que empresas con varios inquilinos de Microsoft Entra quieran administrar de forma centralizada varias áreas de trabajo de Microsoft Sentinel implementadas en sus inquilinos.

Este modelo de administración centralizada presenta las siguientes ventajas:

• La propiedad de los datos sigue siendo de cada inquilino administrado.
• Admite requisitos para almacenar datos dentro de los límites geográficos.
• Garantiza el aislamiento de datos, ya que los datos de varios clientes no se almacenan en la misma área de trabajo.
• Evita la filtración de datos de los inquilinos administrados, lo que ayuda a garantizar el cumplimiento de los datos.
• Los costos relacionados se cargan a cada inquilino administrado, en lugar de al inquilino administrador.
• Los datos de todos los orígenes de datos y conectores de datos que se integran con Microsoft Sentinel (como los registros de actividad de Microsoft Entra, los registros de Office 365 o las alertas de Protección contra amenazas de Microsoft) permanecen dentro de cada inquilino del cliente.
• Reduce la latencia de red.
• Facilidad para agregar o quitar nuevas subsidiarias o clientes.
• Permite usar una vista de varias áreas de trabajo al trabajar con Azure Lighthouse.
• Para proteger su propiedad intelectual, puede usar cuadernos de estrategias y libros para trabajar entre inquilinos sin compartir código directamente con los clientes. Solo las reglas analíticas y de búsqueda se deben guardar directamente en el inquilino de cada cliente.

Importante

Si solo se crean áreas de trabajo en inquilinos de cliente, los proveedores de recursos Microsoft.Security Ideas y Microsoft.Operational Ideas también deben registrarse en una suscripción en el inquilino de administración.

Un modelo de implementación alternativo es crear un área de trabajo de Microsoft Sentinel en el inquilino de administración. En este modelo, Azure Lighthouse permite recopilar registros de orígenes de datos entre inquilinos administrados. Sin embargo, hay algunos orígenes de datos que no se pueden conectar entre inquilinos, como XDR de Microsoft Defender. Debido a esta limitación, este modelo no es adecuado para muchos escenarios de proveedores de servicios.

Control de acceso basado en rol de Azure (RBAC de Azure) detallado

Cada suscripción de cliente que administrará un MSSP debe incorporarse a Azure Lighthouse. Esto permite a los usuarios designados del inquilino de administración acceder y realizar operaciones de administración en áreas de trabajo de Microsoft Sentinel implementadas en inquilinos del cliente.

Al crear las autorizaciones, puede asignar los roles integrados de Microsoft Sentinel a usuarios, grupos o entidades de servicio del inquilino de administración:

• Lector de Microsoft Sentinel
• Respondedor de Microsoft Sentinel
• Colaborador de Microsoft Sentinel

También puede asignar roles integrados adicionales para realizar funciones adicionales. Para obtener información sobre roles concretos que se pueden usar con Microsoft Sentinel, vea Roles y permisos de Microsoft Sentinel.

Una vez que haya incorporado a los clientes, los usuarios designados pueden iniciar sesión en el inquilino de administración y acceder directamente al área de trabajo de Microsoft Sentinel del cliente con los roles asignados.

Ver y administrar incidentes en áreas de trabajo

Si trabaja con recursos de Microsoft Sentinel para varios clientes, puede ver y administrar incidentes en varias áreas de trabajo en diferentes inquilinos a la vez. Para obtener más información, vea Procesamiento de incidentes en varias áreas de trabajo a la vez y Extender Microsoft Sentinel por áreas de trabajo e inquilinos.

Nota

Asegúrese de que se asignaron permisos de lectura y escritura a los usuarios del inquilino de administración en todas las áreas de trabajo de administración. Si un usuario solo tiene permisos de lectura en algunas áreas de trabajo, pueden aparecer mensajes de advertencia al seleccionar incidentes en esas áreas de trabajo, y el usuario no podrá modificar esos incidentes ni ningún otro seleccionado junto con ellos (aunque tenga permisos de escritura para los demás).

Configurar los cuadernos de estrategias para la mitigación

Los cuadernos de estrategias pueden usarse para la mitigación automática cuando se desencadena una alerta. Estos cuadernos de estrategias se pueden ejecutar de forma manual o automática cuando se desencadenan alertas específicas. Los cuadernos de estrategias se pueden implementar en el inquilino de administración o en el inquilino del cliente, con los procedimientos de respuesta configurados en función de los usuarios del inquilino que deban tomar medidas en respuesta a una amenaza de seguridad.

Crear libros entre inquilinos

Los libros de Azure Monitor en Microsoft Sentinel le ayudan a visualizar y supervisar datos de los orígenes de datos conectados para obtener información. Puede usar las plantillas de libro integradas en Microsoft Sentinel o crear libros personalizados para los escenarios.

Puede implementar libros en el inquilino de administración y crear paneles a escala para supervisar y consultar datos en los inquilinos de los clientes. Para más información, consulte Uso de libros entre áreas de trabajo.

También puede implementar libros directamente en un inquilino administrado individual para escenarios específicos de ese cliente.

Ejecución de Log Analytics y consultas de búsqueda en áreas de trabajo de Microsoft Sentinel

Cree y guarde consultas de Log Analytics para la detección de amenazas de forma centralizada en el inquilino de administración, incluidas las consultas de búsqueda. Estas consultas se pueden ejecutar en las áreas de trabajo de Microsoft Sentinel de todos los clientes mediante el operador de unión y la expresión de área de trabajo().

Para obtener más información consulte Consultas entre áreas de trabajo.

Usar la automatización para la administración entre áreas de trabajo

Puede usar automatización para administrar varias áreas de trabajo de Microsoft Sentinel y configurar consultas de búsqueda, cuadernos de estrategias y libros. Para más información consulte Administración entre áreas de trabajo con automatización.

Supervisión de la seguridad de los entornos de Office 365

Use Azure Lighthouse junto con Microsoft Sentinel para supervisar la seguridad de los entornos de Office 365 entre inquilinos. En primer lugar, habilite los conectores de datos de fábrica Office 365 en el inquilino administrado. La información sobre las actividades de usuarios y administradores en Exchange y SharePoint (incluido OneDrive) puede ingerirse en un área de trabajo de Microsoft Sentinel en el inquilino administrado. Esta información incluye detalles sobre acciones como descargas de archivos, solicitudes de acceso enviadas, cambios en eventos de grupo y operaciones de buzón, junto con detalles sobre los usuarios que realizaron esas acciones. Las alertas de DLP de Office 365 también se admiten como parte del conector integrado de Office 365.

Puede usar el Conector de Microsoft Defender for Cloud Apps para transmitir alertas y registros de Cloud Discovery a Microsoft Sentinel. Este conector ofrece visibilidad sobre las aplicaciones en la nube, proporciona análisis sofisticados para identificar y combatir ciberamenazas y ayuda a controlar cómo viajan los datos. Los registros de actividad de Defender for Cloud Apps se pueden consumir mediante el formato de evento común (CEF).

Después de configurar los conectores de datos de Office 365, puede usar capacidades de Microsoft Sentinel entre inquilinos, como la visualización y el análisis de los datos de los libros, el uso de consultas para crear alertas personalizadas y la configuración de cuadernos de estrategias para responder a amenazas.

Protección de la propiedad intelectual

Al trabajar con clientes, se recomienda proteger la propiedad intelectual desarrollada en Microsoft Sentinel, como reglas de análisis de Microsoft Sentinel, consultas de búsqueda, cuadernos de estrategias y libros. Hay distintos métodos que puede usar para asegurarse de que los clientes no tienen acceso completo al código utilizado en estos recursos.

Para obtener más información, vea Protección de la propiedad intelectual del MSSP en Microsoft Sentinel.

Pasos siguientes

• Más información sobre Microsoft Sentinel.
• Revise la página de precios de Microsoft Sentinel.
• Explore MicrosoftSentinel All in One, un proyecto para acelerar las tareas de implementación y configuración inicial de un entorno de Microsoft Sentinel.
• Más información sobre las experiencias de administración entre inquilinos.