Extensión de Microsoft Azure Sentinel entre áreas de trabajo e inquilinos
Al incorporar Microsoft Sentinel, el primer paso consiste en seleccionar el área de trabajo de Log Analytics. Aunque puede obtener la ventaja completa de la experiencia de Microsoft Sentinel con una sola área de trabajo, en algunos casos, es posible que quiera ampliar el área de trabajo para consultar y analizar los datos entre áreas de trabajo e inquilinos. Para obtener más información, consulte Diseño de una arquitectura de área de trabajo de Log Analytics y Preparar para varias áreas de trabajo e inquilinos en Microsoft Sentinel.
Si incorpora Microsoft Sentinel al portal de Microsoft Defender, consulte Administración multiinquilino de Microsoft Defender.
Administración de incidentes en varias áreas de trabajo
Microsoft Sentinel admite una vista de incidentes de varias áreas de trabajo donde puede administrar y supervisar de forma centralizada incidentes en varias áreas de trabajo. La vista de incidentes centralizada permite administrar incidentes directamente o explorar en profundidad de forma transparente los detalles del incidente en el contexto del área de trabajo de origen.
Consultar múltiples áreas de trabajo
Puede consultar varias áreas de trabajo, lo que permite buscar y correlacionar datos de varias áreas de trabajo en una sola consulta.
Usa la
workspace( )expresión, con el identificador del área de trabajo como argumento, para hacer referencia a una tabla en un área de trabajo diferente.- Consulta información importante sobre el uso de formatos de identificador para garantizar un rendimiento adecuado.
Usa el operador de unión junto con la expresión
workspace( )para aplicar una consulta a través de tablas en múltiples áreas de trabajo.Puede usar las funciones guardadas para simplificar las consultas entre áreas de trabajo. Por ejemplo, puede acortar una referencia larga a la tabla SecurityEvent en el área de trabajo del cliente A al guardar la expresión
workspace("/subscriptions/<customerA_subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName>").SecurityEventcomo una función denominada
SecurityEventCustomerA. Después, puede consultar la tabla SecurityEvent del cliente A con esta función:SecurityEventCustomerA | where ....Una función también puede simplificar una unión de uso frecuente. Por ejemplo, puede guardar la siguiente expresión como una función llamada
unionSecurityEvent:union workspace("/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName1>").SecurityEvent, workspace("/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName2>").SecurityEventDespués, puede escribir una consulta en ambas áreas de trabajo empezando por
unionSecurityEvent | where ....
Incluye consultas entre áreas de trabajo en las reglas de análisis programadas
Puede incluir consultas entre áreas de trabajo en las reglas de análisis programadas. Puede usar reglas de análisis entre áreas de trabajo en un SOC central y entre inquilinos (con Azure Lighthouse) convenientes para MSSP. Esto se debe a las limitaciones siguientes:
- Puede incluir hasta 20 áreas de trabajo en una sola consulta. Sin embargo, para obtener un buen rendimiento, se recomienda incluir no más de 5.
- Debe implementar Microsoft Sentinel en todas las áreas de trabajo a las que se hace referencia en la consulta.
- Las alertas generadas por una regla de análisis entre áreas de trabajo y los incidentes creados a partir de ellas existen únicamente en el área de trabajo donde se definió la regla. Las alertas no se mostrarán en ninguna de las demás áreas de trabajo a las que se hace referencia en la consulta.
- Una regla de análisis entre áreas de trabajo, como cualquier regla de análisis, seguirá ejecutándose incluso si el usuario que creó la regla pierde el acceso a las áreas de trabajo a las que se hace referencia en la consulta de la regla. La única excepción a esto es en el caso de áreas de trabajo en suscripciones o inquilinos diferentes a la regla de análisis.
Las alertas y los incidentes creados por reglas de análisis entre áreas de trabajo contendrán todas las entidades relacionadas, incluidas las de todas las áreas de trabajo a las que se hace referencia y el área de trabajo "principal" (donde se definió la regla). De esta forma, los analistas tendrán una visión completa de las alertas y los incidentes.
Nota:
La consulta de varias áreas de trabajo en la misma consulta puede afectar al rendimiento y, por lo tanto, solo se recomienda cuando la lógica requiere esta funcionalidad.
Use libros entre áreas de trabajo
Los libros proporcionan paneles y aplicaciones a Microsoft Sentinel. Cuando se trabaja con varias áreas de trabajo, los libros proporcionan supervisión y acciones en áreas de trabajo.
Los libros pueden proporcionar consultas entre áreas de trabajo en uno de los tres métodos, adecuados para los distintos niveles de experiencia del usuario final:
| Método | Descripción | ¿Cuándo se debe usar? |
|---|---|---|
| Escritura de consultas entre áreas de trabajo | El creador del libro puede escribir consultas entre áreas de trabajo (descritas anteriormente) en el libro. | Quiero que el creador del libro cree una estructura de área de trabajo que sea transparente para el usuario. |
| Incorporación de un selector de área de trabajo al libro | El creador del libro puede implementar un selector de área de trabajo como parte del libro. | Quiero permitir que el usuario controle las áreas de trabajo mostradas por el libro, con un cuadro desplegable fácil de usar. |
| Edición del libro de forma interactiva | Un usuario avanzado que modifica un libro existente puede editar las consultas que hay en él y seleccionar las áreas de trabajo de destino mediante el selector de área de trabajo en el editor. | Quiero permitir a un usuario avanzado modificar fácilmente los libros existentes para trabajar con varias áreas de trabajo. |
Buscar entre varias áreas de trabajo
Microsoft Sentinel proporciona ejemplos precargados de consultas diseñadas para que pueda empezar a trabajar y a familiarizarse con las tablas y el lenguaje de consulta. Los investigadores de seguridad de Microsoft agregan constantemente nuevas consultas integradas y ajustan las consultas existentes. Puede usar estas consultas para buscar nuevas detecciones e identificar signos de intrusión que las herramientas de seguridad pueden haber obviado.
Las funcionalidades de búsqueda entre áreas de trabajo permiten que los buscadores de amenazas creen nuevas consultas de búsqueda o adapten las existentes, para abarcar varias áreas de trabajo, mediante el operador de unión y la expresión workspace(), como se mostró anteriormente.
Administración de varias áreas de trabajo mediante automatización
Para configurar y administrar varias áreas de trabajo de Log Analytics habilitadas para Microsoft Sentinel, debe automatizar el uso de la API de administración de Microsoft Sentinel.
- Obtenga información sobre cómo automatizar la implementación de los recursos de Microsoft Sentinel, incluidas reglas de alertas, consultas de búsqueda, libros y cuadernos de estrategias.
- Obtenga información sobre cómo implementar el contenido personalizado desde el repositorio. Este recurso proporciona una metodología consolidada para administrar Microsoft Sentinel como código y para implementar y configurar recursos desde un repositorio de Azure DevOps o de GitHub privado.
Administración de áreas de trabajo en los inquilinos mediante Azure Lighthouse
Como se mencionó anteriormente, en muchos escenarios, las diferentes áreas de trabajo de Log Analytics habilitadas para Microsoft Sentinel se pueden ubicar en distintos inquilinos de Microsoft Entra. Puede usar Azure Lighthouse para extender todas las actividades entre áreas de trabajo a través de los límites del inquilino, lo que permite a los usuarios del inquilino de administración trabajar en áreas de trabajo en todos los inquilinos.
Una vez que Azure Lighthouse esté incorporado, use el directorio y el selector de suscripción en Azure Portal para seleccionar todas las suscripciones que contienen áreas de trabajo que quiere administrar, con el fin de asegurarse de que todas estén disponibles en los diferentes selectores del área de trabajo del portal.
Al usar Azure Lighthouse, se recomienda crear un grupo para cada rol de Microsoft Sentinel y delegar los permisos de cada inquilino en esos grupos.
Pasos siguientes
En este artículo, ha aprendido cómo se pueden ampliar las funcionalidades de Microsoft Sentinel en varias áreas de trabajo e inquilinos. Para obtener una guía práctica sobre la implementación de la arquitectura entre áreas de trabajo de Microsoft Sentinel, consulte los siguientes artículos:
- Obtenga información sobre cómo trabajar con varios inquilinos en Microsoft Sentinel mediante Azure Lighthouse.
- Obtenga información sobre cómo ver y administrar incidentes en varias áreas de trabajo sin problemas.