Compartir a través de

Diseños de área de trabajo de Log Analytics de ejemplo para Microsoft Sentinel

En este artículo se describen los diseños de área de trabajo sugeridos de Log Analytics para organizaciones con los siguientes requisitos de ejemplo:

  • Varios inquilinos y regiones, con requisitos de soberanía de datos europeos
  • Inquilino único con varias nubes
  • Varios inquilinos, con varias regiones y seguridad centralizada

Para obtener más información, consulte Diseño de una arquitectura de área de trabajo de Log Analytics.

Este artículo forma parte de la guía de implementación para Microsoft Sentinel.

Ejemplo 1: Varios inquilinos y regiones

Contoso Corporation es una empresa multinacional con sede en Londres. Contoso tiene oficinas en todo el mundo, con importantes centros en Nueva York y Tokio. Recientemente, Contoso ha migrado su conjunto de productividad a Office 365, con muchas cargas de trabajo migradas a Azure.

Inquilinos de Contoso

Debido a una adquisición hace varios años, Contoso tiene dos inquilinos Microsoft Entra: contoso.onmicrosoft.com y wingtip.onmicrosoft.com. Cada inquilino tiene su propia instancia de Office 365 y varias suscripciones de Azure, como se muestra en la siguiente imagen:

Diagrama de inquilinos de Contoso, cada uno con conjuntos de suscripciones independientes.

Cumplimiento de Contoso e implementación regional

Contoso tiene actualmente Azure recursos hospedados en tres regiones diferentes: Este de EE. UU., Norte de la UE y Oeste de Japón, y un requisito estricto para mantener todos los datos generados en Europa dentro de las regiones de Europa.

Los inquilinos de Microsoft Entra de Contoso tienen recursos en las tres regiones: Este de EE. UU., Norte de la UE y Oeste de Japón

Tipos de recursos y requisitos de recopilación de Contoso

Contoso debe recopilar eventos de los siguientes orígenes de datos:

  • Office 365
  • Microsoft Entra registros de inicio de sesión y auditoría
  • Actividad de Azure
  • eventos de Seguridad de Windows, tanto desde orígenes locales como Azure máquinas virtuales
  • Syslog, tanto desde orígenes de máquina virtual locales como Azure
  • CEF, desde varios dispositivos de red locales, como Palo Alto, Cisco ASA y Cisco Meraki
  • Varios recursos Azure PaaS, como Azure Firewall, AKS, Key Vault, Azure Storage y Azure SQL
  • Cisco Umbrella

Azure máquinas virtuales se encuentran principalmente en la región Norte de la UE, con solo unas pocas en el Este de EE. UU. y Oeste de Japón. Contoso usa Microsoft Defender para servidores en todas sus máquinas virtuales Azure.

Contoso espera ingerir alrededor de 300 GB/día de todos sus orígenes de datos.

Requisitos de acceso de Contoso

El entorno de Azure de Contoso ya tiene un único área de trabajo de Log Analytics existente usada por el equipo de operaciones para supervisar la infraestructura. Este área de trabajo se encuentra en Contoso Microsoft Entra inquilino, dentro de la región Norte de la UE, y se usa para recopilar registros de Azure máquinas virtuales en todas las regiones. Actualmente ingieren alrededor de 50 GB/día.

El equipo de operaciones de Contoso debe tener acceso a todos los registros que tienen actualmente en el área de trabajo, que incluyen varios tipos de datos que el SOC no necesita, como Perf, InsightsMetrics, ContainerLog, etc. El equipo de operaciones no debe tener acceso a los nuevos registros que se recopilan en Microsoft Sentinel.

Solución de Contoso

La solución de Constoso incluye las siguientes consideraciones:

  • Contoso ya tiene un área de trabajo existente y le gustaría explorar la habilitación de Microsoft Sentinel en esa misma área de trabajo.
  • Contoso tiene requisitos normativos, por lo que necesitamos al menos un área de trabajo de Log Analytics habilitada para Microsoft Sentinel en Europa.
  • La mayoría de las máquinas virtuales de Contoso son la región Norte de la UE, donde ya tienen un área de trabajo. Por lo tanto, en este caso, los costos de ancho de banda no son una preocupación.
  • Contoso tiene dos inquilinos de Microsoft Entra diferentes y recopila de orígenes de datos de nivel de inquilino, como Office 365 y Microsoft Entra registros de inicio de sesión y auditoría, y necesitamos al menos un área de trabajo por inquilino.
  • Contoso necesita recopilar datos que no sean soc, aunque no hay ninguna superposición entre los datos soc y no SOC. Además, los datos de SOC tienen una capacidad aproximada de 250 GB/día, por lo que deben usar áreas de trabajo independientes en aras de la rentabilidad.
  • Contoso tiene un único equipo de SOC que usará Microsoft Sentinel, por lo que no se necesita ninguna separación adicional.
  • Todos los miembros del equipo de SOC de Contoso tendrán acceso a todos los datos, por lo que no se necesita ninguna separación adicional.

El diseño del área de trabajo resultante para Contoso se muestra en la siguiente imagen:

Diagrama de la solución de Contoso, con un área de trabajo independiente para el equipo de operaciones.

La solución sugerida incluye:

  • Un área de trabajo de Log Analytics independiente para el equipo de operaciones de Contoso. Este área de trabajo solo contendrá datos que el equipo de SOC de Contoso no necesita, como las tablas Perf, InsightsMetrics o ContainerLog .
  • Dos áreas de trabajo de Log Analytics habilitadas para Microsoft Sentinel, una en cada inquilino de Microsoft Entra, para ingerir datos de Office 365, actividad de Azure, Microsoft Entra ID y todos los servicios paaS de Azure.
  • Todos los demás datos, procedentes de orígenes de datos locales, se pueden enrutar a una de las dos áreas de trabajo.

Ejemplo 2: Inquilino único con varias nubes

Fabrikam es una organización con sede en Nueva York y oficinas en todo el Estados Unidos. Fabrikam está iniciando su recorrido en la nube y todavía necesita implementar su primera Azure zona de aterrizaje y migrar sus primeras cargas de trabajo. Fabrikam ya tiene algunas cargas de trabajo en AWS, que pretenden supervisar mediante Microsoft Sentinel.

Requisitos del inquilino de Fabrikam

Fabrikam tiene un único inquilino Microsoft Entra.

Cumplimiento de Fabrikam e implementación regional

Fabrikam no tiene requisitos de cumplimiento. Fabrikam tiene recursos en varias regiones Azure ubicadas en EE. UU., pero los costos de ancho de banda entre regiones no son una preocupación importante.

Tipos de recursos y requisitos de recopilación de Fabrikam

Fabrikam debe recopilar eventos de los siguientes orígenes de datos:

  • Microsoft Entra registros de inicio de sesión y auditoría
  • Actividad de Azure
  • Eventos de seguridad, tanto desde orígenes locales como Azure máquinas virtuales
  • Eventos de Windows, tanto desde orígenes locales como Azure máquinas virtuales
  • Datos de rendimiento, tanto locales como Azure orígenes de máquina virtual
  • AWS CloudTrail
  • Registros de auditoría y rendimiento de AKS

Requisitos de acceso de Fabrikam

El equipo de operaciones de Fabrikam debe tener acceso a:

  • Eventos de seguridad y eventos de Windows, tanto locales como Azure orígenes de máquina virtual
  • Datos de rendimiento, tanto locales como Azure orígenes de máquina virtual
  • Rendimiento de AKS (Container Insights) y registros de auditoría
  • Todos los datos de actividad de Azure

El equipo de Fabrikam SOC debe tener acceso a:

  • Microsoft Entra registros de inicio de sesión y auditoría
  • Todos los datos de actividad de Azure
  • Eventos de seguridad, tanto locales como Azure orígenes de máquina virtual
  • Registros de AWS CloudTrail
  • Registros de auditoría de AKS
  • El portal de Microsoft Sentinel completo

Solución de Fabrikam

La solución de Fabrikam incluye las siguientes consideraciones:

  • Fabrikam no tiene ningún área de trabajo existente, por lo que necesitarán automáticamente un área de trabajo nueva.

  • Fabrikam no tiene requisitos normativos que les exijan mantener los datos separados.

  • Fabrikam tiene un entorno de inquilino único y no necesitaría áreas de trabajo independientes por inquilino.

  • Sin embargo, Fabrikam necesitará áreas de trabajo independientes para sus equipos soc y operations.

    El equipo de operaciones de Fabrikam debe recopilar datos de rendimiento, tanto de máquinas virtuales como de AKS. Dado que AKS se basa en la configuración de diagnóstico, pueden seleccionar registros específicos para enviarlos a áreas de trabajo específicas. Fabrikam puede optar por enviar registros de auditoría de AKS al área de trabajo de Log Analytics habilitada para Microsoft Sentinel y todos los registros de AKS a un área de trabajo independiente, donde Microsoft Sentinel no está habilitado. En el área de trabajo donde Microsoft Sentinel no está habilitada, Fabrikam habilitará la solución Container Insights.

    En el caso de las máquinas virtuales Windows, Fabrikam puede usar Azure Monitoring Agent (AMA) para dividir los registros, enviar eventos de seguridad al área de trabajo y eventos de Rendimiento y Windows al área de trabajo sin Microsoft Sentinel.

    Fabrikam decide tener en cuenta sus datos superpuestos, como eventos de seguridad y eventos de actividad de Azure, solo como datos soc, y envía estos datos al área de trabajo con Microsoft Sentinel.

  • Fabrikam debe controlar el acceso para los datos superpuestos, incluidos los eventos de seguridad y los eventos de actividad de Azure, pero no hay ningún requisito de nivel de fila. Dado que los eventos de seguridad y Azure eventos de actividad no son registros personalizados, Fabrikam puede usar RBAC de nivel de tabla para conceder acceso a estas dos tablas para el equipo de operaciones.

El diseño del área de trabajo resultante para Fabrikam se muestra en la imagen siguiente, incluidos solo los orígenes de registro de claves para simplificar el diseño:

Diagrama de la solución de Fabrikam, con un área de trabajo independiente para el equipo de operaciones.

La solución sugerida incluye:

  • Dos áreas de trabajo independientes en la región de EE. UU.: una para el equipo de SOC con Microsoft Sentinel habilitada y otra para el equipo de operaciones, sin Microsoft Sentinel.
  • El agente de supervisión de Azure (AMA), que se usa para determinar qué registros se envían a cada área de trabajo desde máquinas virtuales Azure y locales.
  • Configuración de diagnóstico, que se usa para determinar qué registros se envían a cada área de trabajo desde Azure recursos como AKS.
  • Datos superpuestos que se envían al área de trabajo de Log Analytics habilitada para Microsoft Sentinel, con RBAC de nivel de tabla para conceder acceso al equipo de operaciones según sea necesario.

Ejemplo 3: Varios inquilinos y regiones y seguridad centralizada

Adventure Works es una empresa multinacional con sede en Tokio. Adventure Works tiene 10 entidades secundarias diferentes, basadas en diferentes países o regiones de todo el mundo.

Adventure Works es Microsoft 365 E5 cliente y ya tiene cargas de trabajo en Azure.

Requisitos del inquilino de Adventure Works

Adventure Works tiene tres inquilinos Microsoft Entra diferentes, uno para cada uno de los continentes en los que tienen entidades secundarias: Asia, Europa y África. Los países o regiones de las distintas entidades secundarias tienen sus identidades en el inquilino del continente al que pertenecen. Por ejemplo, los usuarios japoneses están en el inquilino de Asia , los usuarios alemanes están en el inquilino de Europa y los usuarios egipcios están en el inquilino de África .

Cumplimiento de Adventure Works y requisitos regionales

Adventure Works usa actualmente tres regiones Azure, cada una alineada con el continente en el que residen las entidades secundarias. Adventure Works no tiene requisitos de cumplimiento estrictos.

Tipos de recursos y requisitos de colección de Adventure Works

Adventure Works debe recopilar los siguientes orígenes de datos para cada subentlación:

  • Microsoft Entra registros de inicio de sesión y auditoría
  • registros de Office 365
  • Microsoft Defender XDR para registros sin procesar de punto de conexión
  • Actividad de Azure
  • Microsoft Defender for Cloud
  • Azure recursos de PaaS, como desde Azure Firewall, Azure Storage, Azure SQL y Azure WAF
  • Eventos de seguridad y windows desde máquinas virtuales Azure
  • Registros cef de dispositivos de red locales

Azure máquinas virtuales están dispersas por los tres continentes, pero los costos de ancho de banda no son una preocupación.

Requisitos de acceso de Adventure Works

Adventure Works tiene un único equipo de SOC centralizado que supervisa las operaciones de seguridad de todas las distintas entidades secundarias.

Adventure Works también tiene tres equipos soc independientes, uno para cada uno de los continentes. El equipo de SOC de cada continente debe ser capaz de acceder solo a los datos generados dentro de su región, sin ver datos de otros continentes. Por ejemplo, el equipo de SOC de Asia solo debe acceder a los datos de Azure recursos implementados en Asia, Microsoft Entra inicios de sesión desde el inquilino de Asia y los registros de Defender para punto de conexión desde su inquilino de Asia.

El equipo de SOC de cada continente necesita acceder a la experiencia completa del portal de Microsoft Sentinel.

El equipo de operaciones de Adventure Works se ejecuta de forma independiente y tiene sus propias áreas de trabajo sin Microsoft Sentinel.

Solución Adventure Works

La solución Adventure Works incluye las siguientes consideraciones:

  • El equipo de operaciones de Adventure Works ya tiene sus propias áreas de trabajo, por lo que no es necesario crear una nueva.

  • Adventure Works no tiene requisitos normativos que les exijan mantener los datos separados.

  • Adventure Works tiene tres inquilinos Microsoft Entra y necesita recopilar orígenes de datos de nivel de inquilino, como registros de Office 365. Por lo tanto, Adventure Works debe crear al menos un área de trabajo de Log Analytics habilitada para Microsoft Sentinel en cada inquilino.

  • Aunque todos los datos considerados en esta decisión serán utilizados por el equipo de SOC de Adventure Works, sí necesitan segregar los datos por propiedad, ya que cada equipo de SOC necesita acceder solo a los datos que son relevantes para ese equipo. Cada equipo de SOC también necesita acceso al portal de Microsoft Sentinel completo. Adventure Works no necesita controlar el acceso a los datos por tabla.

El diseño del área de trabajo resultante para Adventure Works se muestra en la imagen siguiente, incluidos solo los orígenes de registro clave para simplificar el diseño:

Diagrama de la solución de Adventure Works, con áreas de trabajo independientes para cada Azure inquilino de AD.

La solución sugerida incluye:

  • Un área de trabajo de Log Analytics independiente habilitada para Microsoft Sentinel para cada inquilino de Microsoft Entra. Cada área de trabajo recopila datos relacionados con su inquilino para todos los orígenes de datos.
  • El equipo de SOC de cada continente solo tiene acceso al área de trabajo en su propio inquilino, lo que garantiza que cada equipo de SOC solo pueda acceder a los registros generados dentro del límite del inquilino.
  • El equipo central de SOC puede seguir funcionando desde un inquilino de Microsoft Entra independiente, mediante Azure Lighthouse para acceder a cada uno de los diferentes entornos de Microsoft Sentinel. Si no hay ningún otro inquilino, el equipo central de SOC puede seguir usando Azure Lighthouse para acceder a las áreas de trabajo remotas.
  • El equipo central de SOC también puede crear otro área de trabajo si necesita almacenar artefactos que permanecen ocultos en los equipos de SOC del continente, o si quiere ingerir otros datos que no sean relevantes para los equipos soc del continente.

Pasos siguientes

En este artículo, ha revisado un conjunto de diseños de área de trabajo sugeridos para las organizaciones.

Preparación para varias áreas de trabajo

  • Last updated on