Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Importante
Após 31 de março de 2027, Microsoft Sentinel deixarão de ser suportados no portal do Azure e só estarão disponíveis no portal do Microsoft Defender. Todos os clientes que utilizem Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e utilizarão apenas Microsoft Sentinel no portal do Defender.
Se ainda estiver a utilizar Microsoft Sentinel no portal do Azure, recomendamos que comece a planear a transição para o portal do Defender para garantir uma transição suave e tirar o máximo partido da experiência de operações de segurança unificada oferecida pelo Microsoft Defender.
Para se preparar para a implementação, tem de determinar se uma arquitetura de várias áreas de trabalho é relevante para o seu ambiente. Neste artigo, vai aprender como Microsoft Sentinel podem expandir-se por várias áreas de trabalho e inquilinos para que possa determinar se esta capacidade se adequa às necessidades da sua organização. Este artigo faz parte do Guia de implementação para Microsoft Sentinel.
Utilize um dos seguintes conjuntos de instruções de configuração, consoante o portal que estiver a utilizar para expandir Microsoft Sentinel entre áreas de trabalho:
| Portal | Referências |
|---|---|
| Portal do Microsoft Defender |
-
Várias Microsoft Sentinel áreas de trabalho no portal do Defender - Microsoft Defender gestão multi-inquilino |
| portal do Azure |
-
Expandir Microsoft Sentinel entre áreas de trabalho e inquilinos - Gerir centralmente várias áreas de trabalho do Log Analytics ativadas para Microsoft Sentinel com o gestor de áreas de trabalho |
A necessidade de utilizar várias áreas de trabalho
Ao integrar Microsoft Sentinel, o primeiro passo é selecionar a área de trabalho do Log Analytics. Embora possa obter o benefício total da experiência de Microsoft Sentinel com uma única área de trabalho, em alguns casos, poderá querer expandir a área de trabalho para consultar e analisar os seus dados em áreas de trabalho e inquilinos.
Esta tabela lista alguns destes cenários e, sempre que possível, sugere como pode utilizar uma única área de trabalho para o cenário.
| Requisito | Descrição | Formas de reduzir a contagem de áreas de trabalho |
|---|---|---|
| Soberania e conformidade regulamentar | Uma área de trabalho está associada a uma região específica. Para manter os dados em diferentes Azure geografias para satisfazer os requisitos regulamentares, divida os dados em áreas de trabalho separadas. No Microsoft Sentinel, os dados são maioritariamente armazenados e processados na mesma região ou geografia, com algumas exceções, como quando são utilizadas regras de deteção que tiram partido da Machine Learning da Microsoft. Nesses casos, os dados podem ser copiados fora da geografia da área de trabalho para processamento. |
|
| Propriedade dos dados | Os limites da propriedade dos dados, por exemplo, por subsidiárias ou empresas afiliadas, são melhor delineados através de áreas de trabalho separadas. | |
| Vários inquilinos Azure | Microsoft Sentinel suporta a recolha de dados da Microsoft e Azure recursos SaaS apenas dentro do seu próprio limite de inquilino Microsoft Entra. Por conseguinte, cada inquilino Microsoft Entra requer uma área de trabalho separada. | |
| Controlo de acesso a dados granular | Uma organização poderá ter de permitir que diferentes grupos, dentro ou fora da organização, acedam a alguns dos dados recolhidos por Microsoft Sentinel. Por exemplo:
|
Utilizar o RBAC de Azure de recursos ou ao nível da tabela Azure RBAC |
| Definições de retenção granular | Historicamente, várias áreas de trabalho eram a única forma de definir diferentes períodos de retenção para diferentes tipos de dados. Isto já não é necessário em muitos casos, graças à introdução das definições de retenção ao nível da tabela. | Utilizar definições de retenção ao nível da tabela ou automatizar a eliminação de dados |
| Dividir faturação | Ao colocar áreas de trabalho em subscrições separadas, estas podem ser faturadas a diferentes partes. | Relatórios de utilização e carregamento cruzado |
| Arquitetura legada | A utilização de várias áreas de trabalho pode resultar de um design histórico que teve em consideração limitações ou melhores práticas que já não são verdadeiras. Também pode ser uma escolha de design arbitrária que pode ser modificada para acomodar melhor Microsoft Sentinel. Os exemplos incluem:
|
Voltar a arquitetar áreas de trabalho |
Ao determinar quantos inquilinos e áreas de trabalho utilizar, considere que a maioria das funcionalidades Microsoft Sentinel funcionam com uma única área de trabalho ou instância Microsoft Sentinel e Microsoft Sentinel ingere todos os registos alojados na área de trabalho.
Fornecedor de Serviços de Segurança Gerida (MSSP)
No caso de um MSSP, muitos, se não todos os requisitos acima, aplicam-se, tornando as várias áreas de trabalho, entre inquilinos, a melhor prática. Especificamente, recomendamos que crie, pelo menos, uma área de trabalho para cada inquilino Microsoft Entra para suportar conectores de dados de serviço e serviço incorporados que funcionam apenas no seu próprio inquilino Microsoft Entra.
Os conectores baseados nas definições de diagnóstico não podem ser ligados a uma área de trabalho que não esteja localizada no mesmo inquilino onde reside o recurso. Isto aplica-se a conectores como Azure Firewall, Armazenamento Azure, Atividade Azure ou Microsoft Entra ID.
Os conectores de dados de parceiros baseiam-se frequentemente na API ou nas coleções de agentes e, por conseguinte, não estão anexados a um inquilino Microsoft Entra específico.
Utilizar o Azure Lighthouse para ajudar a gerir várias instâncias de Microsoft Sentinel em diferentes inquilinos.u
Microsoft Sentinel arquitetura de várias áreas de trabalho
Conforme implícito nos requisitos acima, existem casos em que um único SOC precisa de gerir e monitorizar centralmente várias áreas de trabalho do Log Analytics ativadas para Microsoft Sentinel, potencialmente em vários inquilinos Microsoft Entra.
- Um Serviço de Microsoft Sentinel MSSP.
- Uma SOC global que serve várias subsidiárias, cada uma com o seu próprio SOC local.
- Um SOC que monitoriza vários inquilinos Microsoft Entra numa organização.
Para resolver estes casos, o Microsoft Sentinel oferece capacidades de várias áreas de trabalho que permitem a monitorização, configuração e gestão centrais, fornecendo um único painel de vidro em todos os elementos abrangidos pelo SOC. Este diagrama mostra uma arquitetura de exemplo para tais casos de utilização.
Este modelo oferece vantagens significativas sobre um modelo totalmente centralizado no qual todos os dados são copiados para uma única área de trabalho:
- Atribuição de função flexível aos SOCs globais e locais ou aos clientes do MSSP.
- Menos desafios relacionados com a propriedade dos dados, a privacidade dos dados e a conformidade regulamentar.
- Latência e custos de rede mínimos.
- Integração e exclusão fáceis de novas subsidiárias ou clientes.
Passos seguintes
Neste artigo, aprendeu como Microsoft Sentinel podem expandir-se por várias áreas de trabalho e inquilinos.