Criações de amostra da área de trabalho do Microsoft Sentinel

  • Artigo

Este artigo descreve designs de espaço de trabalho sugeridos para organizações com os seguintes requisitos de exemplo:

  • Vários inquilinos e regiões, com requisitos europeus de soberania de dados
  • Locatário único com várias nuvens
  • Vários inquilinos, com várias regiões e segurança centralizada

Os exemplos neste artigo usam a árvore de decisão de design de espaço de trabalho do Microsoft Sentinel para determinar o melhor design de espaço de trabalho para cada organização. Para obter mais informações, consulte Práticas recomendadas de arquitetura de espaço de trabalho do Microsoft Sentinel.

Este artigo faz parte do guia de implantação do Microsoft Sentinel.

Amostra 1: Vários locatários e regiões

A Contoso Corporation é uma empresa multinacional com sede em Londres. A Contoso tem escritórios em todo o mundo, com importantes centros em Nova York e Tóquio. Recentemente, a Contoso migrou seu pacote de produtividade para o Office 365, com muitas cargas de trabalho migradas para o Azure.

Locatários da Contoso

Devido a uma aquisição há vários anos, a Contoso tem dois locatários do Microsoft Entra: contoso.onmicrosoft.com e wingtip.onmicrosoft.com. Cada locatário tem sua própria instância do Office 365 e várias assinaturas do Azure, conforme mostrado na imagem a seguir:

Diagram of Contoso tenants, each with separate sets of subscriptions.

Conformidade com a Contoso e implantação regional

Atualmente, a Contoso tem recursos do Azure hospedados em três regiões diferentes: Leste dos EUA, Norte da UE e Oeste do Japão, e requisito estrito para manter todos os dados gerados na Europa dentro das regiões da Europa.

Ambos os locatários do Microsoft Entra da Contoso têm recursos nas três regiões: Leste dos EUA, Norte da UE e Oeste do Japão

Tipos de recursos e requisitos de coleção da Contoso

A Contoso precisa coletar eventos das seguintes fontes de dados:

  • Office 365
  • Logs de entrada e auditoria do Microsoft Entra
  • Atividade do Azure
  • Eventos de Segurança do Windows, de fontes locais e de VM do Azure
  • Syslog, de fontes locais e de VM do Azure
  • CEF, de vários dispositivos de rede locais, como Palo Alto, Cisco ASA e Cisco Meraki
  • Vários recursos de PaaS do Azure, como Firewall do Azure, AKS, Cofre de Chaves, Armazenamento do Azure e Azure SQL
  • Cisco Umbrella

As VMs do Azure estão localizadas principalmente na região Norte da UE, com apenas algumas no Leste dos EUA e no Oeste do Japão. A Contoso usa o Microsoft Defender para servidores em todas as suas VMs do Azure.

A Contoso espera ingerir cerca de 300 GB/dia de todas as suas fontes de dados.

Requisitos de acesso da Contoso

O ambiente do Azure da Contoso já tem um único espaço de trabalho existente do Log Analytics usado pela equipe de Operações para monitorar a infraestrutura. Este espaço de trabalho está localizado no locatário do Microsoft Entra da Contoso, na região Norte da UE, e está sendo usado para coletar logs de VMs do Azure em todas as regiões. Atualmente, ingerem cerca de 50 GB/dia.

A equipe de Operações da Contoso precisa ter acesso a todos os logs que eles têm atualmente no espaço de trabalho, que incluem vários tipos de dados não necessários para o SOC, como Perf, InsightsMetrics, ContainerLog e muito mais. A equipe de operações não deve ter acesso aos novos logs coletados no Microsoft Sentinel.

Solução da Contoso

As etapas a seguir aplicam a árvore de decisão de design de espaço de trabalho do Microsoft Sentinel para determinar o melhor design de espaço de trabalho para a Contoso:

  1. A Contoso já tem um espaço de trabalho existente, para que possamos explorar a habilitação do Microsoft Sentinel nesse mesmo espaço de trabalho.

    A ingestão de dados não SOC é inferior a 100 GB/dia, pelo que podemos continuar para o passo 2 e certificarmo-nos de que selecionamos a opção relevante no passo 5.

  2. A Contoso tem requisitos regulamentares, por isso precisamos de pelo menos um espaço de trabalho do Microsoft Sentinel na Europa.

  3. A Contoso tem dois locatários diferentes do Microsoft Entra e coleta de fontes de dados no nível do locatário, como o Office 365 e os logs de entrada e auditoria do Microsoft Entra, portanto, precisamos de pelo menos um espaço de trabalho por locatário.

  4. A Contoso não precisa de estorno, para que possamos continuar com a etapa 5.

  5. A Contoso precisa coletar dados não SOC, embora não haja sobreposição entre dados SOC e não SOC. Além disso, os dados SOC representam aproximadamente 250 GB/dia, portanto, eles devem usar espaços de trabalho separados para a eficiência de custos.

  6. A maioria das VMs da Contoso são da região Norte da UE, onde já têm um espaço de trabalho. Portanto, neste caso, os custos de largura de banda não são uma preocupação.

  7. A Contoso tem uma única equipe SOC que usará o Microsoft Sentinel, portanto, nenhuma separação extra é necessária.

  8. Todos os membros da equipe SOC da Contoso terão acesso a todos os dados, portanto, nenhuma separação extra é necessária.

O design de espaço de trabalho resultante do Microsoft Sentinel para Contoso é ilustrado na imagem a seguir:

Diagram of Contoso's solution, with a separate workspace for the Ops team.

A solução sugerida inclui:

  • Um espaço de trabalho separado do Log Analytics para a equipe de Operações da Contoso. Esse espaço de trabalho conterá apenas dados que não são necessários para a equipe SOC da Contoso, como as tabelas Perf, InsightsMetrics ou ContainerLog .

  • Dois espaços de trabalho do Microsoft Sentinel, um em cada locatário do Microsoft Entra, para ingerir dados do Office 365, Azure Activity, Microsoft Entra ID e todos os serviços PaaS do Azure.

  • Todos os outros dados, provenientes de fontes de dados locais, podem ser roteados para um dos dois espaços de trabalho do Microsoft Sentinel.

Amostra 2: Locatário único com várias nuvens

A Fabrikam é uma organização com sede em Nova Iorque e escritórios em todos os Estados Unidos. A Fabrikam está iniciando sua jornada na nuvem e ainda precisa implantar sua primeira zona de aterrissagem do Azure e migrar suas primeiras cargas de trabalho. A Fabrikam já tem algumas cargas de trabalho na AWS, que pretende monitorar usando o Microsoft Sentinel.

Requisitos de arrendamento da Fabrikam

A Fabrikam tem um único locatário do Microsoft Entra.

Conformidade com a Fabrikam e implantação regional

A Fabrikam não tem requisitos de conformidade. A Fabrikam tem recursos em várias regiões do Azure localizadas nos EUA, mas os custos de largura de banda entre regiões não são uma grande preocupação.

Tipos de recursos e requisitos de coleção da Fabrikam

A Fabrikam precisa coletar eventos das seguintes fontes de dados:

  • Logs de entrada e auditoria do Microsoft Entra
  • Atividade do Azure
  • Eventos de Segurança, de fontes locais e de VM do Azure
  • Eventos do Windows, de fontes locais e de VM do Azure
  • Dados de desempenho, de fontes locais e de VM do Azure
  • AWS CloudTrail
  • Auditoria AKS e logs de desempenho

Requisitos de acesso da Fabrikam

A equipe de operações da Fabrikam precisa acessar:

  • Eventos de segurança e eventos do Windows, de fontes locais e de VM do Azure
  • Dados de desempenho, de fontes locais e de VM do Azure
  • Desempenho do AKS (Container Insights) e logs de auditoria
  • Todos os dados de Atividade do Azure

A equipe SOC da Fabrikam precisa acessar:

  • Logs de entrada e auditoria do Microsoft Entra
  • Todos os dados de Atividade do Azure
  • Eventos de segurança, de fontes locais e de VM do Azure
  • Logs do AWS CloudTrail
  • Registos de auditoria AKS
  • O portal completo do Microsoft Sentinel

Solução da Fabrikam

As etapas a seguir aplicam a árvore de decisão de design de espaço de trabalho do Microsoft Sentinel para determinar o melhor design de espaço de trabalho para a Fabrikam:

  1. A Fabrikam não tem espaço de trabalho existente, portanto, continue para a etapa 2.

  2. A Fabrikam não tem requisitos regulamentares, por isso continue para a etapa 3.

  3. A Fabrikam tem um ambiente de locatário único. Portanto, continue para o passo 4.

  4. A Fabrikam não tem necessidade de dividir os encargos, por isso continue para o passo 5.

  5. A Fabrikam precisará de espaços de trabalho separados para suas equipes de SOC e Operações:

    A equipe de operações da Fabrikam precisa coletar dados de desempenho, tanto de VMs quanto de AKS. Como o AKS é baseado em configurações de diagnóstico, eles podem selecionar logs específicos para enviar para espaços de trabalho específicos. A Fabrikam pode optar por enviar logs de auditoria AKS para o espaço de trabalho do Microsoft Sentinel e todos os logs do AKS para um espaço de trabalho separado, onde o Microsoft Sentinel não está habilitado. No espaço de trabalho em que o Microsoft Sentinel não está habilitado, a Fabrikam habilitará a solução Container Insights.

    Para VMs do Windows, a Fabrikam pode usar o Agente de Monitoramento do Azure (AMA) para dividir os logs, enviando eventos de segurança para o espaço de trabalho do Microsoft Sentinel e eventos de desempenho e do Windows para o espaço de trabalho sem o Microsoft Sentinel.

    A Fabrikam opta por considerar seus dados sobrepostos, como eventos de segurança e eventos de atividade do Azure, apenas como dados SOC e envia esses dados para o espaço de trabalho com o Microsoft Sentinel.

  6. Os custos de largura de banda não são uma grande preocupação para a Fabrikam, portanto, continue com a etapa 7.

  7. A Fabrikam já decidiu usar espaços de trabalho separados para as equipes de SOC e Operações. Não é necessária qualquer outra separação.

  8. A Fabrikam precisa controlar o acesso para dados sobrepostos, incluindo eventos de segurança e eventos de atividade do Azure, mas não há nenhum requisito de nível de linha.

    Os eventos de segurança e os eventos de atividade do Azure não são logs personalizados, portanto, a Fabrikam pode usar o RBAC no nível da tabela para conceder acesso a essas duas tabelas para a equipe de Operações.

O design resultante do espaço de trabalho do Microsoft Sentinel para a Fabrikam é ilustrado na imagem a seguir, incluindo apenas fontes de log de chaves para simplificar o design:

Diagram of Fabrikam's solution, with a separate workspace for the Ops team.

A solução sugerida inclui:

  • Dois espaços de trabalho separados na região dos EUA: um para a equipe SOC com o Microsoft Sentinel habilitado e outro para a equipe de Operações, sem o Microsoft Sentinel.

  • O Agente de Monitoramento do Azure (AMA), usado para determinar quais logs são enviados para cada espaço de trabalho do Azure e de VMs locais.

  • Configurações de diagnóstico, usadas para determinar quais logs são enviados para cada espaço de trabalho a partir de recursos do Azure, como o AKS.

  • Dados sobrepostos sendo enviados para o espaço de trabalho do Microsoft Sentinel, com RBAC no nível da tabela para conceder acesso à equipe de operações conforme necessário.

Exemplo 3: Vários locatários e regiões e segurança centralizada

A Adventure Works é uma empresa multinacional com sede em Tóquio. A Adventure Works tem 10 subentidades diferentes, sediadas em diferentes países/regiões ao redor do mundo.

A Adventure Works é cliente do Microsoft 365 E5 e já tem cargas de trabalho no Azure.

Requisitos de arrendamento da Adventure Works

A Adventure Works tem três locatários Microsoft Entra diferentes, um para cada um dos continentes onde eles têm subentidades: Ásia, Europa e África. Os países/regiões das diferentes subentidades têm as suas identidades no inquilino do continente a que pertencem. Por exemplo, os usuários japoneses estão no locatário da Ásia, os usuários alemães estão no locatário da Europa e os usuários egípcios estão no locatário da África.

Conformidade com a Adventure Works e requisitos regionais

Atualmente, a Adventure Works usa três regiões do Azure, cada uma alinhada com o continente em que as subentidades residem. A Adventure Works não tem requisitos de conformidade rigorosos.

Tipos de recursos e requisitos de coleção da Adventure Works

A Adventure Works precisa coletar as seguintes fontes de dados para cada subentidade:

  • Logs de entrada e auditoria do Microsoft Entra
  • Logs do Office 365
  • Microsoft Defender XDR para logs brutos do Endpoint
  • Atividade do Azure
  • Microsoft Defender for Cloud
  • Recursos de PaaS do Azure, como do Firewall do Azure, Armazenamento do Azure, Azure SQL e Azure WAF
  • Eventos de segurança e janelas de VMs do Azure
  • Logs CEF de dispositivos de rede locais

As VMs do Azure estão espalhadas pelos três continentes, mas os custos de largura de banda não são uma preocupação.

Requisitos de acesso à Adventure Works

A Adventure Works tem uma equipe SOC única e centralizada que supervisiona as operações de segurança para todas as diferentes subentidades.

A Adventure Works também tem três equipes SOC independentes, uma para cada um dos continentes. A equipe SOC de cada continente deve ser capaz de acessar apenas os dados gerados dentro de sua região, sem ver dados de outros continentes. Por exemplo, a equipe de SOC da Ásia só deve acessar dados de recursos do Azure implantados na Ásia, Entradas do Microsoft Entra do locatário da Ásia e logs do Defender for Endpoint do locatário da Ásia.

A equipe SOC de cada continente precisa acessar a experiência completa do portal Microsoft Sentinel.

A equipe de Operações da Adventure Works é executada de forma independente e tem seus próprios espaços de trabalho sem o Microsoft Sentinel.

Solução Adventure Works

As etapas a seguir aplicam a árvore de decisão de design de espaço de trabalho do Microsoft Sentinel para determinar o melhor design de espaço de trabalho para o Adventure Works:

  1. A equipe de Operações da Adventure Works tem seus próprios espaços de trabalho, portanto, continue para a etapa 2.

  2. A Adventure Works não tem requisitos regulamentares, portanto, continue para a etapa 3.

  3. A Adventure Works tem três locatários do Microsoft Entra e precisa coletar fontes de dados no nível do locatário, como logs do Office 365. Portanto, a Adventure Works deve criar pelo menos espaços de trabalho do Microsoft Sentinel, um para cada locatário.

  4. A Adventure Works não tem necessidade de dividir os encargos, por isso continue para o passo 5.

  5. Como a equipe de Operações da Adventure Works tem seus próprios espaços de trabalho, todos os dados considerados nesta decisão serão usados pela equipe SOC da Adventure Works.

  6. Os custos de largura de banda não são uma grande preocupação para a Adventure Works, portanto, continue com a etapa 7.

  7. A Adventure Works precisa segregar os dados por propriedade, pois a equipe SOC de cada conteúdo precisa acessar apenas os dados que são relevantes para esse conteúdo. No entanto, a equipe SOC de cada continente também precisa acessar o portal Microsoft Sentinel completo.

  8. A Adventure Works não precisa controlar o acesso aos dados por tabela.

O design de espaço de trabalho resultante do Microsoft Sentinel para Adventure Works é ilustrado na imagem a seguir, incluindo apenas fontes de log de chaves por uma questão de simplicidade de design:

Diagram of Adventure Works's solution, with separate workspaces for each Azure AD tenant.

A solução sugerida inclui:

  • Um espaço de trabalho separado do Microsoft Sentinel para cada locatário do Microsoft Entra. Cada espaço de trabalho coleta dados relacionados ao seu locatário para todas as fontes de dados.

  • A equipe SOC de cada continente tem acesso apenas ao espaço de trabalho em seu próprio locatário, garantindo que apenas os logs gerados dentro do limite do locatário sejam acessíveis por cada equipe SOC.

  • A equipe central do SOC ainda pode operar a partir de um locatário separado do Microsoft Entra, usando o Azure Lighthouse para acessar cada um dos diferentes ambientes do Microsoft Sentinel. Se não houver outro locatário, a equipe central do SOC ainda poderá usar o Azure Lighthouse para acessar os espaços de trabalho remotos.

  • A equipe SOC central também pode criar outro espaço de trabalho se precisar armazenar artefatos que permanecem ocultos das equipes SOC do continente, ou se quiser ingerir outros dados que não sejam relevantes para as equipes SOC do continente.

Próximos passos

Neste artigo, você analisou um conjunto de designs de espaço de trabalho sugeridos para organizações.

Prepare-se para vários espaços de trabalho