Passo 2. Arquitete seu espaço de trabalho do Microsoft Sentinel
A implantação do ambiente Microsoft Sentinel envolve a criação de uma configuração de espaço de trabalho para atender aos seus requisitos de segurança e conformidade. O processo de provisionamento inclui a criação de espaços de trabalho do Log Analytics e a configuração das opções apropriadas do Microsoft Sentinel.
Este artigo fornece recomendações sobre como projetar e implementar espaços de trabalho do Microsoft Sentinel para os princípios do Zero Trust.
Etapa 1: Projetar uma estratégia de governança
Se sua organização tiver muitas assinaturas do Azure, talvez você precise de uma maneira eficiente de gerenciar o acesso, as políticas e a conformidade dessas assinaturas. Os grupos de gerenciamento fornecem um escopo de governança para assinaturas. Quando você organiza suas assinaturas em grupos de gerenciamento, as condições de governança configuradas para um grupo de gerenciamento se aplicam às assinaturas que ele contém. Para obter mais informações, consulte Organizar seus recursos com grupos de gerenciamento.
Por exemplo, o espaço de trabalho do Microsoft Sentinel no diagrama a seguir está na assinatura de segurança no grupo de gerenciamento de plataforma , que faz parte do locatário do Microsoft Entra ID.
A assinatura do Security Azure e o espaço de trabalho do Microsoft Sentinel herdam o RBAC (controle de acesso baseado em função) e as políticas do Azure aplicadas ao grupo de gerenciamento da Plataforma.
Etapa 2: Criar espaços de trabalho do Log Analytics
Para usar o Microsoft Sentinel, a primeira etapa é criar seus espaços de trabalho do Log Analytics. Um único espaço de trabalho do Log Analytics pode ser suficiente para muitos ambientes, mas muitas organizações criam vários espaços de trabalho para otimizar custos e atender melhor a diferentes requisitos de negócios.
É uma prática recomendada criar espaços de trabalho separados para os dados operacionais e de segurança para propriedade de dados e gerenciamento de custos para o Microsoft Sentinel. Por exemplo, se houver mais de uma pessoa administrando funções operacionais e de segurança, sua primeira decisão para o Zero Trust é criar espaços de trabalho separados para essas funções.
A plataforma unificada de operações de segurança, que fornece acesso ao Microsoft Sentinel no portal Defender, suporta apenas um único espaço de trabalho.
Para obter mais informações, consulte a solução de exemplo da Contoso para espaços de trabalho separados para funções de operação e segurança.
Considerações de design do espaço de trabalho do Log Analytics
Para um único locatário, há duas maneiras de configurar os espaços de trabalho do Microsoft Sentinel:
Locatário único com um único espaço de trabalho do Log Analytics. Nesse caso, o espaço de trabalho se torna o repositório central para logs em todos os recursos dentro do locatário.
Vantagens:
- Consolidação central de logs.
- Informações mais fáceis de consultar.
- Controle de acesso baseado em função do Azure (Azure RBAC) para controlar o acesso ao Log Analytics e ao Microsoft Sentinel. Para obter mais informações, consulte Gerenciar o acesso a espaços de trabalho do Log Analytics - Azure Monitor e Funções e permissões no Microsoft Sentinel.
Desvantagens:
- Pode não atender aos requisitos de governança.
- Há um custo de largura de banda entre regiões.
Locatário único com espaços de trabalho regionais do Log Analytics.
Vantagens:
- Sem custos de largura de banda entre regiões.
- Pode ser necessário cumprir a governança.
- Controle granular de acesso a dados.
- Configurações granulares de retenção.
- Faturação dividida.
Desvantagens:
- Sem painel central de vidro.
- Análises, pastas de trabalho e outras configurações devem ser implantadas várias vezes.
Para obter mais informações, consulte Criar uma arquitetura de espaço de trabalho do Log Analytics.
Etapa 3: Arquitetar o espaço de trabalho do Microsoft Sentinel
A integração do Microsoft Sentinel requer a seleção de um espaço de trabalho do Log Analytics. A seguir estão as considerações para configurar o Log Analytics para o Microsoft Sentinel:
Crie um grupo de recursos de segurança para fins de governança, o que permite isolar os recursos do Microsoft Sentinel e o acesso baseado em função à coleção. Para obter mais informações, consulte Criar uma arquitetura de espaço de trabalho do Log Analytics.
Crie um espaço de trabalho do Log Analytics no grupo de recursos de segurança e integre o Microsoft Sentinel a ele. Isto dá-lhe automaticamente 31 dias de ingestão de dados até 10 Gb por dia grátis como parte de uma avaliação gratuita.
Defina seu espaço de trabalho do Log Analytics com suporte ao Microsoft Sentinel para , no mínimo, 90 dias de retenção .
Depois de integrar o Microsoft Sentinel a um espaço de trabalho do Log Analytics, você obtém 90 dias de retenção de dados sem custo adicional e garante uma substituição de 90 dias dos dados de log. Você incorrerá em custos para a quantidade total de dados no espaço de trabalho após 90 dias. Você pode considerar reter dados de log por mais tempo com base em requisitos governamentais. Para obter mais informações, consulte Criar espaços de trabalho do Log Analytics e Guia de início rápido: integrado no Microsoft Sentinel.
Zero Trust com o Microsoft Sentinel
Para implementar a arquitetura de confiança zero, considere estender o espaço de trabalho para consultar e analisar seus dados entre espaços de trabalho e locatários. Use Exemplos de designs de espaço de trabalho do Microsoft Sentinel e Estenda o Microsoft Sentinel entre espaços de trabalho e locatários para determinar o melhor design de espaço de trabalho para sua organização.
Além disso, use a orientação prescritiva Cloud Roles and Operations Management e sua planilha Excel (download). Neste guia, as tarefas Zero Trust a serem consideradas para o Microsoft Sentinel são:
- Defina funções RBAC do Microsoft Sentinel com grupos associados do Microsoft Entra.
- Valide se as práticas de acesso implementadas ao Microsoft Sentinel ainda atendem aos requisitos da sua organização.
- Considere o uso de chaves gerenciadas pelo cliente.
Confiança Zero com RBAC
Para estar em conformidade com o Zero Trust, recomendamos que você configure o RBAC do Azure com base nos recursos permitidos aos seus usuários, em vez de fornecer-lhes acesso a todo o ambiente do Microsoft Sentinel.
A tabela a seguir lista algumas das funções específicas do Microsoft Sentinel.
| Nome da função | Description |
|---|---|
| Leitor Microsoft Sentinel | Exiba dados, incidentes, pastas de trabalho e outros recursos do Microsoft Sentinel. |
| Respondente do Microsoft Sentinel | Além dos recursos da função Microsoft Sentinel Reader, gerencie incidentes (atribuir, descartar, etc.). Essa função é aplicável a tipos de usuários de analistas de segurança. |
| Operador do Microsoft Sentinel Playbook | Liste, visualize e execute manualmente playbooks. Essa função também é aplicável a tipos de usuários de analistas de segurança. Essa função é para conceder a um respondente do Microsoft Sentinel a capacidade de executar playbooks do Microsoft Sentinel com a menor quantidade de privilégios. |
| Colaborador do Microsoft Sentinel | Além dos recursos da função Operador do Microsoft Sentinel Playbook, crie e edite pastas de trabalho, regras de análise e outros recursos do Microsoft Sentinel. Essa função é aplicável a tipos de usuários de engenheiros de segurança. |
| Colaborador do Microsoft Sentinel Automation | Permite que o Microsoft Sentinel adicione playbooks a regras de automação. Não se destina a contas de utilizador. |
Ao atribuir funções do Azure específicas do Microsoft Sentinel, você pode se deparar com outras funções do Azure e do Log Analytics que podem ter sido atribuídas aos usuários para outros fins. Por exemplo, as funções Colaborador do Log Analytics e Leitor do Log Analytics concedem acesso a um espaço de trabalho do Log Analytics.
Para obter mais informações, consulte Funções e permissões no Microsoft Sentinel e Gerenciar o acesso aos dados do Microsoft Sentinel por recurso.
Confiança zero em arquiteturas multilocatárias com o Azure Lighthouse
O Azure Lighthouse permite o gerenciamento multilocatário com escalabilidade, maior automação e governança aprimorada entre recursos. Com o Azure Lighthouse, você pode gerenciar várias instâncias do Microsoft Sentinel em locatários do Microsoft Entra em escala. Aqui está um exemplo.
Com o Azure Lighthouse, você pode executar consultas em vários espaços de trabalho ou criar pastas de trabalho para visualizar e monitorar dados de suas fontes de dados conectadas e obter informações extras. É importante considerar os princípios do Zero Trust. Consulte Práticas de segurança recomendadas para implementar controles de acesso de privilégios mínimos para o Azure Lighthouse.
Considere as seguintes perguntas ao implementar práticas recomendadas de segurança para o Azure Lighthouse:
- Quem é responsável pela propriedade dos dados?
- Quais são os requisitos de isolamento e conformidade de dados?
- Como você implementará privilégios mínimos entre os locatários?
- Como serão gerenciados vários conectores de dados em vários espaços de trabalho do Microsoft Sentinel?
- Como monitorar ambientes do Office 365?
- Como proteger as propriedades intelectuais – por exemplo, playbooks, cadernos, regras analíticas – entre inquilinos?
Consulte Gerenciar espaços de trabalho do Microsoft Sentinel em escala: RBAC granular do Azure para obter as práticas recomendadas de segurança do Microsoft Sentinel e do Azure Lighthouse.
Integre seu espaço de trabalho à plataforma unificada de operações de segurança
Se você estiver trabalhando com um único espaço de trabalho, recomendamos que você integre seu espaço de trabalho à plataforma unificada de operações de segurança para exibir todos os seus dados do Microsoft Sentinel juntamente com os dados XDR no portal do Microsoft Defender.
A plataforma unificada de operações de segurança também fornece recursos aprimorados, como interrupção automática de ataques para o sistema SAP, consultas unificadas da página de caça do Defender Advanced e incidentes e entidades unificados no Microsoft Defender e no Microsoft Sentinel.
Para obter mais informações, consulte:
- Conectar o Microsoft Sentinel ao Microsoft Defender XDR
- Microsoft Sentinel no portal do Microsoft Defender
Formação recomendada
Atualmente, o conteúdo de treinamento não abrange a plataforma unificada de operações de segurança.
Introdução ao Microsoft Sentinel
| Formação | Introdução ao Microsoft Sentinel |
|---|---|
|
Saiba como o Microsoft Sentinel permite que você comece a obter informações de segurança valiosas de seus dados locais e na nuvem rapidamente. |
Configurar seu ambiente Microsoft Sentinel
| Formação | Configurar seu ambiente Microsoft Sentinel |
|---|---|
|
Comece a usar o Microsoft Sentinel configurando corretamente o espaço de trabalho do Microsoft Sentinel. |
Criar e gerenciar espaços de trabalho do Microsoft Sentinel
| Formação | Criar e gerenciar espaços de trabalho do Microsoft Sentinel |
|---|---|
|
Saiba mais sobre a arquitetura dos espaços de trabalho do Microsoft Sentinel para garantir que você configure seu sistema para atender aos requisitos de operações de segurança da sua organização. |
Próximo passo
Continue com a Etapa 3 para configurar o Microsoft Sentinel para ingerir fontes de dados e configurar a deteção de incidentes.
Referências
Consulte estes links para saber mais sobre os serviços e tecnologias mencionados neste artigo.
| Área de serviço | Mais informações |
|---|---|
| Microsoft Sentinel | - Guia de início rápido: integrado no Microsoft Sentinel - Gerenciar o acesso aos dados do Microsoft Sentinel por recurso |
| Governança do Microsoft Sentinel | - Organize seus recursos com grupos de gerenciamento - Funções e permissões no Microsoft Sentinel |
| Espaços de trabalho do Log Analytics | - Projetar uma arquitetura de espaço de trabalho do Log Analytics - Critérios de design para espaços de trabalho do Log Analytics - Solução da Contoso - Gerenciar o acesso a espaços de trabalho do Log Analytics - Azure Monitor - Projetar uma arquitetura de espaço de trabalho do Log Analytics - Criar espaços de trabalho do Log Analytics |
| Espaços de trabalho do Microsoft Sentinel e Azure Lighthouse | - Gerenciar espaços de trabalho do Microsoft Sentinel em escala: RBAC granular do Azure - Práticas de segurança recomendadas |