Passo 2. Arquitete seu espaço de trabalho do Microsoft Sentinel
A implantação do ambiente Microsoft Sentinel envolve a criação de uma configuração de espaço de trabalho para atender aos seus requisitos de segurança e conformidade. O processo de provisionamento inclui a criação de espaços de trabalho do Log Analytics e a configuração das opções apropriadas do Microsoft Sentinel.
Este artigo fornece recomendações sobre como projetar e implementar espaços de trabalho do Microsoft Sentinel para os princípios do Zero Trust.
Nota
Se você é novo nos espaços de trabalho do Microsoft Sentinel, consulte estratégias e critérios de design em Criar uma arquitetura de espaço de trabalho do Log Analytics.
Etapa 1: Projetar uma estratégia de governança
Se sua organização tiver muitas assinaturas do Azure, talvez você precise de uma maneira eficiente de gerenciar o acesso, as políticas e a conformidade dessas assinaturas. Os grupos de gerenciamento fornecem um escopo de governança para assinaturas. Quando você organiza suas assinaturas em grupos de gerenciamento, as condições de governança configuradas para um grupo de gerenciamento se aplicam às assinaturas que ele contém. Para obter mais informações, consulte Organizar seus recursos com grupos de gerenciamento.
Por exemplo, o espaço de trabalho do Microsoft Sentinel no diagrama a seguir está na assinatura de segurança no grupo de gerenciamento de plataforma , que faz parte do locatário do Microsoft Entra ID.
A assinatura do Security Azure e o espaço de trabalho do Microsoft Sentinel herdam o RBAC (controle de acesso baseado em função) e as políticas do Azure aplicadas ao grupo de gerenciamento da Plataforma.
Etapa 2: Criar espaços de trabalho do Log Analytics
Para usar o Microsoft Sentinel, a primeira etapa é criar seus espaços de trabalho do Log Analytics. Um único espaço de trabalho do Log Analytics pode ser suficiente para muitos ambientes, mas muitas organizações criam vários espaços de trabalho para otimizar custos e atender melhor a diferentes requisitos de negócios.
É uma prática recomendada criar espaços de trabalho separados para os dados operacionais e de segurança para propriedade de dados e gerenciamento de custos para o Microsoft Sentinel. Por exemplo, se houver mais de uma pessoa administrando funções operacionais e de segurança, sua primeira decisão para o Zero Trust é criar espaços de trabalho separados para essas funções.
Para obter mais informações, consulte Critérios de design para espaços de trabalho do Log Analytics.
Para obter um exemplo de espaços de trabalho separados para funções de operação e segurança, consulte a solução da Contoso.
Considerações de design do espaço de trabalho do Log Analytics
Para um único locatário, há duas maneiras de configurar os espaços de trabalho do Microsoft Sentinel:
Locatário único com um único espaço de trabalho do Log Analytics. Nesse caso, o espaço de trabalho se torna o repositório central para logs em todos os recursos dentro do locatário.
Vantagens:
- Consolidação central de logs.
- Informações mais fáceis de consultar.
- Log Analytics RBAC para controlar o acesso. Para obter mais informações, consulte Gerenciar o acesso a espaços de trabalho do Log Analytics - Azure Monitor.
- Microsoft Sentinel RBAC para RBAC de serviço. Para obter mais informações, consulte Funções e permissões no Microsoft Sentinel.
Desvantagens:
- Pode não atender aos requisitos de governança.
- Há um custo de largura de banda entre regiões.
Locatário único com espaços de trabalho regionais do Log Analytics.
Vantagens:
- Sem custos de largura de banda entre regiões.
- Pode ser necessário cumprir a governança.
- Controle granular de acesso a dados.
- Configurações granulares de retenção.
- Faturação dividida.
Desvantagens:
- Sem painel central de vidro.
- Análises, pastas de trabalho e outras configurações devem ser implantadas várias vezes.
Para criar seus espaços de trabalho do Log Analytics, consulte Criar espaços de trabalho do Log Analytics.
Etapa 3: arquitetar o espaço de trabalho do Sentinel
A integração do Microsoft Sentinel requer a seleção de um espaço de trabalho do Log Analytics. A seguir estão as considerações para configurar o Log Analytics para o Microsoft Sentinel:
- Crie um grupo de recursos "Segurança" para fins de governança, o que permite o isolamento dos recursos do Microsoft Sentinel e o acesso baseado em função à coleção. Para obter mais informações, consulte Criar uma arquitetura de espaço de trabalho do Log Analytics.
- Crie um espaço de trabalho do Log Analytics no grupo de recursos "Segurança" e integre o Microsoft Sentinel a ele. Isto dá-lhe automaticamente 31 dias de ingestão de dados até 10 Gb por dia grátis como parte de uma avaliação gratuita.
- Defina seu espaço de trabalho do Log Analytics com suporte ao Microsoft Sentinel para , no mínimo, 90 dias de retenção .
Depois de integrar o Microsoft Sentinel a um espaço de trabalho do Log Analytics, você obtém 90 dias de retenção de dados sem custo adicional. Você incorrerá em custos para a quantidade total de dados no espaço de trabalho após 90 dias. Defini-lo como 90 dias garante uma substituição de 90 dias dos dados de log. Você pode considerar a retenção de dados de log por mais tempo com base em requisitos governamentais. Consulte Guia de início rápido: integrado no Microsoft Sentinel para obter mais informações.
Zero Trust com o Microsoft Sentinel
Para implementar a arquitetura de confiança zero, considere estender o espaço de trabalho para consultar e analisar seus dados entre espaços de trabalho e locatários. Use Exemplos de designs de espaço de trabalho do Microsoft Sentinel e Estenda o Microsoft Sentinel entre espaços de trabalho e locatários para determinar o melhor design de espaço de trabalho para sua organização.
Além disso, use a orientação prescritiva Cloud Roles and Operations Management e sua planilha Excel (download). Neste guia, as tarefas Zero Trust a serem consideradas para o Microsoft Sentinel são:
- Defina funções RBAC do Microsoft Sentinel com grupos associados do Microsoft Entra.
- Valide se as práticas de acesso implementadas ao Microsoft Sentinel ainda atendem aos requisitos da sua organização.
- Considere o uso de chaves gerenciadas pelo cliente.
Confiança Zero com RBAC
Para estar em conformidade com o Zero Trust, recomendamos que você configure o RBAC com base nos recursos permitidos aos seus usuários, em vez de fornecer-lhes acesso a todo o ambiente do Microsoft Sentinel. A tabela a seguir lista algumas das funções específicas do Microsoft Sentinel.
| Nome da função | Description |
|---|---|
| Leitor do Microsoft Sentinel | Exiba dados, incidentes, pastas de trabalho e outros recursos do Microsoft Sentinel. |
| Respondedor do Microsoft Sentinel | Além dos recursos da função Microsoft Sentinel Reader, gerencie incidentes (atribuir, descartar, etc.). Essa função é aplicável a tipos de usuários de analistas de segurança. |
| Operador do Microsoft Sentinel Playbook | Liste, visualize e execute manualmente playbooks. Essa função também é aplicável a tipos de usuários de analistas de segurança. Essa função é para conceder a um respondente do Microsoft Sentinel a capacidade de executar playbooks do Microsoft Sentinel com a menor quantidade de privilégios. |
| Contribuidor do Microsoft Sentinel | Além dos recursos da função Operador do Microsoft Sentinel Playbook, crie e edite pastas de trabalho, regras de análise e outros recursos do Microsoft Sentinel. Essa função é aplicável a tipos de usuários de engenheiros de segurança. |
| Colaborador do Microsoft Sentinel Automation | Permite que o Microsoft Sentinel adicione playbooks a regras de automação. Não se destina a contas de utilizador. |
Ao atribuir funções do Azure específicas do Microsoft Sentinel, você pode se deparar com outras funções do Azure e do Log Analytics que podem ter sido atribuídas a usuários para outros fins. Por exemplo, as funções Colaborador do Log Analytics e Leitor do Log Analytics concedem acesso a um espaço de trabalho do Log Analytics. Para implementar o RBAC para um espaço de trabalho do Microsoft Sentinel, consulte Funções e permissões no Microsoft Sentinel e Gerenciar o acesso aos dados do Microsoft Sentinel por recurso.
Confiança zero na arquitetura multilocatária com o Azure Lighthouse
O Azure Lighthouse permite o gerenciamento multilocatário com escalabilidade, maior automação e governança aprimorada entre recursos. Com o Azure Lighthouse, você pode gerenciar várias instâncias do Microsoft Sentinel em locatários do Microsoft Entra em escala. Aqui está um exemplo.
Com o Azure Lighthouse, você pode executar consultas em vários espaços de trabalho ou criar pastas de trabalho para visualizar e monitorar dados de suas fontes de dados conectadas e obter informações adicionais. É importante considerar os princípios do Zero Trust. Consulte Práticas de segurança recomendadas para implementar controles de acesso de privilégios mínimos para o Azure Lighthouse.
Considere as seguintes perguntas ao implementar práticas recomendadas de segurança para o Azure Lighthouse:
- Quem é responsável pela propriedade dos dados?
- Quais são os requisitos de isolamento e conformidade de dados?
- Como implementar privilégios mínimos entre locatários.
- Como serão gerenciados vários conectores de dados em vários espaços de trabalho do Microsoft Sentinel?
- Como monitorar ambientes do Office 365?
- Como proteger as propriedades intelectuais – por exemplo, playbooks, cadernos, regras analíticas – entre inquilinos?
Consulte Gerenciar espaços de trabalho do Microsoft Sentinel em escala: RBAC granular do Azure para obter as práticas recomendadas de segurança do Microsoft Sentinel e do Azure Lighthouse.
Formação recomendada
A seguir estão os módulos de treinamento recomendados para esta etapa.
Introdução ao Microsoft Sentinel
| Formação | Introdução ao Microsoft Sentinel |
|---|---|
|
Saiba como o Microsoft Sentinel permite que você comece a obter informações de segurança valiosas de seus dados locais e na nuvem rapidamente. |
Configurar seu ambiente Microsoft Sentinel
| Formação | Configurar seu ambiente Microsoft Sentinel |
|---|---|
|
Comece a usar o Microsoft Sentinel configurando corretamente o espaço de trabalho do Microsoft Sentinel. |
Criar e gerenciar espaços de trabalho do Microsoft Sentinel
| Formação | Criar e gerenciar espaços de trabalho do Microsoft Sentinel |
|---|---|
|
Saiba mais sobre a arquitetura dos espaços de trabalho do Microsoft Sentinel para garantir que você configure seu sistema para atender aos requisitos de operações de segurança da sua organização. |
Próximo passo
Continue com a Etapa 3 para configurar o Microsoft Sentinel para ingerir fontes de dados e configurar a deteção de incidentes.
Referências
Consulte estes links para saber mais sobre os serviços e tecnologias mencionados neste artigo.
Microsoft Sentinel:
- Guia de início rápido: integrado no Microsoft Sentinel
- Gerenciar o acesso aos dados do Microsoft Sentinel por recurso
Governança do Microsoft Sentinel:
Espaços de trabalho do Log Analytics:
- Projetar uma arquitetura de espaço de trabalho do Log Analytics
- Critérios de design para espaços de trabalho do Log Analytics
- Solução da Contoso
- Gerenciar o acesso a espaços de trabalho do Log Analytics - Azure Monitor
- Projetar uma arquitetura de espaço de trabalho do Log Analytics
- Criar espaços de trabalho do Log Analytics
Espaços de trabalho do Microsoft Sentinel e Azure Lighthouse:
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários