Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Importante
Após 31 de março de 2027, Microsoft Sentinel deixarão de ser suportados no portal do Azure e só estarão disponíveis no portal do Microsoft Defender. Todos os clientes que utilizem Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e utilizarão apenas Microsoft Sentinel no portal do Defender.
Se ainda estiver a utilizar Microsoft Sentinel no portal do Azure, recomendamos que comece a planear a transição para o portal do Defender para garantir uma transição suave e tirar o máximo partido da experiência de operações de segurança unificada oferecida pelo Microsoft Defender.
Para se preparar para a implementação, tem de determinar se uma arquitetura de várias áreas de trabalho é relevante para o seu ambiente. Neste artigo, você aprenderá como o Microsoft Sentinel pode abranger vários espaços de trabalho e locatários, para determinar se esse recurso atende às necessidades da sua organização. Este artigo faz parte do Guia de implementação para Microsoft Sentinel.
Utilize um dos seguintes conjuntos de instruções de configuração, consoante o portal que estiver a utilizar para expandir Microsoft Sentinel entre áreas de trabalho:
A necessidade de utilizar várias áreas de trabalho
Ao integrar Microsoft Sentinel, o primeiro passo é selecionar a área de trabalho do Log Analytics. Embora possa obter o benefício total da experiência de Microsoft Sentinel com uma única área de trabalho, em alguns casos, poderá querer expandir a área de trabalho para consultar e analisar os seus dados em áreas de trabalho e inquilinos.
Esta tabela lista alguns destes cenários e, sempre que possível, sugere como pode utilizar uma única área de trabalho para o cenário.
| Requisito | Descrição | Formas de reduzir a contagem de áreas de trabalho |
|---|---|---|
| Soberania e conformidade regulamentar | Uma área de trabalho está associada a uma região específica. Para manter os dados em diferentes geografias do Azure para atender a requisitos regulatórios, divida os dados em workspaces separados. No Microsoft Sentinel, os dados são maioritariamente armazenados e processados na mesma região ou geografia, com algumas exceções, como quando são utilizadas regras de deteção que tiram partido da Machine Learning da Microsoft. Nesses casos, os dados podem ser copiados fora da geografia da área de trabalho para processamento. |
|
| Propriedade dos dados | Os limites da propriedade dos dados, por exemplo, por subsidiárias ou empresas afiliadas, são melhor delineados através de áreas de trabalho separadas. | |
| Múltiplos locatários do Azure | O Microsoft Sentinel oferece suporte à coleta de dados de recursos SaaS da Microsoft e do Azure apenas dentro do limite do próprio locatário do Microsoft Entra. Por conseguinte, cada inquilino Microsoft Entra requer uma área de trabalho separada. | |
| Controlo de acesso a dados granular | Uma organização poderá ter de permitir que diferentes grupos, dentro ou fora da organização, acedam a alguns dos dados recolhidos por Microsoft Sentinel. Por exemplo:
|
Use o RBAC do Azure no nível do recurso ou o RBAC do Azure no nível da tabela |
| Definições de retenção granular | Historicamente, várias áreas de trabalho eram a única forma de definir diferentes períodos de retenção para diferentes tipos de dados. Isso não é mais necessário em muitos casos, graças à introdução das configurações de retenção no nível da tabela. | Utilizar definições de retenção ao nível da tabela ou automatizar a eliminação de dados |
| Faturamento dividido | Ao colocar áreas de trabalho em subscrições separadas, estas podem ser faturadas a diferentes partes. | Relatórios de utilização e carregamento cruzado |
| Arquitetura legada | A utilização de várias áreas de trabalho pode resultar de um design histórico que teve em consideração limitações ou melhores práticas que já não são verdadeiras. Também pode ser uma escolha de design arbitrária que pode ser modificada para acomodar melhor Microsoft Sentinel. Os exemplos incluem:
|
Voltar a arquitetar áreas de trabalho |
Ao determinar quantos inquilinos e áreas de trabalho utilizar, considere que a maioria das funcionalidades Microsoft Sentinel funcionam com uma única área de trabalho ou instância Microsoft Sentinel e Microsoft Sentinel ingere todos os registos alojados na área de trabalho.
Fornecedor de Serviços de Segurança Gerida (MSSP)
No caso de um MSSP, muitos, senão todos, os requisitos acima se aplicam, tornando o uso de vários espaços de trabalho em diferentes tenants a prática recomendada. Especificamente, recomendamos que você crie pelo menos um workspace para cada locatário do Microsoft Entra para dar suporte a conectores de dados internos de serviço para serviço que funcionam apenas no respectivo locatário do Microsoft Entra.
Os conectores baseados em configurações de diagnóstico não podem ser conectados a um espaço de trabalho que não esteja localizado no mesmo locatário em que o recurso está localizado. Isto aplica-se a conectores como Firewall do Azure, Armazenamento Azure, Atividade Azure ou Microsoft Entra ID.
Os conectores de dados de parceiros baseiam-se frequentemente na API ou nas coleções de agentes e, por conseguinte, não estão anexados a um inquilino Microsoft Entra específico.
Use Azure Lighthouse para ajudar a gerenciar várias instâncias do Microsoft Sentinel em diferentes locatários.u
Arquitetura com vários espaços de trabalho do Microsoft Sentinel
Como está implícito nos requisitos acima, há casos em que um único SOC precisa gerenciar e monitorar centralmente várias áreas de trabalho do Log Analytics habilitadas para o Microsoft Sentinel, potencialmente em vários locatários do Microsoft Entra.
- Um serviço MSSP do Microsoft Sentinel.
- Uma SOC global que serve várias subsidiárias, cada uma com o seu próprio SOC local.
- Um SOC que monitora vários locatários do Microsoft Entra dentro de uma organização.
Para resolver estes casos, o Microsoft Sentinel oferece capacidades de várias áreas de trabalho que permitem a monitorização, configuração e gestão centrais, fornecendo um único painel de vidro em todos os elementos abrangidos pelo SOC. Este diagrama mostra uma arquitetura de exemplo para tais casos de utilização.
Este modelo oferece vantagens significativas sobre um modelo totalmente centralizado no qual todos os dados são copiados para uma única área de trabalho:
- Atribuição de função flexível aos SOCs globais e locais ou aos clientes do MSSP.
- Menos desafios relacionados com a propriedade dos dados, a privacidade dos dados e a conformidade regulamentar.
- Latência e custos de rede mínimos.
- Integração e exclusão fáceis de novas subsidiárias ou clientes.
Próximas etapas
Neste artigo, você aprendeu como o Microsoft Sentinel pode se estender por vários espaços de trabalho e locatários.