Plan para el área de trabajo de Microsoft Sentinel
Antes de implementar Microsoft Sentinel, es fundamental comprender las opciones del área de trabajo. La solución Microsoft Sentinel se instala en un área de trabajo de Log Analytics y la mayoría de las consideraciones de implementación se centran en la creación del área de trabajo de Log Analytics. La única opción más importante al crear un área de trabajo de Log Analytics es la región. La región especifica la ubicación donde residen los datos de registro.
Las tres opciones de implementación:
Single-Tenant con un único área de trabajo de Microsoft Sentinel
Single-Tenant con áreas de trabajo regionales de Microsoft Sentinel
Varios inquilinos
Área de trabajo única de un solo inquilino
El único inquilino con un único área de trabajo de Microsoft Sentinel es el repositorio principal para los registros de todos los recursos del mismo inquilino.
Este área de trabajo recibe registros de recursos de otras regiones dentro del mismo inquilino. Dado que los datos de registro (cuando se recopilan) viajan entre regiones y se almacenan en otra región, esto crea dos posibles preocupaciones. En primer lugar, puede incurrir en un costo de ancho de banda. En segundo lugar, si hay un requisito de gobernanza de datos para mantener los datos en una región específica, la opción de área de trabajo única no sería una opción de implementación.
Entre las ventajas e inconvenientes del inquilino único con un área de trabajo única se incluyen las siguientes:
| Ventajas | Desventajas |
|---|---|
| Panel central de vidrio | Puede que no cumpla los requisitos de gobernanza de datos |
| Consolida todos los registros de seguridad e información | Puede incurrir en un costo de ancho de banda para varias regiones. |
| Más fácil de consultar toda la información | |
| RBAC de Azure Log Analytics para controlar el acceso a datos | |
| Control de acceso basado en roles (RBAC) de Microsoft Sentinel para RBAC del servicio |
Inquilino único con áreas de trabajo regionales de Microsoft Sentinel
El inquilino único con áreas de trabajo regionales de Microsoft Sentinel tiene varias áreas de trabajo de Microsoft Sentinel que requieren la creación y configuración de varias áreas de trabajo de Microsoft Sentinel y Log Analytics.
| Ventajas | Desventajas |
|---|---|
| Sin costos de ancho de banda entre regiones | No hay un panel central de vidrio. No ve todos los datos en un solo lugar. |
| Puede ser necesario cumplir los requisitos de gobernanza de datos. | Los análisis, cuadernos de trabajo, entre otros, deben implementarse varias veces. |
| Control de acceso a datos pormenorizado | |
| Configuración de retención pormenorizada | |
| Facturación dividida |
Para consultar datos entre áreas de trabajo, use la función workspace() antes del nombre de la tabla.
TableName
| union workspace("WorkspaceName").TableName
Varios espacios de trabajo de inquilinos
Si necesita administrar un área de trabajo de Microsoft Sentinel que no se encuentra en su inquilino, debe implementar áreas de trabajo de múltiples inquilinos a través de Azure Lighthouse. Esta configuración de seguridad le concede acceso a los inquilinos. La configuración de inquilino en el inquilino (ya sea regional o multirregional) es la misma consideración que antes.
Uso del mismo área de trabajo de Log Analytics para Microsoft Sentinel y Microsoft Defender for Cloud
Para simplificar las operaciones de seguridad, use el mismo área de trabajo para Microsoft Sentinel y Microsoft Defender for Cloud. Microsoft Sentinel también puede usar todos los registros recopilados por Microsoft Defender for Cloud. El área de trabajo predeterminada creada por Microsoft Defender for Cloud no aparecerá como un área de trabajo disponible para Microsoft Sentinel.