Passaggio 2. Progettare l'area di lavoro di Microsoft Sentinel

L'implementazione dell'ambiente di Microsoft Sentinel prevede la progettazione di una configurazione di aree di lavoro per soddisfare i requisiti di sicurezza e di conformità. Il processo di provisioning include la creazione di aree di lavoro Log Analytics e la configurazione delle opzioni appropriate di Microsoft Sentinel.

Questo articolo fornisce consigli su come progettare e implementare aree di lavoro di Microsoft Sentinel per i principi di Zero Trust.

Passaggio 1: Progettare una strategia di governance

Se l'organizzazione ha molte sottoscrizioni di Azure, potrebbe essere necessario un modo per gestire in modo efficiente l'accesso, i criteri e la conformità per tali sottoscrizioni. I gruppi di gestione forniscono un ambito di governance per le sottoscrizioni. Quando si organizzano le sottoscrizioni all'interno dei gruppi di gestione, le condizioni di governance configurate per un gruppo di gestione si applicano alle sottoscrizioni contenute. Per altre informazioni, vedere Organizzare le risorse con i gruppi di gestione.

Ad esempio, l'area di lavoro di Microsoft Sentinel nel diagramma seguente si trova nella sottoscrizione di sicurezza nel gruppo di gestione della piattaforma, che fa parte del tenant microsoft Entra ID.

Diagramma di un'area di lavoro di Microsoft Sentinel di esempio in un tenant microsoft Entra ID.

La sottoscrizione di Sicurezza di Azure e l'area di lavoro di Microsoft Sentinel ereditano il controllo degli accessi in base al ruolo e i criteri di Azure applicati al gruppo di gestione della piattaforma.

Passaggio 2: Creare aree di lavoro Log Analytics

Per usare Microsoft Sentinel, il primo passaggio consiste nel creare le aree di lavoro Log Analytics. Una singola area di lavoro Log Analytics potrebbe essere sufficiente per molti ambienti, ma molte organizzazioni creano più aree di lavoro per ottimizzare i costi e soddisfare meglio requisiti aziendali diversi.

È consigliabile creare aree di lavoro separate per i dati operativi e di sicurezza per la proprietà dei dati e la gestione dei costi per Microsoft Sentinel. Ad esempio, se sono presenti più persone che amministrano ruoli operativi e di sicurezza, la prima decisione per Zero Trust è se creare aree di lavoro separate per tali ruoli.

La piattaforma unificata per le operazioni di sicurezza, che fornisce l'accesso a Microsoft Sentinel nel portale di Defender, supporta solo una singola area di lavoro.

Per altre informazioni, vedere la soluzione di esempio di Contoso per aree di lavoro separate per i ruoli operativi e di sicurezza.

Considerazioni sulla progettazione dell'area di lavoro Log Analytics

Per un singolo tenant, è possibile configurare le aree di lavoro di Microsoft Sentinel in due modi:

  • Tenant singolo con una singola area di lavoro Log Analytics. In questo caso, l'area di lavoro diventa il repository centrale per i log in tutte le risorse all'interno del tenant.

    Vantaggi:

    Svantaggi:

    • Potrebbe non soddisfare i requisiti di governance.
    • Tra le aree è previsto un costo di larghezza di banda.
  • Tenant singolo con aree di lavoro Log Analytics a livello di area.

    Vantaggi:

    • Nessun costo della larghezza di banda tra aree.
    • Potrebbe essere necessario soddisfare la governance.
    • Controllo granulare dell'accesso ai dati.
    • Impostazioni di conservazione granulari.
    • Suddivisione della fatturazione.

    Svantaggi:

    • Nessun pannello di controllo centrale:
    • Analisi, cartelle di lavoro e altre configurazioni devono essere distribuite più volte.

Per altre informazioni, vedere Progettare un'architettura dell'area di lavoro Log Analytics.

Passaggio 3: Progettare l'area di lavoro di Microsoft Sentinel

L'onboarding di Microsoft Sentinel richiede la selezione di un'area di lavoro Log Analytics. Di seguito sono riportate alcune considerazioni per la configurazione di Log Analytics per Microsoft Sentinel:

Dopo aver eseguito l'onboarding di Microsoft Sentinel in un'area di lavoro Log Analytics, si ottengono 90 giorni di conservazione dei dati senza costi aggiuntivi e si garantisce un rollover dei dati di log di 90 giorni. Verranno addebitati costi per la quantità totale di dati nell'area di lavoro dopo 90 giorni. È possibile conservare i dati di log per più tempo in base ai requisiti governativi. Per altre informazioni, vedere Creare aree di lavoro Log Analytics e Avvio rapido: Eseguire l'onboarding in Microsoft Sentinel.

Zero Trust con Microsoft Sentinel

Per implementare un'architettura senza attendibilità, è consigliabile estendere l'area di lavoro per eseguire query e analizzare i dati tra aree di lavoro e tenant. Usare le progettazioni di aree di lavoro di Microsoft Sentinel di esempio ed estendere Microsoft Sentinel tra aree di lavoro e tenant per determinare la progettazione ottimale dell'area di lavoro per l'organizzazione.

Usare inoltre le linee guida prescrittive per Ruoli cloud e Operations Management e il relativo foglio di calcolo di Excel (download). Da questa guida, le attività Zero Trust da considerare per Microsoft Sentinel sono:

  • Definire i ruoli controllo degli accessi in base al ruolo di Microsoft Sentinel con i gruppi microsoft Entra associati.
  • Verificare che le procedure di accesso implementate per Microsoft Sentinel soddisfino ancora i requisiti dell'organizzazione.
  • Prendere in considerazione l'uso di chiavi gestite dal cliente.

Zero Trust con controllo degli accessi in base al ruolo

Per rispettare Zero Trust, è consigliabile configurare il controllo degli accessi in base al ruolo di Azure in base alle risorse consentite agli utenti anziché fornire loro l'accesso all'intero ambiente di Microsoft Sentinel.

La tabella seguente elenca alcuni dei ruoli specifici di Microsoft Sentinel.

Nome ruolo Descrizione
Lettore di Microsoft Sentinel Visualizzare dati, eventi imprevisti, cartelle di lavoro e altre risorse di Microsoft Sentinel.
Risponditore di Microsoft Sentinel Oltre alle funzionalità del ruolo lettore di Microsoft Sentinel, gestire gli eventi imprevisti (assegnare, ignorare e così via). Questo ruolo è applicabile ai tipi di utenti di analisti della sicurezza.
Operatore playbook di Microsoft Sentinel Elencare, visualizzare ed eseguire manualmente playbook. Questo ruolo è applicabile anche ai tipi di utenti di analisti della sicurezza. Questo ruolo è per concedere a un risponditore di Microsoft Sentinel la possibilità di eseguire playbook di Microsoft Sentinel con il minor numero di privilegi.
Collaboratore di Microsoft Sentinel Oltre alle funzionalità del ruolo Operatore playbook di Microsoft Sentinel, creare e modificare cartelle di lavoro, regole di analisi e altre risorse di Microsoft Sentinel. Questo ruolo è applicabile ai tipi di utenti di tecnici della sicurezza.
Collaboratore all'automazione di Microsoft Sentinel Consente a Microsoft Sentinel di aggiungere playbook alle regole di automazione. Non è destinato agli account utente.

Quando si assegnano ruoli di Azure specifici di Microsoft Sentinel, è possibile che vengano visualizzati altri ruoli di Azure e Log Analytics che potrebbero essere stati assegnati agli utenti per altri scopi. Ad esempio, i ruoli Collaboratore Log Analytics e Lettore Log Analytics concedono l'accesso a un'area di lavoro Log Analytics.

Per altre informazioni, vedere Ruoli e autorizzazioni in Microsoft Sentinel e Gestire l'accesso ai dati di Microsoft Sentinel per risorsa.

Zero Trust nelle architetture multi-tenant con Azure Lighthouse

Azure Lighthouse consente una gestione multi-tenant, offrendo scalabilità, una maggiore automazione e una migliore governance tra risorse. Con Azure Lighthouse è possibile gestire più istanze di Microsoft Sentinel nei tenant di Microsoft Entra su larga scala. Ecco un esempio.

Diagramma di un esempio di uso di Azure Lighthouse in più tenant di Microsoft Entra.

Con Azure Lighthouse è possibile eseguire query in più aree di lavoro o creare cartelle di lavoro per visualizzare e monitorare i dati dalle origini dati connesse e ottenere informazioni aggiuntive. È importante considerare i principi zero trust. Vedere Procedure di sicurezza consigliate per implementare i controlli di accesso con privilegi minimi per Azure Lighthouse.

Quando si implementano le procedure consigliate per la sicurezza per Azure Lighthouse, prendere in considerazione le domande seguenti:

  • Chi è responsabile della proprietà dei dati?
  • Quali sono i requisiti di isolamento e conformità dei dati?
  • In che modo si implementeranno privilegi minimi tra i tenant?
  • Come verranno gestiti più connettori dati in più aree di lavoro di Microsoft Sentinel?
  • Come monitorare gli ambienti office 365?
  • Come proteggere le proprietà intellettuali, ad esempio playbook, notebook, regole di analisi, tra tenant?

Vedere Gestire le aree di lavoro di Microsoft Sentinel su larga scala: Controllo degli accessi in base al ruolo di Azure granulare per le procedure consigliate per la sicurezza di Microsoft Sentinel e Azure Lighthouse.

Eseguire l'onboarding dell'area di lavoro nella piattaforma unificata per le operazioni di sicurezza

Se si usa una singola area di lavoro, è consigliabile eseguire l'onboarding dell'area di lavoro nella piattaforma unificata per le operazioni di sicurezza per visualizzare tutti i dati di Microsoft Sentinel insieme ai dati XDR nel portale di Microsoft Defender.

La piattaforma unificata per le operazioni di sicurezza offre anche funzionalità migliorate, ad esempio interruzioni automatiche degli attacchi per il sistema SAP, query unificate dalla pagina di ricerca avanzata di Defender e eventi imprevisti e entità unificate in Microsoft Defender e Microsoft Sentinel.

Per altre informazioni, vedi:

Il contenuto di training non copre attualmente la piattaforma unificata per le operazioni di sicurezza.

Introduzione a Microsoft Sentinel

Formazione Introduzione a Microsoft Sentinel
Informazioni su come Microsoft Sentinel consente di iniziare a ottenere rapidamente informazioni dettagliate sulla sicurezza dal cloud e dai dati locali.

Configurare l'ambiente Microsoft Sentinel

Formazione Configurare l'ambiente di Microsoft Sentinel
Iniziare a usare Microsoft Sentinel configurando correttamente l'area di lavoro di Microsoft Sentinel.

Creare e gestire le aree di lavoro di Microsoft Sentinel

Formazione Creare e gestire le aree di lavoro di Microsoft Sentinel
Di seguito viene descritta l'architettura delle aree di lavoro di Microsoft Sentinel per consentire di configurare il sistema in conformità ai requisiti delle operazioni per la sicurezza di un'organizzazione.

Passaggio successivo

Continuare con il passaggio 3 per configurare Microsoft Sentinel per inserire origini dati e configurare il rilevamento degli eventi imprevisti.

Immagine dei passaggi della soluzione Microsoft Sentinel e XDR con il passaggio 3 evidenziato

Riferimenti

Fare riferimento a questi collegamenti per informazioni sui servizi e sulle tecnologie menzionati in questo articolo.