Designs de exemplo de workspace do Log Analytics para o Microsoft Sentinel

  • Artigo

Este artigo descreve designs sugeridos de workspaces do Log Analytics para organizações com os seguintes requisitos de amostra:

  • Múltiplos locatários e regiões, com requisitos de Soberania de Dados Europeus.
  • Locatário único com várias nuvens
  • Vários locatários, com várias regiões e segurança centralizada

Para obter mais informações, consulte Projetar uma arquitetura de workspace do Log Analytics.

Este artigo faz parte do guia de implantação do Microsoft Sentinel.

Amostra 1: vários locatários e regiões

A Contoso Corporation é uma empresa multinacional com sede em Londres. A Contoso tem escritórios em todo o mundo, com centros importantes em Nova York e Tóquio. Recentemente, a Contoso migrou seu pacote de produtividade para o Office 365, com muitos workspaces migrados para o Azure.

Locatários da Contoso

Devido a uma aquisição há vários anos, a Contoso tem dois locatários do Microsoft Entra: contoso.onmicrosoft.com e wingtip.onmicrosoft.com. Cada locatário tem sua própria Office 365 e várias assinaturas do Azure, conforme mostrado na imagem a seguir:

Diagrama de locatários da Contoso, cada um com conjuntos separados de assinaturas.

Conformidade da Contoso e implantação regional

Atualmente, a Contoso tem recursos do Azure hospedados em três regiões: Leste dos EUA, Norte da Europa e Oeste do Japão e uma exigência rigorosa para manter todos os dados gerados na Europa em regiões do continente.

Ambos os locatários do Microsoft Entra da Contoso têm recursos nas três regiões: Leste dos EUA, Norte da Europa e Oeste do Japão

Tipos de requisito e requisitos de coleção da Contoso

A Contoso precisa coletar eventos destas fontes de dados:

  • Office 365
  • Logs de auditoria e credenciais do Microsoft Entra
  • Atividades do Azure
  • Eventos de segurança do Windows, do local e de fontes de VM do Azure
  • Syslog, do local e de fontes de VM do Azure
  • CEF, de vários dispositivos de rede locais, como Palo Alto, Cisco ASA e Cisco Meraki
  • Vários recursos de PaaS do Azure, como Firewall do Azure, AKS, Key Vault, Armazenamento do Microsoft Azure e SQL do Azure
  • Cisco Umbrella

As VMs do Azure estão localizadas principalmente na região do Norte da Europa com apenas algumas no Leste dos EUA e Oeste do Japão. A Contoso usa o Microsoft Defender para servidores em todas as suas VMs do Azure.

A Contoso espera ingerir cerca de 300 GB/dia de todas as fontes de dados.

Requisitos de acesso da Contoso

O ambiente do Azure da Contoso já tem um único workspace do Log Analytics usado pela equipe de Operações para monitorar a infraestrutura. Esse workspace está localizado no locatário do Microsoft Entra da Contoso na região do Norte da Europa e está sendo usado para coletar logs de VMs do Azure em todas as regiões. Atualmente, eles ingerem em torno de 50 GB/dia.

A equipe de Operações da Contoso precisa ter acesso a todos os logs que ela tem atualmente no workspace. Isso inclui vários tipos de dados não necessários para o SOC, como Perf, InsightsMetrics, ContainerLog e muito mais. A equipe de operações não pode ter acesso aos novos logs que serão coletados no Microsoft Sentinel.

Solução da Contoso

A solução da Contoso inclui as seguintes considerações:

  • A Contoso já tem um workspace existente, e gostaria de explorar a habilitação do Microsoft Sentinel nesse mesmo workspace.
  • A Contoso tem requisitos regulatórios, então precisamos de pelo menos um workspace do Log Analytics habilitado para o Microsoft Sentinel na Europa.
  • A maioria das VMs da Contoso estão na região Norte da Europa, onde eles já possuem um workspace. Portanto, nesse caso, os custos de largura de banda não são uma preocupação.
  • A Contoso tem dois locatários diferentes no Microsoft Entra, e coleta dados de fontes no nível do locatário, como logs de auditoria e entrada do Office 365 e do Microsoft Entra, e precisamos de pelo menos um workspace por locatário.
  • A Contoso precisa coletar dados não SOC, embora não haja sobreposição entre os dados SOC e não SOC. Além disso, o volume de dados do SOC é de aproximadamente 250 GB/dia, portanto, eles devem usar workspaces separados para aumentar a eficiência do custo.
  • A Contoso tem uma única equipe de SOC que usará o Microsoft Sentinel, portanto, nenhuma separação extra é necessária.
  • Todos os membros da equipe do SOC da Contoso terão acesso a todos os dados, portanto, nenhuma separação extra é necessária.

O design de workspace resultante para a Contoso está ilustrado na imagem a seguir:

Diagrama da solução da Contoso, com um workspace separado para a equipe de operações.

A solução sugerida inclui:

  • Um workspace do Log Analytics separado para a equipe de Operações da Contoso. Esse workspace conterá apenas dados que não são necessários para a equipe de SOC da Contoso, como as tabelas Perf, InsightsMetrics ou ContainerLog.
  • Dois workspaces do Log Analytics habilitados para o Microsoft Sentinel, um em cada locatário do Microsoft Entra, para ingerir dados do Office 365, Atividade do Azure, Microsoft Entra ID e todos os serviços PaaS do Azure.
  • Todos os outros dados, provenientes de fontes de dados locais, podem ser roteados para um dos dois workspaces.

Amostra 2: Locatário único com várias nuvens

A Fabrikam é uma organização com sede na cidade de Nova York e escritórios em todo o Estados Unidos. A Fabrikam está iniciando seu percurso na nuvem e ainda precisa implantar a primeira zona de destino do Azure e migrar as primeiras cargas de trabalho. A Fabrikam já tem algumas cargas de trabalho na AWS e pretende monitorá-las com o Microsoft Sentinel.

Requisitos de locação da Fabrikam

A Fabrikam tem um único locatário do Microsoft Entra.

Conformidade da Fabrikam e implantação regional

A Fabrikam não tem requisitos de conformidade. A Fabrikam tem recursos em várias regiões do Azure localizadas nos EUA, mas os custos de largura de banda entre as regiões não são uma grande preocupação.

Tipos de requisito e requisitos de coleção da Fabrikam

A Fabrikam precisa coletar eventos destas fontes de dados:

  • Logs de auditoria e credenciais do Microsoft Entra
  • Atividades do Azure
  • Eventos de segurança do local e de fontes de VM do Azure
  • Eventos do Windows do local e de fontes de VM do Azure
  • Dados de desempenho, do local e de fontes de VM do Azure
  • AWS CloudTrail
  • Logs de auditoria e desempenho do AKS

Requisitos de acesso da Fabrikam

A equipe de Operações da Fabrikam precisa acessar:

  • Eventos de segurança e eventos do Windows, do local e de fontes de VM do Azure
  • Dados de desempenho, do local e de fontes de VM do Azure
  • Desempenho do AKS (Insights de contêiner) e logs de auditoria
  • Todos os dados de atividade do Azure

A equipe do SOC da Fabrikam precisa acessar:

  • Logs de auditoria e credenciais do Microsoft Entra
  • Todos os dados de atividade do Azure
  • Eventos de segurança do local e de fontes de VM do Azure
  • Logs do CloudTrail do AWS
  • Logs de auditoria do AKS
  • O portal completo do Microsoft Sentinel

Solução da Fabrikam

A solução da Fabrikam inclui as seguintes considerações:

  • A Fabrikam não tem um workspace existente, então ela precisará de um novo workspace automaticamente.

  • A Fabrikam não tem requisitos regulatórios que exijam manter dados separados.

  • A Fabrikam tem um ambiente de locatário único e não precisará de workspaces separados por locatário.

  • No entanto, a Fabrikam precisará de workspaces separados para suas equipes SOC e de Operações.

    A equipe de Operações da Fabrikam precisa coletar dados de desempenho tanto de VMs quanto do AKS. Como o AKS é baseado em configurações de diagnóstico, eles podem selecionar logs específicos para enviar a workspaces específicos. A Fabrikam pode optar por enviar logs de auditoria do AKS para o workspace do Log Analytics habilitado para o Microsoft Sentinel, e todos os logs do AKS para um workspace separado, onde o Microsoft Sentinel não está habilitado. No workspace em que Microsoft Sentinel não está habilitado, a Fabrikam habilitará a solução Insights do Contêiner.

    Para as VMs do Windows, a Fabrikam pode usar o Agente de Monitoramento do Azure (AMA) para dividir os logs, enviando eventos de segurança para o workspace e eventos de desempenho e Windows para o workspace sem o Microsoft Sentinel.

    A Fabrikam opta por considerar os dados sobrepostos, como eventos de segurança e eventos de atividade do Azure, como dados apenas do SOC, e os envia para o workspace com Microsoft Sentinel.

  • A Fabrikam precisa controlar o acesso para dados sobrepostos, incluindo eventos de segurança e eventos de atividade do Azure, mas não há requisito de nível de linha. Como eventos de segurança e eventos de atividade do Azure não são logs personalizados, a Fabrikam pode usar RBAC em nível de tabela para permitir acesso a essas duas tabelas para a equipe de Operações.

O design de workspace resultante para a Fabrikam está ilustrado na imagem a seguir, incluindo apenas as principais fontes de log para simplificação do design:

Diagrama da solução da Fabrikam, com um workspace separado para a equipe de operações.

A solução sugerida inclui:

  • Dois workspaces separados na região dos Estados Unidos: um para a equipe SOC com o Microsoft Sentinel habilitado, e outro para a equipe de Operações, sem o Microsoft Sentinel.
  • O Agente de Monitoramento do Azure (AMA), usado para determinar quais logs são enviados para cada workspace a partir de VMs do Azure e locais.
  • Configurações de Diagnóstico, usadas para determinar quais logs são enviados para cada workspace a partir de recursos do Azure, como o AKS.
  • Dados sobrepostos sendo enviados para o workspace do Log Analytics habilitado para o Microsoft Sentinel, com RBAC em nível de tabela para permitir acesso à equipe de Operações conforme necessário.

Amostra 3: Vários locatários e regiões e segurança centralizada

A Adventure Works é uma empresa multinacional com sede em Tóquio. A Adventure Works possui 10 subentidades diferentes, baseadas em diferentes países/regiões ao redor do mundo.

A Adventure Works é cliente do Microsoft 365 E5 e já tem cargas de trabalho no Azure.

Os requisitos de locação da Adventure Works

A Adventure Works tem três locatários diferentes do Microsoft Entra, um para cada um dos continentes em que eles têm subentidades: Ásia, Europa e África. Os diferentes países/regiões de subentidades têm identidades no locatário do continente ao que pertencem. Por exemplo, os usuários japoneses estão no locatário da Ásia, os alemães no locatário da Europa e os egípcios no locatário da África.

Conformidade da Adventure Works e requisitos regionais

Atualmente, a Adventure Works usa três regiões do Azure, cada uma alinhada com o continente no qual residem as subentidades. A Adventure Works não tem requisitos de conformidade estritos.

Tipos de requisito e requisitos de coleção da Adventure Works

A Adventure Works precisa coletar as seguintes fontes de dados para cada subentidade:

  • Logs de auditoria e credenciais do Microsoft Entra
  • Logs do Office 365
  • Logs brutos do Microsoft Defender XDR para Ponto de Extremidade
  • Atividades do Azure
  • Microsoft Defender para Nuvem
  • Recursos de PaaS do Azure, como do Firewall do Azure, do Armazenamento do Microsoft Azure, do SQL do Azure e do WAF do Azure
  • Eventos de segurança e janelas de VMs do Azure
  • Logs do CEF de dispositivos de rede locais

As VMs do Azure estão dispersas nos três continentes, mas os custos de largura de banda não são uma preocupação.

Requisitos de acesso da Adventure Works

A Adventure Works tem uma única equipe de SOC centralizada que supervisiona as operações de segurança para todas as diferentes subentidades.

A Adventure Works também tem três equipes de SOC independentes, uma para cada continentes. Cada equipe SOC de cada continente deve poder acessar apenas os dados gerados dentro de sua região, sem ver dados de outros continentes. Por exemplo, a equipe de SOC da Ásia só deve acessar dados de recursos do Azure implantados na Ásia, credenciais do Microsoft Entra do locatário da Ásia e logs do Defender para Ponto de Extremidade do locatário da Ásia.

A equipe de SOC de cada continente precisa acessar a experiência completa do portal do Microsoft Sentinel.

A equipe de Operações da Adventure Works funciona independentemente e tem os próprios workspaces sem Microsoft Sentinel.

Solução da Adventure Works

A solução da Adventure Works inclui as seguintes considerações:

  • A equipe de Operações da Adventure Works já possui seus próprios workspaces, portanto, não há necessidade de criar um novo.

  • A Adventure Works não tem requisitos regulatórios que exijam manter dados separados.

  • A Adventure Works tem três locatários do Microsoft Entra e precisa coletar fontes de dados no nível do locatário, como logs do Office 365. Portanto, a Adventure Works deve criar pelo menos um workspace do Log Analytics habilitado para o Microsoft Sentinel em cada locatário.

  • Embora todos os dados considerados nesta decisão serão usados pela equipe SOC da Adventure Works, eles precisam segregar os dados por propriedade, pois cada equipe SOC precisa acessar apenas dados que são relevantes para essa equipe. Cada equipe SOC também precisa de acesso ao portal completo do Microsoft Sentinel. A Adventure Works não precisa controlar o acesso a dados por tabela.

O design de workspace resultante para a Adventure Works está ilustrado na imagem a seguir, incluindo apenas as principais fontes de log para simplificação do design:

Diagrama da solução da Adventure Works, com workspaces separados para cada locatário do Azure AD.

A solução sugerida inclui:

  • Um workspace do Log Analytics separado habilitado para o Microsoft Sentinel para cada locatário do Microsoft Entra. Cada workspace coleta dados relacionados ao seu locatário para todas as fontes de dados.
  • A equipe de SOC de cada continente tem acesso somente ao workspace no próprio locatário. Isso garante que somente os logs gerados dentro do limite de locatário possam ser acessados por cada equipe de SOC.
  • A equipe central do SOC ainda pode operar de um locatário separado do Microsoft Entra, usando o Azure Lighthouse para acessar cada um dos diferentes ambientes do Microsoft Sentinel. Se não houver nenhum locatário adicional, a equipe central do SOC ainda poderá usar o Azure Lighthouse para acessar os workspaces remotos.
  • A equipe central do SOC também poderá criar um workspace adicional se precisar armazenar artefatos que permanecem ocultos das equipes de SOC do continente ou se quiser ingerir outros dados que não sejam relevantes para as equipes de SOC do continente.

Próximas etapas

Neste artigo, você analisou um conjunto de designs de workspace sugeridos para organizações.

Preparar-se para vários workspaces