Exemplos de designs de espaço de trabalho do Log Analytics para o Microsoft Sentinel

Este artigo descreve os designs de espaço de trabalho sugeridos do Log Analytics para organizações com os seguintes requisitos de exemplo:

  • Vários inquilinos e regiões, com requisitos europeus de soberania de dados
  • Locatário único com várias nuvens
  • Vários inquilinos, com várias regiões e segurança centralizada

Para obter mais informações, consulte Criar uma arquitetura de espaço de trabalho do Log Analytics.

Este artigo faz parte do guia de implantação do Microsoft Sentinel.

Amostra 1: Vários locatários e regiões

A Contoso Corporation é uma empresa multinacional com sede em Londres. A Contoso tem escritórios em todo o mundo, com importantes centros em Nova York e Tóquio. Recentemente, a Contoso migrou seu pacote de produtividade para o Office 365, com muitas cargas de trabalho migradas para o Azure.

Locatários da Contoso

Devido a uma aquisição há vários anos, a Contoso tem dois locatários do Microsoft Entra: contoso.onmicrosoft.com e wingtip.onmicrosoft.com. Cada locatário tem sua própria instância do Office 365 e várias assinaturas do Azure, conforme mostrado na imagem a seguir:

Diagrama de locatários da Contoso, cada um com conjuntos separados de assinaturas.

Conformidade com a Contoso e implantação regional

Atualmente, a Contoso tem recursos do Azure hospedados em três regiões diferentes: Leste dos EUA, Norte da UE e Oeste do Japão, e requisito estrito para manter todos os dados gerados na Europa dentro das regiões da Europa.

Ambos os locatários do Microsoft Entra da Contoso têm recursos nas três regiões: Leste dos EUA, Norte da UE e Oeste do Japão

Tipos de recursos e requisitos de coleção da Contoso

A Contoso precisa coletar eventos das seguintes fontes de dados:

  • Office 365
  • Logs de entrada e auditoria do Microsoft Entra
  • Atividade do Azure
  • Eventos de Segurança do Windows, de fontes locais e de VM do Azure
  • Syslog, de fontes locais e de VM do Azure
  • CEF, de vários dispositivos de rede locais, como Palo Alto, Cisco ASA e Cisco Meraki
  • Vários recursos de PaaS do Azure, como Firewall do Azure, AKS, Cofre da Chave, Armazenamento do Azure e Azure SQL
  • Cisco Umbrella

As VMs do Azure estão localizadas principalmente na região Norte da UE, com apenas algumas no Leste dos EUA e no Oeste do Japão. A Contoso usa o Microsoft Defender para servidores em todas as VMs do Azure.

A Contoso espera ingerir cerca de 300 GB/dia de todas as suas fontes de dados.

Requisitos de acesso da Contoso

O ambiente do Azure da Contoso já tem um único espaço de trabalho existente do Log Analytics usado pela equipe de Operações para monitorar a infraestrutura. Esse espaço de trabalho está localizado no locatário do Microsoft Entra da Contoso, na região Norte da UE, e está sendo usado para coletar logs de VMs do Azure em todas as regiões. Atualmente, ingerem cerca de 50 GB/dia.

A equipe de Operações da Contoso precisa ter acesso a todos os logs que eles têm atualmente no espaço de trabalho, que incluem vários tipos de dados não necessários para o SOC, como Perf, InsightsMetrics, ContainerLog e muito mais. A equipe de operações não deve ter acesso aos novos logs coletados no Microsoft Sentinel.

Solução da Contoso

A solução da Constoso comporta as seguintes considerações:

  • A Contoso já tem um espaço de trabalho existente e gostaria de explorar a habilitação do Microsoft Sentinel nesse mesmo espaço de trabalho.
  • A Contoso tem requisitos regulamentares, portanto, precisamos de pelo menos um espaço de trabalho do Log Analytics habilitado para o Microsoft Sentinel na Europa.
  • A maioria das VMs da Contoso são da região Norte da UE, onde já têm um espaço de trabalho. Portanto, neste caso, os custos de largura de banda não são uma preocupação.
  • A Contoso tem dois locatários diferentes do Microsoft Entra e coleta de fontes de dados no nível do locatário, como o Office 365 e os logs de entrada e auditoria do Microsoft Entra, e precisamos de pelo menos um espaço de trabalho por locatário.
  • A Contoso precisa coletar dados não SOC, embora não haja sobreposição entre dados SOC e não SOC. Além disso, os dados SOC representam aproximadamente 250 GB/dia, portanto, eles devem usar espaços de trabalho separados para a eficiência de custos.
  • A Contoso tem uma única equipe SOC que usará o Microsoft Sentinel, portanto, nenhuma separação extra é necessária.
  • Todos os membros da equipe SOC da Contoso terão acesso a todos os dados, portanto, nenhuma separação extra é necessária.

O design de espaço de trabalho resultante para a Contoso é ilustrado na imagem a seguir:

Diagrama da solução da Contoso, com um espaço de trabalho separado para a equipe de operações.

A solução sugerida inclui:

  • Um espaço de trabalho separado do Log Analytics para a equipe de Operações da Contoso. Esse espaço de trabalho conterá apenas dados que não são necessários para a equipe SOC da Contoso, como as tabelas Perf, InsightsMetrics ou ContainerLog .
  • Dois espaços de trabalho do Log Analytics habilitados para o Microsoft Sentinel, um em cada locatário do Microsoft Entra, para ingerir dados do Office 365, da Atividade do Azure, da ID do Microsoft Entra e de todos os serviços PaaS do Azure.
  • Todos os outros dados, provenientes de fontes de dados locais, podem ser roteados para um dos dois espaços de trabalho.

Amostra 2: Locatário único com várias nuvens

A Fabrikam é uma organização com sede em Nova Iorque e escritórios em todos os Estados Unidos. A Fabrikam está iniciando sua jornada na nuvem e ainda precisa implantar sua primeira zona de aterrissagem do Azure e migrar suas primeiras cargas de trabalho. A Fabrikam já tem algumas cargas de trabalho na AWS, que pretende monitorar usando o Microsoft Sentinel.

Requisitos de arrendamento da Fabrikam

A Fabrikam tem um único locatário do Microsoft Entra.

Conformidade com a Fabrikam e implantação regional

A Fabrikam não tem requisitos de conformidade. A Fabrikam tem recursos em várias regiões do Azure localizadas nos EUA, mas os custos de largura de banda entre regiões não são uma grande preocupação.

Tipos de recursos e requisitos de coleção da Fabrikam

A Fabrikam precisa coletar eventos das seguintes fontes de dados:

  • Logs de entrada e auditoria do Microsoft Entra
  • Atividade do Azure
  • Eventos de Segurança, de fontes locais e de VM do Azure
  • Eventos do Windows, de fontes locais e de VM do Azure
  • Dados de desempenho, de fontes locais e de VM do Azure
  • AWS CloudTrail
  • Auditoria AKS e logs de desempenho

Requisitos de acesso da Fabrikam

A equipe de operações da Fabrikam precisa acessar:

  • Eventos de segurança e eventos do Windows, de fontes locais e de VM do Azure
  • Dados de desempenho, de fontes locais e de VM do Azure
  • Desempenho do AKS (Container Insights) e logs de auditoria
  • Todos os dados de Atividade do Azure

A equipe SOC da Fabrikam precisa acessar:

  • Logs de entrada e auditoria do Microsoft Entra
  • Todos os dados de Atividade do Azure
  • Eventos de segurança, de fontes locais e de VM do Azure
  • Logs do AWS CloudTrail
  • Registos de auditoria AKS
  • O portal completo do Microsoft Sentinel

Solução da Fabrikam

A solução da Fabrikam inclui as seguintes considerações:

  • A Fabrikam não tem espaço de trabalho existente, portanto, eles precisarão automaticamente de um novo espaço de trabalho.

  • A Fabrikam não tem requisitos regulatórios que exijam que os dados sejam separados.

  • A Fabrikam tem um ambiente de locatário único e não precisaria de espaços de trabalho separados por locatário.

  • No entanto, a Fabrikam precisará de espaços de trabalho separados para suas equipes de SOC e Operações.

    A equipe de operações da Fabrikam precisa coletar dados de desempenho, tanto de VMs quanto de AKS. Como o AKS é baseado em configurações de diagnóstico, eles podem selecionar logs específicos para enviar para espaços de trabalho específicos. A Fabrikam pode optar por enviar logs de auditoria AKS para o espaço de trabalho do Log Analytics habilitado para o Microsoft Sentinel e todos os logs do AKS para um espaço de trabalho separado, onde o Microsoft Sentinel não está habilitado. No espaço de trabalho em que o Microsoft Sentinel não está habilitado, a Fabrikam habilitará a solução Container Insights.

    Para VMs do Windows, a Fabrikam pode usar o Agente de Monitoramento do Azure (AMA) para dividir os logs, enviando eventos de segurança para o espaço de trabalho e eventos de desempenho e do Windows para o espaço de trabalho sem o Microsoft Sentinel.

    A Fabrikam opta por considerar seus dados sobrepostos, como eventos de segurança e eventos de atividade do Azure, apenas como dados SOC e envia esses dados para o espaço de trabalho com o Microsoft Sentinel.

  • A Fabrikam precisa controlar o acesso para dados sobrepostos, incluindo eventos de segurança e eventos de atividade do Azure, mas não há nenhum requisito de nível de linha. Como os eventos de segurança e os eventos de atividade do Azure não são logs personalizados, a Fabrikam pode usar o RBAC no nível da tabela para conceder acesso a essas duas tabelas para a equipe de Operações.

O design do espaço de trabalho resultante para a Fabrikam é ilustrado na imagem a seguir, incluindo apenas fontes de log de chaves para simplificar o design:

Diagrama da solução da Fabrikam, com um espaço de trabalho separado para a equipe de operações.

A solução sugerida inclui:

  • Dois espaços de trabalho separados na região dos EUA: um para a equipe SOC com o Microsoft Sentinel habilitado e outro para a equipe de Operações, sem o Microsoft Sentinel.
  • O Agente de Monitoramento do Azure (AMA), usado para determinar quais logs são enviados para cada espaço de trabalho a partir do Azure e de VMs locais.
  • Configurações de diagnóstico, usadas para determinar quais logs são enviados para cada espaço de trabalho a partir de recursos do Azure, como o AKS.
  • Dados sobrepostos sendo enviados para o espaço de trabalho do Log Analytics habilitado para o Microsoft Sentinel, com RBAC no nível de tabela para conceder acesso à equipe de Operações conforme necessário.

Exemplo 3: Vários locatários e regiões e segurança centralizada

A Adventure Works é uma empresa multinacional com sede em Tóquio. A Adventure Works tem 10 subentidades diferentes, sediadas em diferentes países/regiões ao redor do mundo.

A Adventure Works é cliente do Microsoft 365 E5 e já tem cargas de trabalho no Azure.

Requisitos de arrendamento da Adventure Works

A Adventure Works tem três locatários Microsoft Entra diferentes, um para cada um dos continentes onde eles têm subentidades: Ásia, Europa e África. Os países/regiões das diferentes subentidades têm as suas identidades no inquilino do continente a que pertencem. Por exemplo, os usuários japoneses estão no locatário da Ásia, os usuários alemães estão no locatário da Europa e os usuários egípcios estão no locatário da África.

Conformidade com a Adventure Works e requisitos regionais

Atualmente, a Adventure Works usa três regiões do Azure, cada uma alinhada com o continente em que as subentidades residem. A Adventure Works não tem requisitos de conformidade rigorosos.

Tipos de recursos e requisitos de coleção da Adventure Works

A Adventure Works precisa coletar as seguintes fontes de dados para cada subentidade:

  • Logs de entrada e auditoria do Microsoft Entra
  • Logs do Office 365
  • Logs brutos do Microsoft Defender XDR para Endpoint
  • Atividade do Azure
  • Microsoft Defender para a Cloud
  • Recursos de PaaS do Azure, como do Firewall do Azure, Armazenamento do Azure, Azure SQL e Azure WAF
  • Eventos de segurança e janelas de VMs do Azure
  • Logs CEF de dispositivos de rede locais

As VMs do Azure estão espalhadas pelos três continentes, mas os custos de largura de banda não são uma preocupação.

Requisitos de acesso à Adventure Works

A Adventure Works tem uma equipe SOC única e centralizada que supervisiona as operações de segurança para todas as diferentes subentidades.

A Adventure Works também tem três equipas SOC independentes, uma para cada um dos continentes. A equipe SOC de cada continente deve ser capaz de acessar apenas os dados gerados dentro de sua região, sem ver dados de outros continentes. Por exemplo, a equipe de SOC da Ásia só deve acessar dados de recursos do Azure implantados na Ásia, Entradas do Microsoft Entra do locatário da Ásia e logs do Defender for Endpoint do locatário da Ásia.

A equipe SOC de cada continente precisa acessar a experiência completa do portal Microsoft Sentinel.

A equipe de Operações da Adventure Works é executada de forma independente e tem seus próprios espaços de trabalho sem o Microsoft Sentinel.

Solução Adventure Works

A solução Adventure Works inclui as seguintes considerações:

  • A equipa de Operações da Adventure Works já tem os seus próprios espaços de trabalho, pelo que não há necessidade de criar um novo.

  • A Adventure Works não tem requisitos regulatórios que exijam que os dados sejam separados.

  • A Adventure Works tem três locatários do Microsoft Entra e precisa coletar fontes de dados no nível do locatário, como logs do Office 365. Portanto, a Adventure Works deve criar pelo menos um espaço de trabalho do Log Analytics habilitado para o Microsoft Sentinel em cada locatário.

  • Embora todos os dados considerados nesta decisão sejam usados pela equipe SOC da Adventure Works, eles precisam segregar os dados por propriedade, pois cada equipe SOC precisa acessar apenas os dados que são relevantes para essa equipe. Cada equipe SOC também precisa acessar o portal completo do Microsoft Sentinel. A Adventure Works não precisa controlar o acesso aos dados por tabela.

O design de espaço de trabalho resultante para a Adventure Works é ilustrado na imagem a seguir, incluindo apenas fontes de log de chaves por uma questão de simplicidade de design:

Diagrama da solução da Adventure Works, com espaços de trabalho separados para cada locatário do Azure AD.

A solução sugerida inclui:

  • Um espaço de trabalho separado do Log Analytics habilitado para o Microsoft Sentinel para cada locatário do Microsoft Entra. Cada espaço de trabalho coleta dados relacionados ao seu locatário para todas as fontes de dados.
  • A equipe SOC de cada continente tem acesso apenas ao espaço de trabalho em seu próprio locatário, garantindo que apenas os logs gerados dentro do limite do locatário sejam acessíveis por cada equipe SOC.
  • A equipe central do SOC ainda pode operar a partir de um locatário separado do Microsoft Entra, usando o Azure Lighthouse para acessar cada um dos diferentes ambientes do Microsoft Sentinel. Se não houver outro locatário, a equipe central do SOC ainda poderá usar o Azure Lighthouse para acessar os espaços de trabalho remotos.
  • A equipe SOC central também pode criar outro espaço de trabalho se precisar armazenar artefatos que permanecem ocultos das equipes SOC do continente, ou se quiser ingerir outros dados que não sejam relevantes para as equipes SOC do continente.

Próximos passos

Neste artigo, você analisou um conjunto de designs de espaço de trabalho sugeridos para organizações.