Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Importante
Después del 31 de marzo de 2027, Microsoft Sentinel ya no se admitirá en el Azure Portal y solo estará disponible en el portal de Microsoft Defender. Todos los clientes que usen Microsoft Sentinel en el Azure Portal se redirigirán al portal de Defender y solo usarán Microsoft Sentinel en el portal de Defender.
Si sigue usando Microsoft Sentinel en el Azure Portal, le recomendamos que empiece a planear la transición al portal de Defender para garantizar una transición sin problemas y aprovechar al máximo la experiencia de operaciones de seguridad unificadas que ofrece Microsoft Defender.
Para preparar la implementación, debe determinar si una arquitectura de varias áreas de trabajo es relevante para su entorno. En este artículo, aprenderá cómo Microsoft Sentinel puede extenderse entre varias áreas de trabajo e inquilinos para que pueda determinar si esta funcionalidad se ajusta a las necesidades de su organización. Este artículo forma parte de la guía de implementación para Microsoft Sentinel.
Use uno de los siguientes conjuntos de instrucciones de instalación, en función del portal que use para ampliar Microsoft Sentinel entre áreas de trabajo:
Necesidad de usar varias áreas de trabajo
Al incorporar Microsoft Sentinel, el primer paso es seleccionar el área de trabajo de Log Analytics. Aunque puede obtener todas las ventajas de la experiencia de Microsoft Sentinel con un único área de trabajo, en algunos casos, es posible que desee ampliar el área de trabajo para consultar y analizar los datos entre áreas de trabajo e inquilinos.
En esta tabla se enumeran algunos de estos escenarios y, cuando sea posible, se sugiere cómo usar una sola área de trabajo para el escenario.
| Requisito | Descripción | Formas de reducir el número de áreas de trabajo |
|---|---|---|
| Soberanía y cumplimiento normativo | Un área de trabajo está asociada a una región específica. Para mantener los datos en diferentes zonas geográficas Azure para satisfacer los requisitos normativos, divida los datos en áreas de trabajo independientes. En Microsoft Sentinel, los datos se almacenan y procesan principalmente en la misma geografía o región, con algunas excepciones, como cuando se usan reglas de detección que aprovechan el aprendizaje automático de Microsoft. En tales casos, los datos se pueden copiar fuera de la geografía del área de trabajo para su procesamiento. |
|
| Propiedad de datos | Los límites de propiedad de los datos, por ejemplo, por las subsidiarias o las empresas afiliadas, se delinean mejor mediante áreas de trabajo independientes. | |
| Varios inquilinos de Azure | Microsoft Sentinel admite la recopilación de datos de los recursos de Microsoft y Azure SaaS solo dentro de su propio límite de inquilino Microsoft Entra. Por lo tanto, cada Microsoft Entra inquilino requiere un área de trabajo independiente. | |
| Control de acceso a datos pormenorizado | Es posible que una organización tenga que permitir que distintos grupos, dentro o fuera de la organización, accedan a algunos de los datos recopilados por Microsoft Sentinel. Por ejemplo:
|
Uso de RBAC de Azure de recursos o nivel de tabla Azure RBAC |
| Configuración de retención pormenorizada | Históricamente, varias áreas de trabajo eran la única manera de establecer diferentes períodos de retención para distintos tipos de datos. Esto ya no es necesario en muchos casos, gracias a la introducción de la configuración de retención de nivel de tabla. | Uso de la configuración de retención de nivel de tabla o automatización de la eliminación de datos |
| Dividir facturación | Al colocar áreas de trabajo en suscripciones independientes, se pueden facturar a distintas partes. | Informes de uso y carga cruzada |
| Arquitectura heredada | El uso de varias áreas de trabajo podría deberse a un diseño histórico que tenga en cuenta las limitaciones o los procedimientos recomendados que ya no se cumplen. También puede ser una opción de diseño arbitraria que se puede modificar para adaptarse mejor a Microsoft Sentinel. Algunos ejemplos son:
|
Rediseñar áreas de trabajo |
Al determinar cuántos inquilinos y áreas de trabajo usar, tenga en cuenta que la mayoría de las características Microsoft Sentinel funcionan mediante un único área de trabajo o Microsoft Sentinel instancia, y Microsoft Sentinel ingiere todos los registros que se hospedan en el área de trabajo.
Proveedor de servicios de seguridad administrados (MSSP)
En el caso de un MSSP, se aplican muchos si no todos los requisitos anteriores, lo que hace que varias áreas de trabajo, entre inquilinos, sean el procedimiento recomendado. En concreto, se recomienda crear al menos un área de trabajo para cada Microsoft Entra inquilino para admitir conectores de datos integrados de servicio a servicio que solo funcionan dentro de su propio inquilino Microsoft Entra.
Los conectores basados en la configuración de diagnóstico no se pueden conectar a un área de trabajo que no se encuentre en el mismo inquilino donde reside el recurso. Esto se aplica a conectores como Azure Firewall, Azure Storage, Azure Activity o Microsoft Entra ID.
Los conectores de datos de asociados a menudo se basan en colecciones de API o agentes y, por lo tanto, no están asociados a un inquilino de Microsoft Entra específico.
Use Azure Lighthouse para ayudar a administrar varias instancias de Microsoft Sentinel en distintos inquilinos.u
Microsoft Sentinel arquitectura de varias áreas de trabajo
Como se indica en los requisitos anteriores, hay casos en los que un único SOC necesita administrar y supervisar de forma centralizada varias áreas de trabajo de Log Analytics habilitadas para Microsoft Sentinel, potencialmente entre Microsoft Entra inquilinos.
- Un servicio de Microsoft Sentinel MSSP.
- Un SOC global que atiende a varias subsidiarias, cada una con su propio SOC local.
- Un SOC que supervisa varios inquilinos Microsoft Entra dentro de una organización.
Para abordar estos casos, Microsoft Sentinel ofrece funcionalidades de varias áreas de trabajo que permiten la supervisión, configuración y administración centrales, lo que proporciona un único panel de cristal en todo lo que cubre el SOC. En este diagrama se muestra una arquitectura de ejemplo para estos casos de uso.
Este modelo ofrece ventajas significativas sobre un modelo totalmente centralizado en el que todos los datos se copian en un único área de trabajo:
- Asignación de roles flexible a los SOC locales y globales, o al MSSP de sus clientes.
- Menos desafíos relacionados con la propiedad de los datos, la privacidad de los datos y el cumplimiento normativo.
- Latencia de red mínima y cargos.
- Fácil incorporación y retirada de nuevas filiales o clientes.
Pasos siguientes
En este artículo, ha aprendido cómo Microsoft Sentinel puede extenderse entre varias áreas de trabajo e inquilinos.