قم بتوسيع Microsoft Azure Sentinel عبر مساحات العمل والمستأجرين

عند إلحاق Microsoft Sentinel، فإن خطوتك الأولى عبارة عن تحديد مساحة عمل Log Analytics الخاصة بك. بينما يمكنك الحصول على الفائدة الكاملة من تجربة Microsoft Sentinel مع مساحة عمل واحدة، في بعض الحالات، قد ترغب في توسيع مساحة العمل للاستعلام عن بياناتك وتحليلها عبر مساحات العمل والمستأجرين. لمزيد من المعلومات، راجع تصميم بنية مساحة عمل Log Analytics والاستعداد لمساحات عمل ومستأجرين متعددين في Microsoft Sentinel.

إذا قمت بإلحاق Microsoft Sentinel إلى مدخل Microsoft Defender، فشاهد:

• مساحات عمل Microsoft Sentinel متعددة في مدخل Defender
• إدارة متعددة المستأجرين في Microsoft Defender

إدارة الحوادث على مساحات عمل متعددة

في مداخل Azure وDefender، تسمح لك طريقة عرض الحوادث بإدارة الحوادث ومراقبتها مركزيا عبر مساحات عمل متعددة أو تصفية طريقة العرض حسب مساحة العمل. إدارة الحوادث مباشرة أو التنقل لأسفل بشفافية إلى تفاصيل الحادث في سياق مساحة العمل الأصلية.

إذا كنت تعمل في مدخل Microsoft Azure، فشاهد طريقة عرض أحداث مساحة العمل المتعددة. بالنسبة إلى مدخل Defender، راجع مساحات عمل Microsoft Sentinel المتعددة في مدخل Defender.

الاستعلام عن مساحات عمل متعددة

الاستعلام عن مساحات عمل متعددة للبحث عن البيانات وربطها من مساحات عمل متعددة في استعلام واحد.

• workspace( ) استخدم التعبير، مع معرف مساحة العمل كوسيطة، للإشارة إلى جدول في مساحة عمل مختلفة. استخدم تنسيقات المعرف الصريحة لضمان أفضل أداء. لمزيد من المعلومات، راجع تنسيقات المعرف للاستعلامات عبر مساحة العمل.

• استخدم عامل التشغيل الموحد جنبا إلى جنب مع workspace( ) التعبير لتطبيق استعلام عبر الجداول في مساحات عمل متعددة.

• استخدم الدالات المحفوظة لتبسيط الاستعلامات عبر مساحة العمل. على سبيل المثال، يمكنك تقصير مرجع طويل إلى جدول SecurityEvent في مساحة عمل العميل A عن طريق حفظ التعبير:

  workspace("/subscriptions/<customerA_subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName>").SecurityEvent
  

  كدالة تسمى SecurityEventCustomerA. يمكنك بعد ذلك الاستعلام عن جدول SecurityEvent للعميل A

• يمكن للدالة أيضًا تبسيط اتحاد شائع الاستخدام. على سبيل المثال، يمكنك حفظ التعبير التالي كدالة تسمى unionSecurityEvent:

  union 
  workspace("/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName1>").SecurityEvent, 
  workspace("/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName2>").SecurityEvent
  

  بعد ذلك، اكتب استعلاما عبر كل من مساحات العمل عن طريق البدء ب unionSecurityEvent | where ... .

تظل الاستعلامات عبر مساحة العمل لبيانات Log Analytics خاضعة لقيود Log Analytics.

تضمين استعلامات عبر مساحة العمل في قواعد التحليلات المجدولة

يمكنك تضمين استعلامات عبر مساحة العمل في قواعد التحليلات المجدولة. يمكنك استخدام قواعد التحليلات عبر مساحات العمل في SOC مركزي، وعبر المستأجرين (باستخدام Azure Lighthouse)، المناسب لـ MSSPs. يخضع هذا الاستخدام للقيود التالية:

• يمكنك تضمين ما يصل إلى 20 مساحة عمل في استعلام واحد. ومع ذلك، للحصول على أداء جيد، نوصي بما في ذلك ما لا يزيد عن 5.
• يجب نشر Microsoft Sentinel على كل مساحة عمل مشار إليها في الاستعلام.
• توجد التنبيهات التي تم إنشاؤها بواسطة قاعدة تحليلات عبر مساحة العمل، والحوادث التي تم إنشاؤها منها، فقط في مساحة العمل حيث تم تعريف القاعدة. لن يتم عرض التنبيهات في أي من مساحات العمل الأخرى المشار إليها في الاستعلام.
• ستستمر قاعدة التحليلات عبر مساحات العمل، مثل أي قاعدة تحليلات، في التشغيل حتى إذا فقد المستخدم الذي أنشأ القاعدة الوصول إلى مساحات العمل المشار إليها في استعلام القاعدة. الاستثناء الوحيد لهذا هو في حالة مساحات العمل في اشتراكات و/أو مستأجرين مختلفين عن قاعدة التحليلات.

تحتوي التنبيهات والحوادث التي تم إنشاؤها بواسطة قواعد التحليلات عبر مساحة العمل على جميع الكيانات ذات الصلة، بما في ذلك تلك من جميع مساحات العمل المشار إليها ومساحة العمل "الرئيسية" (حيث تم تعريف القاعدة). بهذه الطريقة، يحصل المحللون على صورة كاملة للتنبيهات والحوادث.

إشعار

قد يؤثر الاستعلام عن مساحات عمل متعددة في نفس الاستعلام على الأداء، وبالتالي يوصى به فقط عندما يتطلب المنطق هذه الوظيفة.

استخدام مصنفات عبر مساحات العمل

توفر المصنفات لوحات المعلومات والتطبيقات إلى Microsoft Sentinel. عند العمل مع مساحات عمل متعددة، توفر المصنفات المراقبة والإجراءات عبر مساحات العمل.

يمكن أن توفر المصنفات استعلامات عبر مساحات العمل بإحدى الطرق الثلاثة، المناسبة لمستويات مختلفة من خبرة المستخدم النهائي:

الطريقة	‏‏الوصف	متي ينبغي الاستخدام؟
كتابة استعلامات عبر مساحة العمل	يمكن لمنشئ المصنف كتابة استعلامات عبر مساحة العمل (الموضحة أعلاه) في المصنف.	أريد منشئ المصنف لإنشاء بنية مساحة عمل شفافة للمستخدم.
إضافة محدد مساحة عمل إلى المصنف	يمكن لمنشئ المصنف تنفيذ محدد مساحة عمل كجزء من المصنف.	أرغب في السماح للمستخدم بالتحكم في مساحات العمل المعروضة في المصنف، باستخدام مربع قائمة منسدلة سهل الاستخدام.
تحرير المصنف بشكل تفاعلي	يمكن لمستخدم متقدم يقوم بتعديل مصنف موجود تحرير الاستعلامات فيه، وتحديد مساحات العمل الهدف باستخدام محدد مساحة العمل في المحرر.	أريد السماح لمستخدم الطاقة بتعديل المصنفات الموجودة بسهولة للعمل مع مساحات عمل متعددة.

البحث عبر مساحات عمل متعددة

توفر Microsoft Sentinel أمثلة استعلام جاهزة مصممة للبدء والتعرف على الجداول ولغة الاستعلام. يضيف باحثو أمان Microsoft باستمرار استعلامات مضمنة جديدة ويضبطون الاستعلامات الموجودة. يمكنك استخدام هذه الاستعلامات للبحث عن اكتشافات جديدة وتحديد علامات الاختراق التي قد تكون أدوات الأمان قد فاتها.

تمكن قدرات التتبع عبر مساحات العمل صيادي التهديدات من إنشاء استعلامات تتبع جديدة، أو تكييف الاستعلامات الموجودة، لتغطية مساحات عمل متعددة، باستخدام عامل التشغيل الموحد وتعبير workspace() كما هو موضح أعلاه.

إدارة مساحات عمل متعددة باستخدام الأتمتة

لتكوين وإدارة مساحات عمل Log Analytics المتعددة الممكنة ل Microsoft Sentinel، تحتاج إلى أتمتة استخدام واجهة برمجة تطبيقات إدارة Microsoft Sentinel.

• تعرف على كيفية أتمتة نشر موارد Microsoft Sentinel، بما في ذلك قواعد التنبيه واستعلامات التتبع والمصنفات ودلائل المبادئ.
• تعرف على كيفية نشر محتوى مخصص من المستودع الخاص بك. يوفر هذا المورد منهجية موحدة لإدارة Microsoft Sentinel كرمز ولنشر الموارد وتكوينها من مستودع Azure DevOps أو GitHub خاص.

إدارة مساحات العمل عبر المستأجرين

في العديد من السيناريوهات، يمكن أن تكون مساحات عمل Log Analytics المختلفة الممكنة ل Microsoft Sentinels موجودة في مستأجري Microsoft Entra مختلفين. يمكنك استخدام Azure Lighthouse لتوسيع جميع أنشطة مساحات العمل عبر حدود المستأجر، ما يسمح للمستخدمين في المستأجر الإداري بالعمل على مساحات العمل عبر جميع المستأجرين.

بمجرد إعداد Azure Lighthouse، استخدم محدد الدليل + الاشتراك على مدخل Microsoft Azure لتحديد جميع الاشتراكات التي تحتوي على مساحات العمل التي تريد إدارتها، من أجل التأكد من توفرها جميعا في محددات مساحة العمل المختلفة في المدخل.

عند استخدام Azure Lighthouse، يوصى بإنشاء مجموعة لكل دور Microsoft Sentinel وتفويض الأذونات من كل مستأجر إلى تلك المجموعات.

إذا كنت تستخدم مدخل Defender، فإن الإدارة متعددة المستأجرين ل Microsoft Defender XDR وMicrosoft Sentinel توفر لفرق عمليات الأمان الخاصة بك طريقة عرض واحدة وموحدة لجميع المستأجرين الذين تديرهم. لمزيد من المعلومات، راجع إدارة متعددة المستأجرين في Microsoft Defender.

المحتويات ذات الصلة

بالنسبة إلى Microsoft Sentinel في مدخل Microsoft Azure، راجع:

• إدارة مستأجرين متعددين في Microsoft Sentinel ك MSSP باستخدام Azure Lighthouse
• العمل مع الحوادث في العديد من مساحات العمل في وقت واحد في مدخل Microsoft Azure

بالنسبة إلى Microsoft Sentinel في مدخل Defender، راجع:

• مساحات عمل Microsoft Sentinel متعددة في مدخل Defender
• إدارة متعددة المستأجرين في Microsoft Defender