Administrer flere Microsoft Sentinel arbejdsområder centralt med arbejdsområdeadministrator (prøveversion)

  • Gælder for: Microsoft Sentinel in the Azure portal

Få mere at vide om, hvordan du centralt administrerer flere Microsoft Sentinel arbejdsområder i en eller flere Azure lejere med arbejdsområdeadministrator. Denne artikel fører dig gennem klargøring og brug af arbejdsområdeadministrator. Uanset om du er en global virksomhed eller MSSP (Managed Security Services Provider), hjælper arbejdsområdeadministrator dig med at arbejde i stor skala effektivt.

Her er de aktive indholdstyper, der understøttes med arbejdsområdeadministratoren:

  • Analyseregler
  • Automatiseringsregler (undtagen playbooks)
  • Fortolkninger, gemte søgninger og funktioner
  • Jagtforespørgsler
  • Projektmapper

Vigtigt!

Understøttelse af arbejdsområdeadministrator er i øjeblikket i PRØVEVERSION. De supplerende vilkår for Azure prøveversion indeholder yderligere juridiske vilkår, der gælder for Azure funktioner, der er i beta, prøveversion eller på anden måde endnu ikke er offentligt tilgængelige.

Hvis du onboarder Microsoft Sentinel til Microsoft Defender-portalen, skal du se Microsoft Defender multitenant administration.

Forudsætninger

Overvejelser

Konfigurer et centralt arbejdsområde til at være det miljø, hvor du konsoliderer indholdselementer og konfigurationer, der skal publiceres i stor skala til medlemsarbejdsområder. Opret et nyt Microsoft Sentinel arbejdsområde, eller brug et eksisterende arbejdsområde til at fungere som det centrale arbejdsområde.

Afhængigt af dit scenarie skal du overveje disse arkitekturer:

  • Direct-link er den mindst komplekse konfiguration. Kontrollér alle medlemsarbejdsområder med kun ét centralt arbejdsområde.
  • Medadministration understøtter scenarier, hvor mere end ét centralt arbejdsområde skal administrere et medlemsarbejdsområde. Arbejdsområder administreres f.eks. samtidig af et internt SOC-team og en MSSP.
  • N-tier understøtter komplekse scenarier, hvor et centralt arbejdsområde styrer et andet centralt arbejdsområde. Et konglomerat, der administrerer flere datterselskaber, hvor hvert datterselskab også administrerer flere arbejdsområder.

Et diagram, der viser forskellige arkitekturvalg for arbejdsområdeadministratorer i Microsoft Sentinel.

Aktivér arbejdsområdestyring i det centrale arbejdsområde

Aktivér det centrale arbejdsområde, når du har besluttet, hvilket Microsoft Sentinel arbejdsområde der skal være arbejdsområdeadministrator.

  1. Gå til bladet Indstillinger i det overordnede arbejdsområde, og slå konfigurationsindstillingen for arbejdsområdeadministratoren til til "Gør dette arbejdsområde til et overordnet".

  2. Når funktionen er aktiveret, vises en ny menu Styring af arbejdsområde (prøveversion) under Konfiguration.

    Skærmbillede, der viser konfigurationsindstillingerne for arbejdsområdeadministratoren. Det menupunkt, der er tilføjet for arbejdsområdeadministratoren, er fremhævet, og knappen Til/fra er slået til.

Onboarde medlemsarbejdsområder

Medlemsarbejdsområder er det sæt arbejdsområder, der administreres af arbejdsområdeadministratoren. Onboarder nogle eller alle arbejdsområder i lejeren og også på tværs af flere lejere (hvis Azure Lighthouse er aktiveret).

  1. Gå til arbejdsområdeadministratoren, og vælg "Tilføj arbejdsområder" Skærmbillede, der viser menuen Tilføj arbejdsområde.
  2. Vælg det eller de medlemsarbejdsområder, du vil onboarde til arbejdsområdelederen. Skærmbillede, der viser menuen Tilføj valg af arbejdsområde.
  3. Når onboarding er fuldført, øges antallet af medlemmer , og dine medlemsarbejdsområder afspejles på fanen Arbejdsområder . Skærmbillede, der viser de tilføjede arbejdsområder, og antallet af medlemmer er forøget til 2.

Opret en gruppe

Arbejdsområdeadministratorgrupper giver dig mulighed for at organisere arbejdsområder sammen baseret på forretningsgrupper, vertikaler, geografi osv. Brug grupper til at parre indholdselementer, der er relevante for arbejdsområderne.

Tip

Sørg for, at du har installeret mindst ét aktivt indholdselement i det centrale arbejdsområde. Det giver dig mulighed for at vælge indholdselementer fra det centrale arbejdsområde, der skal publiceres i medlemsarbejdsområder i de efterfølgende trin.

  1. Sådan opretter du en gruppe:

    • Hvis du vil tilføje ét arbejdsområde, skal du vælge Tilføj>gruppe.
    • Hvis du vil tilføje flere arbejdsområder, skal du vælge arbejdsområderne og Tilføj>gruppe fra valgt. Skærmbillede, der viser menuen Tilføj gruppe.

  2. Angiv et navn og en beskrivelse for gruppen på siden Opret eller opdater gruppe. Skærmbillede, der viser konfigurationssiden til oprettelse eller opdatering af gruppen.

  3. Under fanen Vælg arbejdsområder skal du vælge Tilføj og vælge de medlemsarbejdsområder, du vil føje til gruppen.

  4. Under fanen Vælg indhold kan du tilføje indholdselementer på to måder.

    • Metode 1: Vælg menuen Tilføj , og vælg Alt indhold. Alt aktivt indhold, der i øjeblikket er installeret i det centrale arbejdsområde, tilføjes. Denne liste er et øjebliksbillede, der kun vælger aktivt indhold, ikke skabeloner.
    • Metode 2: Vælg menuen Tilføj , og vælg Indhold. I vinduet Vælg indhold åbnes der et brugerdefineret vindue, hvor du kan vælge det indhold, der er tilføjet. Skærmbillede, der viser valg af gruppeindhold.

  5. Filtrer indholdet efter behov, før du gennemser + opretter.

  6. Når det er oprettet, øges antallet af grupper , og dine grupper afspejles på fanen Grupper.

Publicer gruppedefinitionen

På nuværende tidspunkt er de indholdselementer, der er valgt, endnu ikke publiceret til medlemsarbejdsområdet eller -arbejdsområderne.

Bemærk!

Publiceringshandlingen mislykkes, hvis det maksimale antal udgivelseshandlinger overskrides. Overvej at opdele medlemsarbejdsområder i yderligere grupper, hvis du nærmer dig denne grænse.

  1. Vælg gruppen >Publicer indhold.

    Skærmbillede, der viser gruppens udgivelsesvindue.

    Hvis du vil masseudgive, skal du markere de ønskede grupper og vælge Publicer. Skærmbillede, der viser vinduet til udgivelse af flere grupper.

  2. Kolonnen Status for seneste udgivelse opdateres for at afspejle Igangværende. Skærmbillede, der viser kolonnen med status for udgivelse af flere grupper.

  3. Hvis det lykkes, vil statusopdateringerne for seneste udgivelse afspejle Lykkedes. De valgte indholdselementer findes nu i medlemsarbejdsområder. Skærmbillede, der viser den senest udgivne kolonne med lykkedes poster.

    Hvis kun ét indholdselement ikke kan publiceres for hele gruppen, opdateres status for seneste udgivelse , der skal afspejles Mislykket.

Fejlfinding

Hvert forsøg på at publicere har et link, der kan hjælpe med fejlfinding, hvis indholdselementer ikke publiceres.

  1. Vælg linket Mislykkedes for at åbne vinduet med oplysninger om jobfejl. Der vises en status for hvert indholdselement og destinationsarbejdsområdepar.

  2. Filtrer status for mislykkede elementpar.

    Skærmbillede, der viser jobdetaljerne for en fejlhændelse for en gruppeudgivelse.

Almindelige årsager til fejl omfatter:

  • Indholdselementer, der refereres til i gruppedefinitionen, findes ikke længere på udgivelsestidspunktet (er blevet slettet).
  • Tilladelserne er ændret på udgivelsestidspunktet. Brugeren er f.eks. ikke længere Microsoft Sentinel bidragyder eller har ikke længere tilstrækkelige tilladelser til medlemsarbejdsområdet.
  • Et medlemsarbejdsområde er blevet slettet.

Kendte begrænsninger

  • Det maksimale antal publicerede handlinger pr. gruppe er 2000. Publicerede handlinger = (medlemsarbejdsområder) * (indholdselementer).
    Hvis du f.eks. har 10 medlemsarbejdsområder i en gruppe, og du publicerer 20 indholdselementer i den pågældende gruppe,
    publicerede handlinger = 10 * 20 = 200.
  • Playbooks, der er knyttet til analyse- og automatiseringsregler, understøttes ikke i øjeblikket.
  • Projektmapper, der er gemt i bring-your-own-storage, understøttes ikke i øjeblikket.
  • Arbejdsområdeadministrator administrerer kun indholdselementer, der er publiceret fra det centrale arbejdsområde. Det administrerer ikke indhold, der er oprettet lokalt ud fra medlemsarbejdsområder.
  • I øjeblikket understøttes sletning af indhold, der findes centralt i medlemsarbejdsområder via arbejdsområdeadministrator, ikke.

API-referencer

Næste trin

  • Last updated on