Zentrales Verwalten mehrerer Microsoft Sentinel Arbeitsbereiche mit dem Arbeitsbereichs-Manager (Vorschau)

Erfahren Sie, wie Sie mehrere Microsoft Sentinel Arbeitsbereiche innerhalb eines oder mehrerer Azure Mandanten mit dem Arbeitsbereichs-Manager zentral verwalten. Dieser Artikel führt Sie durch die Bereitstellung und Verwendung des Arbeitsbereichs-Managers. Unabhängig davon, ob Sie ein globales Unternehmen oder ein Managed Security Services Provider (MSSP) sind, hilft Ihnen der Arbeitsbereichs-Manager dabei, effizient im großen Stil zu arbeiten.

Hier sind die aktiven Inhaltstypen aufgeführt, die vom Arbeitsbereichs-Manager unterstützt werden:

• Analyseregeln
• Automatisierungsregeln (ohne Playbooks)
• Parser, gespeicherte Suchvorgänge und Funktionen
• Hunting-Abfragen
• Arbeitsmappen

Wichtig

Die Unterstützung für Arbeitsbereichs-Manager befindet sich derzeit in der VORSCHAU. Die zusätzlichen Azure-Vorschaubedingungen enthalten zusätzliche rechtliche Bestimmungen, die für Azure Features gelten, die sich in der Betaversion, Vorschauversion oder anderweitig noch nicht in der allgemeinen Verfügbarkeit befinden.

Wenn Sie Microsoft Sentinel in das Microsoft Defender-Portal integrieren, lesen Sie Microsoft Defender mehrinstanzenfähige Verwaltung.

Voraussetzungen

• Sie benötigen mindestens zwei Microsoft Sentinel Arbeitsbereiche. Ein Arbeitsbereich, von dem aus verwaltet werden soll, und mindestens ein anderer Arbeitsbereich, der verwaltet werden soll.
• Die Microsoft Sentinel Rollenzuweisung Mitwirkender ist für den zentralen Arbeitsbereich (für den der Arbeitsbereichs-Manager aktiviert ist) und für die Mitgliedsarbeitsbereiche erforderlich, die der Mitwirkender verwalten muss. Weitere Informationen zu Rollen in Microsoft Sentinel finden Sie unter Rollen und Berechtigungen in Microsoft Sentinel.
• Aktivieren Sie Azure Lighthouse, wenn Sie Arbeitsbereiche über mehrere Microsoft Entra Mandanten hinweg verwalten. Weitere Informationen finden Sie unter Verwalten von Microsoft Sentinel Arbeitsbereichen im großen Stil.

Überlegungen

Konfigurieren Sie einen zentralen Arbeitsbereich als Umgebung, in der Sie Inhaltselemente und Konfigurationen konsolidieren, die im großen Stil in Mitgliedsarbeitsbereichen veröffentlicht werden sollen. Erstellen Sie einen neuen Microsoft Sentinel Arbeitsbereich, oder verwenden Sie einen vorhandenen Arbeitsbereich, um als zentraler Arbeitsbereich zu dienen.

Berücksichtigen Sie je nach Szenario die folgenden Architekturen:

• Direct Link ist die am wenigsten komplexe Einrichtung. Steuern Sie alle Mitgliedsarbeitsbereiche mit nur einem zentralen Arbeitsbereich.
• Die Co-Verwaltung unterstützt Szenarien, in denen mehr als ein zentraler Arbeitsbereich einen Mitgliedsarbeitsbereich verwalten muss. Beispielsweise Arbeitsbereiche, die gleichzeitig von einem internen SOC-Team und einem MSSP verwaltet werden.
• N-Schicht unterstützt komplexe Szenarien, in denen ein zentraler Arbeitsbereich einen anderen zentralen Arbeitsbereich steuert. Beispielsweise ein Konglomerat, das mehrere Tochtergesellschaften verwaltet, wobei jede Tochtergesellschaft auch mehrere Arbeitsbereiche verwaltet.

Aktivieren des Arbeitsbereichs-Managers für den zentralen Arbeitsbereich

Aktivieren Sie den zentralen Arbeitsbereich, nachdem Sie entschieden haben, welcher Microsoft Sentinel Arbeitsbereich der Arbeitsbereichs-Manager sein soll.

1. Navigieren Sie im übergeordneten Arbeitsbereich zum Blatt Einstellungen , und schalten Sie In der Konfigurationseinstellung des Arbeitsbereichs-Managers auf "Diesen Arbeitsbereich als übergeordnetes Element festlegen" ein.

2. Nach der Aktivierung wird unter Konfiguration ein neues Menü Arbeitsbereichs-Manager (Vorschau) angezeigt.

   

Onboarding von Mitgliedsarbeitsbereichen

Mitgliederarbeitsbereiche sind die Vom Arbeitsbereichs-Manager verwalteten Arbeitsbereiche. Integrieren Sie einige oder alle Arbeitsbereiche im Mandanten und auch über mehrere Mandanten hinweg (wenn Azure Lighthouse aktiviert ist).

1. Navigieren Sie zum Arbeitsbereichs-Manager, und wählen Sie "Arbeitsbereiche hinzufügen"
2. Wählen Sie die Mitgliedsarbeitsbereiche aus, die Sie in den Arbeitsbereichs-Manager integrieren möchten.
3. Nach dem erfolgreichen Onboarding steigt die Anzahl der Mitglieder , und Ihre Mitgliedsarbeitsbereiche werden auf der Registerkarte Arbeitsbereiche angezeigt.

Erstellen einer Gruppe

Arbeitsbereichs-Manager-Gruppen ermöglichen es Ihnen, Arbeitsbereiche basierend auf Geschäftsgruppen, Branchen, Geografie usw. zusammen zu organisieren. Verwenden Sie Gruppen, um Inhaltselemente zu koppeln, die für die Arbeitsbereiche relevant sind.

Tipp

Stellen Sie sicher, dass mindestens ein aktives Inhaltselement im zentralen Arbeitsbereich bereitgestellt ist. Auf diese Weise können Sie Inhaltselemente aus dem zentralen Arbeitsbereich auswählen, die in den nachfolgenden Schritten in den Mitgliedsarbeitsbereichen veröffentlicht werden sollen.

1. So erstellen Sie eine Gruppe:

   • Um einen Arbeitsbereich hinzuzufügen, wählen SieGruppehinzufügen> aus.
   • Wenn Sie mehrere Arbeitsbereiche hinzufügen möchten, wählen Sie die Arbeitsbereiche und dann Gruppe hinzufügen>aus aus.

2. Geben Sie auf der Seite Gruppe erstellen oder aktualisieren einen Namen und eine Beschreibung für die Gruppe ein.

3. Wählen Sie auf der Registerkarte Arbeitsbereiche auswählendie Option Hinzufügen aus, und wählen Sie die Mitgliedsarbeitsbereiche aus, die Sie der Gruppe hinzufügen möchten.

4. Auf der Registerkarte Inhalt auswählen stehen Ihnen zwei Möglichkeiten zum Hinzufügen von Inhaltselementen zur Verfügung.

   • Methode 1: Wählen Sie das Menü Hinzufügen und dann Alle Inhalte aus. Alle aktiven Inhalte, die derzeit im zentralen Arbeitsbereich bereitgestellt werden, werden hinzugefügt. Diese Liste ist eine Point-in-Time-Momentaufnahme, die nur aktive Inhalte und keine Vorlagen auswählt.
   • Methode 2: Wählen Sie das Menü Hinzufügen und dann Inhalt aus. Ein Fenster Inhalt auswählen wird geöffnet, um den hinzugefügten Inhalt auszuwählen.

5. Filtern Sie den Inhalt nach Bedarf, bevor Sie Überprüfen und erstellen.

6. Nach der Erstellung erhöht sich die Gruppenanzahl , und Ihre Gruppen werden auf der Registerkarte Gruppen angezeigt.

Veröffentlichen der Gruppendefinition

Zu diesem Zeitpunkt wurden die ausgewählten Inhaltselemente noch nicht in den Arbeitsbereichen der Mitglieder veröffentlicht.

Hinweis

Die Veröffentlichungsaktion schlägt fehl, wenn die maximalen Veröffentlichungsvorgänge überschritten werden. Erwägen Sie, Mitgliedsarbeitsbereiche in zusätzliche Gruppen aufzuteilen, wenn Sie sich diesem Grenzwert nähern.

1. Wählen Sie die Gruppe >Inhalt veröffentlichen aus.

   

   Wählen Sie für die Massenveröffentlichung die gewünschten Gruppen mehrfach aus, und wählen Sie Veröffentlichen aus.

2. Die Spalte Letzte Veröffentlichung status Spaltenaktualisierungen, die in Bearbeitung angezeigt werden.

3. Wenn dies erfolgreich ist, status die letzten Veröffentlichungsupdates erfolgreich angezeigt werden. Die ausgewählten Inhaltselemente sind jetzt in den Mitgliedsarbeitsbereichen vorhanden.

   Wenn nur ein Inhaltselement für die gesamte Gruppe nicht veröffentlicht werden kann, status Aktualisierungen fehler aufgetreten sind.

Problembehandlung

Jeder Veröffentlichungsversuch verfügt über einen Link zur Problembehandlung, wenn Inhaltselemente nicht veröffentlicht werden können.

1. Wählen Sie den Link Fehler aus , um das Fenster Details zu Auftragsfehlern zu öffnen. Ein status für jedes Inhaltselement- und Zielarbeitsbereichspaar wird angezeigt.

2. Filtern Sie den Status nach fehlerhaften Elementpaaren.

   

Häufige Fehlerursachen sind:

• Inhaltselemente, auf die in der Gruppendefinition verwiesen wird, sind zum Zeitpunkt der Veröffentlichung nicht mehr vorhanden (wurden gelöscht).
• Die Berechtigungen haben sich zum Zeitpunkt der Veröffentlichung geändert. Beispielsweise ist der Benutzer kein Microsoft Sentinel Mitwirkender mehr oder verfügt nicht mehr über ausreichende Berechtigungen für den Mitgliedsarbeitsbereich.
• Ein Mitgliedsarbeitsbereich wurde gelöscht.

Bekannte Einschränkungen

• Die maximale Anzahl veröffentlichter Vorgänge pro Gruppe beträgt 2.000. Veröffentlichte Vorgänge = (Mitgliederarbeitsbereiche) * (Inhaltselemente).
  Wenn Sie beispielsweise über 10 Mitgliederarbeitsbereiche in einer Gruppe verfügen und 20 Inhaltselemente in dieser Gruppe veröffentlichen,
  veröffentlichte Vorgänge = 10 * 20 = 200.
• Playbooks, die Analyse- und Automatisierungsregeln zugeordnet oder zugeordnet sind, werden derzeit nicht unterstützt.
• Arbeitsmappen, die in Bring-Your-Own-Storage gespeichert sind, werden derzeit nicht unterstützt.
• Der Arbeitsbereichs-Manager verwaltet nur Inhaltselemente, die aus dem zentralen Arbeitsbereich veröffentlicht werden. Inhalte, die lokal aus Mitgliedsarbeitsbereichen erstellt wurden, werden nicht verwaltet.
• Derzeit wird das Löschen von Inhalten, die sich zentral in Mitgliedsarbeitsbereichen befinden, über den Arbeitsbereichs-Manager nicht unterstützt.

API-Referenzen

• Arbeitsbereichs-Manager-Zuweisungsaufträge
• Arbeitsbereichs-Manager-Zuweisungen
• Arbeitsbereichs-Manager-Konfigurationen
• Arbeitsbereichs-Manager-Gruppen
• Arbeitsbereichs-Manager-Mitglieder

Nächste Schritte

• Verwalten mehrerer Mandanten in Microsoft Sentinel als MSSP
• Gleichzeitiges Arbeiten mit Microsoft Sentinel Incidents in vielen Arbeitsbereichen
• Schutz des geistigen Eigentums von MSSP in Microsoft Sentinel