Zentrales Verwalten mehrerer Microsoft Sentinel-Arbeitsbereiche mit dem Arbeitsbereichs-Manager (Vorschau)

Erfahren Sie, wie Sie mehrere Microsoft Sentinel-Arbeitsbereiche innerhalb eines oder mehrerer Azure-Mandanten mit dem Arbeitsbereichs-Manager zentral verwalten können. Dieser Artikel führt Sie durch die Bereitstellung und Verwendung des Arbeitsbereichs-Managers. Gleich, ob Sie ein globales Unternehmen oder ein Managed Security Services Provider (MSSP) sind: Der Arbeitsbereichs-Manager unterstützt Sie dabei, effizient im großen Stil zu arbeiten.

Die Folgenden aktiven Inhaltstypen werden vom Arbeitsbereichs-Manager unterstützt:

• Analyseregeln
• Automatisierungsregeln (mit Ausnahme von Playbooks)
• Parser, gespeicherte Suchvorgänge und Funktionen
• Hunting- und Livestreamabfragen
• Arbeitsmappen

Wichtig

Unterstützung für den Arbeitsbereichs-Manager befindet sich derzeit in der Vorschauphase. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Voraussetzungen

• Sie benötigen mindestens zwei Microsoft Sentinel-Arbeitsbereiche: einen, von dem aus verwaltet werden soll, und mindestens einen weiteren, der verwaltet werden soll.
• Die Zuweisung der Rolle „Microsoft Sentinel-Mitwirkender“ ist für den zentralen Arbeitsbereich (in dem der Arbeitsbereichs-Manager aktiviert ist) sowie für den oder die Mitgliedsarbeitsbereiche erforderlich, die der Mitwirkender verwalten muss. Weitere Informationen über Rollen in Microsoft Sentinel erhalten Sie unter Rollen und Berechtigungen in Microsoft Sentinel.
• Aktivieren Sie Azure Lighthouse, wenn Sie Arbeitsbereiche mehrere Microsoft Entra-Mandanten übergreifend verwalten. Weitere Informationen finden Sie unter Verwalten von Microsoft Sentinel-Arbeitsbereichen im großen Stil.

Überlegungen

Konfigurieren Sie einen zentralen Arbeitsbereich als Umgebung, in der Sie Inhaltselemente und Konfigurationen konsolidieren, die im großen Stil in Mitgliedsarbeitsbereichen veröffentlicht werden sollen. Erstellen Sie einen neuen Microsoft Sentinel-Arbeitsbereich, oder verwenden Sie einen vorhandenen, der als zentraler Arbeitsbereich dienen soll.

Ziehen Sie je nach Szenario die folgenden Architekturen in Erwägung:

• Direct Link: Dies das am wenigsten komplexe Setup. Steuern Sie alle Mitgliederarbeitsbereiche mit nur einem zentralen Arbeitsbereich.
• Co-Verwaltung: Diese Architektur unterstützt Szenarien, in denen mehrere zentrale Arbeitsbereiche einen Mitgliedsarbeitsbereich verwalten müssen. Beispielsweise werden Arbeitsbereiche gleichzeitig von einem internen SOC-Team und einem MSSP (Managed Security Services Provider) verwaltet.
• N-Tier: Diese Architektur unterstützt komplexe Szenarien, in denen ein zentraler Arbeitsbereich einen anderen zentralen Arbeitsbereich steuert. Dabei kann es sich beispielsweise um ein Großkonzern handeln, das mehrere Tochtergesellschaften verwaltet, wobei jede dieser Gesellschaften selbst mehrere Arbeitsbereiche verwaltet.

Aktivieren des Arbeitsbereichs-Managers im zentralen Arbeitsbereich

Aktivieren Sie den zentralen Arbeitsbereich, nachdem Sie entschieden haben, welcher Microsoft Sentinel-Arbeitsbereich der Arbeitsbereichs-Manager sein soll.

1. Navigieren Sie im übergeordneten Arbeitsbereich zum Blatt Einstellungen, und schalten Sie in der Konfigurationseinstellung des Arbeitsbereichs-Managers den Schalter für die Option „Diesen Arbeitsbereich zum übergeordneten Arbeitsbereich machen“ auf Ein.

2. Nach der Aktivierung wird unter Konfiguration ein neues Menü Arbeitsbereichsmanager (Vorschau) angezeigt.

   

Durchführen des Onboardings von Mitgliedsarbeitsbereichen

Mitgliedsarbeitsbereiche sind die Menge der Arbeitsbereiche, die vom Arbeitsbereichsmanager verwaltet werden. Führen Sie ein Onboarding für einige oder alle Arbeitsbereiche im Mandanten und ebenfalls über mehrere Mandanten hinweg durch (sofern Azure Lighthouse aktiviert ist).

1. Navigieren Sie zum Arbeitsbereichs-Manager und wählen Sie „Arbeitsbereich hinzufügen“ aus.
2. Wählen Sie den oder die Mitgliedsarbeitsbereiche aus, für die Sie das Onboarding in den Arbeitsbereichs-Manager durchführen möchten.
3. Nachdem das Onboarding erfolgreich durchgeführt wurde, erhöht sich die Anzahl der Mitglieder, und Ihre Mitgliedsarbeitsbereiche werden in der Registerkarte Arbeitsbereiche angezeigt.

Erstellen einer Gruppe

Arbeitsbereichs-Manager-Gruppen ermöglichen es Ihnen, Arbeitsbereiche basierend auf Unternehmensgruppen, Branchen, Geografie usw. zu organisieren. Verwenden Sie Gruppen, um Inhaltselemente zu koppeln, die für die Arbeitsbereiche relevant sind.

Tipp

Stellen Sie sicher, dass mindestens ein aktives Inhaltselement im zentralen Arbeitsbereich bereitgestellt ist. Dadurch können Sie Inhaltselemente aus dem zentralen Arbeitsbereich auswählen, die in den folgenden Schritten in dem oder den Mitgliedsarbeitsbereichen veröffentlicht werden sollen.

1. So erstellen Sie eine Gruppe:

   • Um einen Arbeitsbereich hinzuzufügen, wählen SieHinzufügen>Gruppe aus.
   • Um mehrere Arbeitsbereiche hinzuzufügen, wählen Sie die Hinzufügen>Ausgewählte gruppieren aus.

2. Geben Sie auf der Seite Gruppe erstellen oder aktualisieren den Namen und die Beschreibung der neuen Gruppe ein.

3. Wählen Sie auf der Registerkarte Arbeitsbereiche auswählen die Option Hinzufügen aus, und wählen Sie die Mitgliedsarbeitsbereiche aus, die Sie zur Gruppe hinzufügen wollen.

4. Auf der Registerkarte Inhalt auswählen stehen Ihnen zwei Möglichkeiten zum Hinzufügen von Inhaltselementen zur Verfügung.

   • Methode 1: Wählen Sie das Menü Hinzufügen und dann Alle Inhalte aus. Alle aktiven Inhalte, die derzeit im zentralen Arbeitsbereich bereitgestellt sind, werden hinzugefügt. Diese Liste ist eine Point-in-Time-Momentaufnahme, die nur aktive Inhalte und keine Vorlagen auswählt.
   • Methode 2: Wählen Sie das Menü Hinzufügen und dann Inhalte aus. Ein Fenster Inhalt auswählen wird geöffnet, um den hinzuzufügenden Inhalt anzupassen.

5. Filtern Sie den Inhalt nach Bedarf, bevor Sie überprüfen und erstellen.

6. Nach der Erstellung erhöht sich die Anzahl der Gruppen, und sie werden auf der Registerkarte „Gruppen“ angezeigt.

Veröffentlichen der Gruppendefinition

Bis zu diesem Zeitpunkt wurden die ausgewählten Inhaltselemente noch nicht in dem oder den Mitgliedsarbeitsbereichen veröffentlicht.

Hinweis

Die Aktion „veröffentlichen“ schlägt fehl, wenn die maximalen Veröffentlichungsvorgänge überschritten werden. Erwägen Sie, Mitgliedsarbeitsbereiche in zusätzliche Gruppen aufzuteilen, wenn Sie sich diesem Grenzwert nähern.

1. Wählen Sie die Gruppe >Inhalt veröffentlichen aus.

   

   Für eine Massenveröffentlichung wählen Sie alle gewünschten Gruppen gleichzeitig aus und wählen dann Veröffentlichen aus.

2. Die Spalte Status „Letzte Veröffentlichung“ wird aktualisiert und zeigt nun In Bearbeitung an.

3. Wenn der Vorgang erfolgreich war, wird der Status „Letzte Veröffentlichung“ entsprechend auf Erfolgreich geändert. Die ausgewählten Inhaltselemente sind jetzt in den Mitgliedsarbeitsbereichen vorhanden.

   Wenn nur ein Inhaltselement für die gesamte Gruppe nicht veröffentlicht werden kann, wird der Letzte veröffentlichte Status auf Fehler aktualisiert.

Problembehandlung

Jeder Veröffentlichungsversuch verfügt über einen Link, der bei der Problembehandlung hilft, wenn Inhaltselemente nicht veröffentlicht werden können.

1. Wählen Sie den Fehler-Link aus, um das Fenster mit den Details zum Auftragsfehler zu öffnen. Es wird ein Status für jedes Inhaltselement- und Zielarbeitsbereichspaar angezeigt.

2. Filtern Sie den Status nach fehlerhaften Elementpaaren.

   

Der Fehler kann folgende allgemeine Ursachen haben:

• Inhaltselemente, auf die in der Gruppendefinition verwiesen wird, sind zum Zeitpunkt der Veröffentlichung nicht mehr vorhanden (wurden gelöscht).
• Berechtigungen wurden zum Zeitpunkt der Veröffentlichung geändert. Beispielsweise ist der Benutzer kein Microsoft Sentinel-Mitwirkender mehr oder verfügt nicht mehr über ausreichende Berechtigungen für den Mitgliedsarbeitsbereich.
• Ein Mitgliedsarbeitsbereich wurde gelöscht.

Bekannte Einschränkungen

• Die maximale Anzahl veröffentlichter Vorgänge pro Gruppe beträgt 2000. Veröffentlichte Vorgänge = (Mitgliedsarbeitsbereiche) * (Inhaltselemente).
  Wenn Sie beispielsweise über 10 Mitgliederarbeitsbereiche in einer Gruppe verfügen und 20 Inhaltselemente in dieser Gruppe veröffentlichen,
  veröffentlichte Vorgänge = 10 * 20 = 200.
• Playbooks, die Analyse- und Automatisierungsregeln zugeordnet oder zugeordnet sind, werden derzeit nicht unterstützt.
• Workbooks, die im Bring Your Own Storage (BYOS) gespeichert sind, werden derzeit nicht unterstützt.
• Der Arbeitsbereichs-Manager verwaltet nur Inhaltselemente, die vom zentralen Arbeitsbereich veröffentlicht werden. Inhalte, die lokal aus Mitgliedsarbeitsbereichen erstellt wurden, werden nicht verwaltet.
• Derzeit wird das Löschen von Inhalten, die sich zentral in Mitgliedsarbeitsbereichen befinden, mithilfe des Arbeitsbereichs-Manager nicht unterstützt.

API-Referenzen

• Arbeitsbereichs-Manager-Zuweisungsaufträge
• Arbeitsbereichs-Manager-Zuweisungen
• Arbeitsbereichs-Manager-Konfigurationen
• Arbeitsbereichs-Manager-Gruppen
• Arbeitsbereichs-Manager-Mitglieder

Nächste Schritte

• Verwalten mehrerer Mandanten in Microsoft Sentinel als MSSP
• Gleichzeitiges Arbeiten mit Microsoft Sentinel-Vorfällen in vielen Arbeitsbereichen
• Schutz des geistigen Eigentums von MSSP in Microsoft Sentinel