Share via

Administre centralmente varias áreas de trabajo de Microsoft Sentinel con el administrador de áreas de trabajo (versión preliminar)

  • Artículo

Aprenda a administrar de forma centralizada varias áreas de trabajo de Microsoft Sentinel dentro de uno o varios inquilinos de Azure con el administrador de áreas de trabajo. En este artículo se explica el aprovisionamiento y el uso del administrador de áreas de trabajo. Tanto si es una empresa global como un proveedor de servicios de seguridad administrada (MSSP), el administrador de áreas de trabajo le ayuda a operar a gran escala de forma eficaz.

Estos son los tipos de contenido activos admitidos con el administrador de áreas de trabajo:

  • Reglas de análisis
  • Reglas de automatización (excepto cuadernos de estrategias)
  • Analizadores, búsquedas guardadas y funciones
  • Consultas de búsqueda y streaming en vivo
  • Workbooks

Importante

La compatibilidad con el administrador de áreas de trabajo se encuentra actualmente en versión preliminar. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.

Requisitos previos

Consideraciones

Configure un área de trabajo central para que sea el entorno en el que se consolidan los elementos de contenido y las configuraciones que se van a publicar a gran escala en áreas de trabajo miembro. Cree un área de trabajo de Microsoft Sentinel o use una existente para actuar como área de trabajo central.

En función de su escenario, tenga en cuenta estas arquitecturas:

  • El vínculo directo es la configuración menos compleja. Controle todas las áreas de trabajo miembro con solo una área de trabajo central.
  • La administración conjunta admite escenarios en los que más de un área de trabajo central necesita administrar un área de trabajo miembro. Por ejemplo, las áreas de trabajo administradas simultáneamente por un equipo de SOC interno y un MSSP.
  • Niveles N admite escenarios complejos en los que un área de trabajo central controla otra área de trabajo central. Por ejemplo, un conglomerado que administra varias subsidiarias, donde cada subsidiaria también administra varias áreas de trabajo.

Diagrama que muestra varias opciones de arquitectura para el administrador de áreas de trabajo en Microsoft Sentinel.

Habilitar el administrador de áreas de trabajo en el área de trabajo central

Habilite el área de trabajo central después de decidir qué área de trabajo de Microsoft Sentinel debe ser el administrador de áreas de trabajo.

  1. Vaya a la hoja Configuración del área de trabajo primaria y marque como Activo el ajuste de configuración del administrador de áreas de trabajo para "Hacer que este espacio de trabajo sea primario".

  2. Una vez habilitado, aparecerá un nuevo menú Administrador de áreas de trabajo (versión preliminar) en Configuración.

    Captura de pantalla que muestra los ajustes de configuración del administrador del área de trabajo. El elemento del menú agregado para el administrador del área de trabajo está resaltado y el botón de alternancia está activado.

Incorporar áreas de trabajo miembro

Las áreas de trabajo del miembro son el conjunto de áreas de trabajo administradas por el administrador de áreas de trabajo. Incorpore algunas o todas las áreas de trabajo en el inquilino y también en varios inquilinos (si Azure Lighthouse está habilitado).

  1. Vaya al administrador de áreas de trabajo y seleccione "Añadir áreas de trabajo". La captura de pantalla muestra el menú Añadir áreas de trabajo.
  2. Seleccione las áreas de trabajo miembro que desea incorporar al administrador del área de trabajo. Captura de pantalla que muestra el menú de selección para agregar áreas de trabajo.
  3. Una vez incorporado correctamente, el número de miembros aumenta y sus áreas de trabajo se reflejan en la pestaña Áreas de trabajo. La captura de pantalla muestra las áreas de trabajo añadidas y el número de miembros incrementado a 2.

Creación de un grupo

Los grupos de administrador de áreas de trabajo permiten organizar áreas de trabajo juntas en función de grupos de negocios, verticales, geografía, etc. Use grupos para emparejar elementos de contenido relevantes para las áreas de trabajo.

Sugerencia

Asegúrese de que tiene al menos un elemento de contenido activo implementado en el área de trabajo central. Esto le permite seleccionar elementos de contenido del área de trabajo central que se publicarán en las áreas de trabajo miembro en los pasos siguientes.

  1. Para crear un grupo:

    • Para agregar una área de trabajo, seleccione Agregar>Grupo.
    • Para agregar varias áreas de trabajo, seleccione las áreas de trabajo y Agregar>grupo desde seleccionados. Captura de pantalla que muestra el menú Agregar grupo.

  2. En la página Crear o actualizar grupo, introduzca un Nombre y una Descripción para el grupo. Captura de pantalla que muestra la página de configuración de creación o actualización del grupo.

  3. En la pestaña Seleccionar áreas de trabajo, seleccione Agregar y seleccione las áreas de trabajo del miembro que desee agregar al grupo.

  4. En la pestaña Seleccionar contenido, tiene dos maneras de agregar elementos de contenido.

    • Método 1: seleccione el menú Agregar y elija Todo el contenido. Se agregará todo el contenido activo implementado actualmente en el área de trabajo central. Esta lista es una instantánea a un momento dado que selecciona solo contenido activo, no plantillas.
    • Método 2: seleccione el menú Agregar y elija Contenido. Se abrirá una ventana Seleccionar contenido para seleccionar el contenido agregado. Captura de pantalla que muestra la selección del contenido del grupo.

  5. Filtre el contenido según sea necesario antes de Revisar y crear.

  6. Una vez creado correctamente, el Número de grupos aumentará y los grupos se reflejarán en la pestaña Grupos.

Publicar la definición del grupo

En este momento, los elementos de contenido seleccionados aún no se han publicado en las áreas de trabajo miembro.

Nota:

Se producirá un error en la acción de publicación si se superan las operaciones de publicación máximas. Considere la posibilidad de dividir áreas de trabajo miembro en grupos adicionales si se aproxima a este límite.

  1. Seleccione el grupo >Publicar contenido.

    Captura de pantalla que muestra la ventana de publicación del grupo.

    Para publicar de forma masiva, seleccione varios grupos deseados y seleccione Publicar. Captura de pantalla que muestra la ventana de publicación de grupos de selección múltiple.

  2. La columna Último estado de la publicación se actualiza para reflejar que está En curso. Captura de pantalla que muestra la columna de progreso de la publicación en varios grupos.

  3. Si se ejecuta correctamente, el Último estado de la publicación se actualiza para reflejar que se ha Realizado correctamente. Los elementos de contenido seleccionados ahora existen en las áreas de trabajo miembro. Captura de pantalla que muestra la última columna publicada con las entradas realizadas con éxito.

    Si solo un elemento de contenido no se pudiera publicar para todo el grupo, el estado de la última publicación se actualizará para reflejar Error.

Solución de problemas

Cada intento de publicación tiene un vínculo para ayudar a solucionar problemas si los elementos de contenido no se pudieran publicar.

  1. Seleccione el hipervínculo Error para abrir la ventana de detalles del error del trabajo. Se muestra un estado para cada elemento de contenido y el par de área de trabajo de destino.

  2. Filtre el estado por pares de elementos con errores.

    Captura de pantalla que muestra los detalles del trabajo de un evento de error de publicación de grupo.

Entre las razones comunes del error se incluyen:

  • Los elementos de contenido a los que se hace referencia en la definición de grupo ya no existen en el momento de la publicación (se han eliminado).
  • Los permisos han cambiado en el momento de la publicación. Por ejemplo, el usuario ya no es colaborador de Microsoft Sentinel o ya no tiene permisos suficientes en el área de trabajo miembro.
  • Se ha eliminado un área de trabajo miembro.

Limitaciones conocidas

  • Las operaciones publicadas máximas por grupo son 2000. Operaciones publicadas = (áreas de trabajo miembro) * (elementos de contenido).
    Por ejemplo, si tiene 10 áreas de trabajo miembro en un grupo y publica 20 elementos de contenido en ese grupo,
    Operaciones publicadas = 10 * 20 = 200.
  • Los cuadernos de estrategias con atributos o asociados a las reglas de análisis y automatización no se admiten actualmente.
  • Los libros almacenados en bring-your-own-storage (BYOS) no se admiten actualmente.
  • El administrador de áreas de trabajo solo administra los elementos de contenido publicados desde el área de trabajo central. No administra el contenido creado localmente a partir de áreas de trabajo miembro.
  • Actualmente, no se admite la eliminación de contenido que resida en áreas de trabajo miembro de forma centralizada a través del administrador de áreas de trabajo.

Referencias de API

Pasos siguientes