Administración centralizada de varias áreas de trabajo de Microsoft Sentinel con el administrador de áreas de trabajo (versión preliminar)

  • Se aplica a: Microsoft Sentinel in the Azure portal

Obtenga información sobre cómo administrar de forma centralizada varias áreas de trabajo de Microsoft Sentinel dentro de uno o varios inquilinos Azure con el administrador de áreas de trabajo. En este artículo se describe el aprovisionamiento y el uso del administrador del área de trabajo. Tanto si es una empresa global como un proveedor de servicios de seguridad administrados (MSSP), el administrador del área de trabajo le ayuda a operar a escala de forma eficaz.

Estos son los tipos de contenido activos admitidos con el administrador del área de trabajo:

  • Reglas de análisis
  • Reglas de automatización (excepto cuadernos de estrategias)
  • Analizadores, búsquedas guardadas y funciones
  • Consultas de búsqueda
  • Libros

Importante

La compatibilidad con el administrador del área de trabajo está actualmente en VERSIÓN PRELIMINAR. Los términos complementarios de Azure Preview incluyen términos legales adicionales que se aplican a Azure características que están en versión beta, versión preliminar o que aún no se han publicado en disponibilidad general.

Si incorpora Microsoft Sentinel al portal de Microsoft Defender, consulte Microsoft Defender administración multiinquilino.

Requisitos previos

Consideraciones

Configure un área de trabajo central para que sea el entorno en el que se consolidan los elementos de contenido y las configuraciones que se van a publicar a escala en las áreas de trabajo miembro. Cree una nueva Microsoft Sentinel área de trabajo o use una existente para actuar como área de trabajo central.

En función del escenario, tenga en cuenta estas arquitecturas:

  • Direct-link es la configuración menos compleja. Controle todas las áreas de trabajo miembro con un solo área de trabajo central.
  • La administración conjunta admite escenarios en los que más de un área de trabajo central necesita administrar un área de trabajo miembro. Por ejemplo, áreas de trabajo administradas simultáneamente por un equipo de SOC interno y un MSSP.
  • N niveles admite escenarios complejos en los que un área de trabajo central controla otra área de trabajo central. Por ejemplo, un conglomerado que administra varias subsidiarias, donde cada subsidiaria también administra varias áreas de trabajo.

Diagrama que muestra varias opciones de arquitectura para el administrador del área de trabajo en Microsoft Sentinel.

Habilitación del administrador del área de trabajo en el área de trabajo central

Habilite el área de trabajo central una vez que haya decidido qué área de trabajo de Microsoft Sentinel debe ser el administrador del área de trabajo.

  1. Vaya a la hoja Configuración del área de trabajo principal y active la opción De configuración del administrador del área de trabajo como "Convertir este área de trabajo en un elemento primario".

  2. Una vez habilitado, aparece un nuevo menú Administrador de áreas de trabajo (versión preliminar) en Configuración.

    Captura de pantalla que muestra la configuración del administrador del área de trabajo. El elemento de menú agregado para el administrador del área de trabajo está resaltado y el botón de alternancia activado.

Incorporación de áreas de trabajo de miembros

Las áreas de trabajo miembro son el conjunto de áreas de trabajo administradas por el administrador del área de trabajo. Incorpore algunas o todas las áreas de trabajo en el inquilino y en varios inquilinos también (si Azure Lighthouse está habilitado).

  1. Vaya al administrador del área de trabajo y seleccione "Agregar áreas de trabajo" Captura de pantalla que muestra el menú Agregar área de trabajo.
  2. Seleccione las áreas de trabajo miembro que desea incorporar al administrador del área de trabajo. Captura de pantalla que muestra el menú agregar selección de área de trabajo.
  3. Una vez incorporado correctamente, el recuento de miembros aumenta y las áreas de trabajo de miembros se reflejan en la pestaña Áreas de trabajo. Captura de pantalla que muestra las áreas de trabajo agregadas y el recuento de miembros incrementado en 2.

Crear un grupo

Los grupos de administradores de áreas de trabajo le permiten organizar las áreas de trabajo en función de grupos de negocios, verticales, geografía, etc. Use grupos para emparejar elementos de contenido relevantes para las áreas de trabajo.

Sugerencia

Asegúrese de que tiene al menos un elemento de contenido activo implementado en el área de trabajo central. Esto le permite seleccionar elementos de contenido del área de trabajo central que se van a publicar en las áreas de trabajo miembro en los pasos siguientes.

  1. Para crear un grupo:

    • Para agregar un área de trabajo, seleccione Agregar>grupo.
    • Para agregar varias áreas de trabajo, seleccione las áreas de trabajo y Agregar>grupo de seleccionada. Captura de pantalla que muestra el menú Agregar grupo.

  2. En la página Crear o actualizar grupo , escriba un nombre y una descripción para el grupo. Captura de pantalla que muestra la página de configuración de creación o actualización del grupo.

  3. En la pestaña Seleccionar áreas de trabajo , seleccione Agregar y seleccione las áreas de trabajo miembro que desea agregar al grupo.

  4. En la pestaña Seleccionar contenido , tiene dos maneras de agregar elementos de contenido.

    • Método 1: seleccione el menú Agregar y elija Todo el contenido. Se agrega todo el contenido activo implementado actualmente en el área de trabajo central. Esta lista es una instantánea a un momento dado que selecciona solo el contenido activo, no las plantillas.
    • Método 2: seleccione el menú Agregar y elija Contenido. Se abre una ventana Seleccionar contenido para seleccionar el contenido agregado de forma personalizada. Captura de pantalla que muestra la selección de contenido del grupo.

  5. Filtre el contenido según sea necesario antes de revisar y crear.

  6. Una vez creado, el recuento de grupos aumenta y los grupos se reflejan en la pestaña Grupos.

Publicación de la definición de grupo

En este momento, los elementos de contenido seleccionados aún no se han publicado en las áreas de trabajo miembro.

Nota:

Se producirá un error en la acción de publicación si se superan las operaciones de publicación máximas . Considere la posibilidad de dividir áreas de trabajo de miembros en grupos adicionales si se acerca a este límite.

  1. Seleccione el grupo >Publicar contenido.

    Captura de pantalla que muestra la ventana de publicación del grupo.

    Para publicar de forma masiva, seleccione los grupos deseados y seleccione Publicar. Captura de pantalla que muestra la ventana de publicación de grupos seleccionados múltiples.

  2. La columna Estado de la última publicación se actualiza para reflejar En curso. Captura de pantalla que muestra la columna de progreso de publicación de varios grupos.

  3. Si se ejecuta correctamente, el estado De última publicación se actualiza para reflejar Correcto. Los elementos de contenido seleccionados ahora existen en las áreas de trabajo miembro. Captura de pantalla que muestra la última columna publicada con entradas que se realizaron correctamente.

    Si solo un elemento de contenido no se puede publicar para todo el grupo, el último estado de publicación se actualiza para reflejar el error.

Solución de problemas

Cada intento de publicación tiene un vínculo para ayudar a solucionar problemas si los elementos de contenido no se pueden publicar.

  1. Seleccione el hipervínculo Error para abrir la ventana de detalles del error del trabajo. Se muestra un estado para cada elemento de contenido y par de área de trabajo de destino.

  2. Filtre el estado de los pares de elementos con errores.

    Captura de pantalla que muestra los detalles del trabajo de un evento de error de publicación de grupo.

Entre las razones comunes del error se incluyen las siguientes:

  • Los elementos de contenido a los que se hace referencia en la definición de grupo ya no existen en el momento de la publicación (se han eliminado).
  • Los permisos han cambiado en el momento de la publicación. Por ejemplo, el usuario ya no es un colaborador Microsoft Sentinel o ya no tiene permisos suficientes en el área de trabajo miembro.
  • Se ha eliminado un área de trabajo de miembro.

Limitaciones conocidas

  • El número máximo de operaciones publicadas por grupo es 2000. Operaciones publicadas = (áreas de trabajo miembro) * (elementos de contenido).
    Por ejemplo, si tiene 10 áreas de trabajo miembro en un grupo y publica 20 elementos de contenido en ese grupo,
    operaciones = publicadas10 * 20 = 200.
  • Los cuadernos de estrategias que se atribuyen o adjuntan a las reglas de análisis y automatización no se admiten actualmente.
  • Actualmente no se admiten los libros almacenados en bring-your-own-storage.
  • El administrador del área de trabajo solo administra los elementos de contenido publicados desde el área de trabajo central. No administra el contenido creado localmente a partir de áreas de trabajo miembro.
  • Actualmente, no se admite la eliminación de contenido que resida en áreas de trabajo miembro de forma centralizada a través del administrador del área de trabajo.

Referencias de API

Pasos siguientes

  • Last updated on