Manager de manière centralisée plusieurs espaces de travail Microsoft Sentinel avec le gestionnaire d’espace de travail (Préversion)

Découvrez comment gérer de manière centralisée plusieurs espaces de travail Microsoft Sentinel au sein d’un ou plusieurs tenants Azure avec le gestionnaire d’espaces de travail. Cet article vous guide tout au long de l’approvisionnement et de l’utilisation du gestionnaire d’espaces de travail. Que vous soyez une entreprise mondiale ou un fournisseur de services de sécurité managés (MSSP), le gestionnaire d’espaces de travail vous permet de fonctionner à grande échelle de manière efficace.

Voici les types de contenu actifs pris en charge avec le gestionnaire d’espaces de travail :

• Règles analytiques
• Règles d’automatisation (à l’exception des playbooks)
• Analyseurs, recherches et fonctions enregistrées
• Requêtes de chasse et de livestream
• Workbooks

Important

La prise en charge du gestionnaire d’espace de travail est actuellement en PRÉVERSION. Les Conditions d’utilisation supplémentaires des préversions Microsoft Azure incluent des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou pas encore disponibles dans la version en disponibilité générale.

Prérequis

• Vous devez avoir au moins deux espaces de travail Microsoft Sentinel. Un espace de travail à partir duquel effectuer la gestion et au moins un autre espace de travail à gérer.
• L’attribution du rôle Contributeur Microsoft Sentinel est requise sur l’espace de travail central (sur lequel le gestionnaire d’espaces de travail est activé) et sur le ou les espaces de travail membres que le contributeur doit gérer. En savoir plus sur les rôles dans Microsoft Sentinel, voir Rôles et autorisations Sentinel dans Microsoft Sentinel.
• Activez Azure Lighthouse si vous gérez des espaces de travail sur plusieurs tenants Microsoft Entra. Pour en savoir plus, consultez Gérer des espaces de travail Microsoft Sentinel à grande échelle.

Considérations

Configurez un espace de travail central pour qu’il agisse en tant qu’environnement dans lequel vous consolidez des éléments de contenu et des configurations à publier à grande échelle dans les espaces de travail membres. Créez un espace de travail Microsoft Sentinel ou utilisez-en un existant pour qu’il serve d’espace de travail central.

Selon votre scénario, prenez compte ces architectures :

• La Liaison directe est la configuration la moins complexe. Contrôlez tous les espaces de travail membres en tirant parti d’un seul espace de travail central.
• LaCogestion prend en charge des scénarios dans lesquels plusieurs espaces de travail centraux doivent gérer un espace de travail membre. Par exemple, des espaces de travail gérés simultanément par une équipe SOC interne et un MSSP.
• N-Tier prend en charge des scénarios complexes où un espace de travail central contrôle un autre espace de travail central. Par exemple, un conglomérat qui gère plusieurs filiales, où chacune d’entre elles gère également plusieurs espaces de travail.

Activer le gestionnaire d’espaces de travail sur l’espace de travail central

Activez l’espace de travail central une fois que vous avez choisi l’espace de travail Microsoft Sentinel qui doit servir de gestionnaire d’espaces de travail.

1. Accédez au panneau Paramètres de l’espace de travail parent, puis définissez le bouton situé sous « Faire de cet espace de travail un parent » sur Activé.

2. Une fois activé, un nouveau menu Gestionnaire d’espaces de travail (préversion) s’affiche sous Configuration.

   

Intégrer des espaces de travail membres

Les espaces de travail membres sont l’ensemble d’espaces de travail gérés par le gestionnaire d’espaces de travail. Intégrez tout ou partie des espaces de travail dans le tenant, ainsi que sur plusieurs tenants (si le service Azure Lighthouse est activé).

1. Accédez au gestionnaire d’espaces de travail, puis sélectionnez « Ajouter des espaces de travail »
2. Sélectionnez le ou les espaces de travail membres que vous souhaitez intégrer au gestionnaire d’espaces de travail.
3. Une fois correctement intégrés, le nombre de Membres augmente et vos espaces de travail membres s’affichent sous l’onglet Espaces de travail.

Créer un groupe

Les groupes de gestionnaires d’espaces de travail vous permettent d’organiser des espaces de travail ensemble en fonction de groupes d’entreprises, de secteurs verticaux, de la géographie, etc. Utilisez des groupes pour associer des éléments de contenu pertinents pour les espaces de travail.

Conseil

Vérifiez qu’au moins un élément de contenu actif est déployé dans l’espace de travail central. Cela vous permet de sélectionner des éléments de contenu de l’espace de travail central à publier dans le ou les espaces de travail membres au cours des étapes suivantes.

1. Pour créer un groupe :

   • Pour ajouter un espace de travail, sélectionnez Ajouter>groupe.
   • Pour ajouter plusieurs espaces de travail, sélectionnez les espaces de travail et Ajouter>Groupe sélectionné.

2. Dans la page Créer ou mettre à jour un groupe, entrez un Nom et une Description du groupe.

3. Sous l’onglet Sélectionner des espaces de travail, sélectionnez Ajouter, puis sélectionnez les espaces de travail membres que vous souhaitez ajouter au groupe.

4. Sous l’onglet Sélectionner du contenu, vous disposez de 2 façons d’ajouter des éléments de contenu.

   • Méthode 1 : sélectionnez le menu Ajouter, puis choisissez Tout le contenu. Tout le contenu actif actuellement déployé dans l’espace de travail central est ajouté. Cette liste est un instantané à un point dans le temps qui sélectionne uniquement du contenu actif, pas les modèles.
   • Méthode 2 : sélectionnez le menu Ajouter, puis choisissez Tout le contenu. Une fenêtre Sélectionner un contenu s’ouvre pour sélectionner le contenu ajouté.

5. Filtrez le contenu en fonction des besoins avant de vérifier + créer.

6. Une fois la création terminée, le nombre de groupes augmente et vos groupes s’affichent sous l’onglet Groupes.

Publier la définition de groupe

À ce stade, les éléments de contenu sélectionnés n’ont pas encore été publiés dans les espaces de travail membres.

Remarque

L’action de publication échoue si le nombre maximal d’opérations de publication est dépassé. Envisagez de fractionner les espaces de travail membres en groupes supplémentaires si vous approchez de cette limite.

1. Sélectionnez le groupe >Publication de contenu.

   

   Pour publier en bloc, sélectionnez plusieurs groupes souhaités, puis sélectionnez Publier.

2. La colonne État de la dernière publication se met à jour pour refléter En cours.

3. En cas de réussite, l’État de la dernière publication se met à jour pour refléter Réussite. Les éléments de contenu sélectionnés existent désormais dans les espaces de travail membres.

   Si un seul élément de contenu ne parvient pas à publier pour l’ensemble du groupe, le dernier état de publication est mis à jour pour indiquer Échec.

Dépannage

Chaque tentative de publication comporte un lien pour faciliter la résolution des problèmes en cas d’échec de la publication d’éléments de contenu.

1. Sélectionnez le lien hypertexte Échec pour ouvrir la fenêtre des détails de l’échec du travail. Un état pour chaque élément du contenu et chaque paire d’espaces de travail cibles s’affiche.

2. Filtrez l’état des paires d’éléments ayant échoué.

   

Les raisons usuelles d’un tel échec sont les suivantes :

• Les éléments du contenu référencés dans la définition de groupe n’existent plus au moment de la publication (ont été supprimés).
• Les autorisations ont été modifiées au moment de la publication. Par exemple, l’utilisateur n’est plus Contributeur Microsoft Sentinel ou ne dispose plus des autorisations suffisantes sur l’espace de travail membre.
• Un espace de travail membre a été supprimé.

Limitations connues

• Le nombre maximal d’opérations publiées par groupe est de 2 000. Opérations publiées = (espaces de travail membres) * (éléments de contenu).
  Par exemple, si vous avez 10 espaces de travail membres dans un groupe et que vous publiez 20 éléments de contenu dans ce groupe,
  opérations publiées = 10 * 20 = 200.
• Les playbooks affectés ou attachés à des règles d’analyse et d’automatisation ne sont pas pris en charge actuellement.
• Les classeurs stockés dans BYOS (Apporter votre propre stockage) ne sont actuellement pas pris en charge.
• Le Gestionnaire d’espaces de travail gère uniquement les éléments de contenu publiés à partir de l’espace de travail central. Il ne gère pas le contenu créé localement à partir d’un ou de plusieurs espaces de travail membres.
• Actuellement, la suppression centralisée de contenu résidant dans un ou plusieurs espaces de travail membres via le gestionnaire d’espaces de travail n’est pas prise en charge.

Informations de référence des API

• Travaux d’affectation du Gestionnaire d’espaces de travail
• Affectations du Gestionnaire d’espaces de travail
• Configurations du Gestionnaire d’espaces de travail
• Groupes du Gestionnaire d’espaces de travail
• Membres du Gestionnaire d’espaces de travail

Étapes suivantes

• Gérer plusieurs locataires dans Microsoft Sentinel en tant que MSSP
• Utiliser des incidents Microsoft Sentinel dans plusieurs espaces de travail à la fois
• Protection de la propriété intellectuelle des MSSP dans Microsoft Sentinel