Mengelola beberapa ruang kerja Microsoft Azure Sentinel secara terpusat dengan manajer ruang kerja (Pratinjau)

• Berlaku untuk:

  Microsoft Sentinel in the Azure portal

Pelajari cara mengelola beberapa ruang kerja Microsoft Azure Sentinel secara terpusat dalam satu atau beberapa penyewa Azure dengan manajer ruang kerja. Artikel ini membawa Anda melalui provisi dan penggunaan manajer ruang kerja. Baik Anda perusahaan global atau Penyedia Layanan Keamanan Terkelola (MSSP), manajer ruang kerja membantu Anda beroperasi dalam skala yang efisien.

Berikut adalah jenis konten aktif yang didukung dengan manajer ruang kerja:

• Aturan analitik
• Aturan automasi (tidak termasuk Playbook)
• Pengurai, Pencarian dan Fungsi Tersimpan
• Kueri Berburu dan Livestream
• Buku kerja

Penting

Dukungan untuk manajer ruang kerja saat ini dalam PRATINJAU. Ketentuan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.

Jika Anda melakukan onboard microsoft Sentinel ke portal Pertahanan Microsoft, lihat Manajemen multipenyewa Pertahanan Microsoft.

Prasyarat

• Anda memerlukan setidaknya dua ruang kerja Microsoft Azure Sentinel. Satu ruang kerja untuk dikelola dari dan setidaknya satu ruang kerja lain yang akan dikelola.
• Penetapan peran Kontributor Microsoft Sentinel diperlukan di ruang kerja pusat (tempat manajer ruang kerja diaktifkan), dan pada ruang kerja anggota yang perlu dikelola kontributor. Untuk mempelajari selengkapnya tentang peran di Microsoft Azure Sentinel, lihat Peran dan izin di Microsoft Azure Sentinel.
• Aktifkan Azure Lighthouse jika Anda mengelola ruang kerja di beberapa penyewa Microsoft Entra. Untuk mempelajari selengkapnya, lihat Mengelola ruang kerja Microsoft Azure Sentinel dalam skala besar.

Pertimbangan

Konfigurasikan ruang kerja pusat untuk menjadi lingkungan tempat Anda mengonsolidasikan item konten dan konfigurasi untuk diterbitkan dalam skala besar ke ruang kerja anggota. Buat ruang kerja Microsoft Azure Sentinel baru atau gunakan ruang kerja yang sudah ada untuk berfungsi sebagai ruang kerja pusat.

Bergantung pada skenario Anda, pertimbangkan arsitektur ini:

• Tautan langsung adalah penyiapan yang paling tidak kompleks. Mengontrol semua ruang kerja anggota hanya dengan satu ruang kerja pusat.
• Co-Management mendukung skenario di mana lebih dari satu ruang kerja pusat perlu mengelola ruang kerja anggota. Misalnya, ruang kerja dikelola secara bersamaan oleh tim SOC internal dan MSSP.
• N-Tier mendukung skenario kompleks di mana ruang kerja pusat mengontrol ruang kerja pusat lainnya. Misalnya, konglomerat yang mengelola beberapa anak perusahaan, di mana setiap anak perusahaan juga mengelola beberapa ruang kerja.

Mengaktifkan manajer ruang kerja di ruang kerja pusat

Aktifkan ruang kerja pusat setelah Anda memutuskan ruang kerja Microsoft Sentinel mana yang harus menjadi manajer ruang kerja.

1. Navigasi ke bilah Pengaturan di ruang kerja induk, dan alihkan Pada pengaturan konfigurasi manajer ruang kerja ke "Jadikan ruang kerja ini sebagai induk".

2. Setelah diaktifkan, menu baru Manajer ruang kerja (pratinjau) muncul di bawah Konfigurasi.

   

Ruang kerja anggota onboard

Ruang kerja anggota adalah kumpulan ruang kerja yang dikelola oleh manajer ruang kerja. Onboarding beberapa atau semua ruang kerja di penyewa, dan di beberapa penyewa juga (jika Azure Lighthouse diaktifkan).

1. Navigasi ke manajer ruang kerja dan pilih "Tambahkan ruang kerja"
2. Pilih ruang kerja anggota yang ingin Anda onboard ke manajer ruang kerja.
3. Setelah berhasil di-onboarding, jumlah Anggota meningkat dan ruang kerja anggota Anda tercermin di tab Ruang Kerja.

Membuat grup

Grup manajer ruang kerja memungkinkan Anda mengatur ruang kerja bersama-sama berdasarkan grup bisnis, vertikal, geografi, dll. Gunakan grup untuk memasangkan item konten yang relevan dengan ruang kerja.

Tip

Pastikan Anda memiliki setidaknya satu item konten aktif yang disebarkan di ruang kerja pusat. Ini memungkinkan Anda memilih item konten dari ruang kerja pusat untuk diterbitkan di ruang kerja anggota di langkah-langkah berikutnya.

1. Untuk membuat grup:

   • Untuk menambahkan satu ruang kerja, pilih Tambahkan>Grup.
   • Untuk menambahkan beberapa ruang kerja, pilih ruang kerja dan Tambahkan>Grup dari dipilih.

2. Pada halaman Buat atau perbarui grup , masukkan Nama dan Deskripsi untuk grup.

3. Di tab Pilih ruang kerja, pilih Tambahkan dan pilih ruang kerja anggota yang ingin Anda tambahkan ke grup.

4. Di tab Pilih konten , Anda memiliki 2 cara untuk menambahkan item konten.

   • Metode 1: Pilih menu Tambahkan dan pilih Semua konten. Semua konten aktif yang saat ini disebarkan di ruang kerja pusat ditambahkan. Daftar ini adalah rekam jepret titik waktu yang hanya memilih konten aktif, bukan templat.
   • Metode 2: Pilih menu Tambahkan dan pilih Konten. Jendela Pilih konten terbuka untuk kustom pilih konten yang ditambahkan.

5. Filter konten sesuai kebutuhan sebelum Anda Meninjau + membuat.

6. Setelah dibuat, jumlah Grup meningkat dan grup Anda tercermin di tab Grup.

Menerbitkan definisi Grup

Pada titik ini, item konten yang dipilih belum diterbitkan ke ruang kerja anggota.

Catatan

Tindakan terbitkan akan gagal jika operasi penerbitan maksimum terlampaui. Pertimbangkan untuk membagi ruang kerja anggota menjadi grup tambahan jika Anda mendekati batas ini.

1. Pilih grup >Terbitkan konten.

   

   Untuk menerbitkan secara massal, pilih beberapa grup yang diinginkan dan pilih Terbitkan.

2. Kolom Status penerbitan terakhir diperbarui untuk mencerminkan Sedang berlangsung.

3. Jika berhasil, pembaruan Terakhir terbitkan status untuk mencerminkan Berhasil. Item konten yang dipilih sekarang ada di ruang kerja anggota.

   Jika hanya satu item konten yang gagal diterbitkan untuk seluruh grup, pembaruan Status penerbitan terakhir untuk mencerminkan Gagal.

Pemecahan Masalah

Setiap upaya penerbitan memiliki tautan untuk membantu pemecahan masalah jika item konten gagal diterbitkan.

1. Pilih hyperlink Gagal untuk membuka jendela detail kegagalan pekerjaan. Status untuk setiap item konten dan pasangan ruang kerja target ditampilkan.

2. Filter Status untuk pasangan item yang gagal.

   

Alasan umum kegagalan meliputi:

• Item konten yang dirujuk dalam definisi grup tidak ada lagi pada saat penerbitan (telah dihapus).
• Izin telah berubah pada saat penerbitan. Misalnya, pengguna bukan lagi Kontributor Microsoft Sentinel atau tidak memiliki izin yang memadai di ruang kerja anggota lagi.
• Ruang kerja anggota telah dihapus.

Pembatasan yang diketahui

• Operasi maksimum yang diterbitkan per grup adalah 2000. Operasi yang diterbitkan = (ruang kerja anggota) * (item konten).
  Misalnya, jika Anda memiliki 10 ruang kerja anggota dalam grup dan Anda menerbitkan 20 item konten dalam grup tersebut,
  dipublikasikan operasi = 10 * 20 = 200.
• Playbook yang diatribusikan atau dilampirkan ke analitik dan aturan otomatisasi saat ini tidak didukung.
• Buku kerja yang disimpan di bring-your-own-storage saat ini tidak didukung.
• Manajer ruang kerja hanya mengelola item konten yang diterbitkan dari ruang kerja pusat. Ini tidak mengelola konten yang dibuat secara lokal dari ruang kerja anggota.
• Saat ini, menghapus konten yang berada di ruang kerja anggota secara terpusat melalui manajer ruang kerja tidak didukung.

Referensi API

• Pekerjaan Penetapan Manajer Ruang Kerja
• Penetapan Manajer Ruang Kerja
• Konfigurasi Manajer Ruang Kerja
• Grup Manajer Ruang Kerja
• Anggota Manajer Ruang Kerja

Langkah berikutnya

• Mengelola beberapa penyewa di Microsoft Azure Sentinel sebagai MSSP
• Bekerja dengan insiden Microsoft Azure Sentinel di banyak ruang kerja sekaligus
• Melindungi kekayaan intelektual MSSP di Microsoft Azure Sentinel