Share via

Gestire centralmente più aree di lavoro di Microsoft Sentinel con gestione dell'area di lavoro (anteprima)

  • Articolo

Informazioni su come gestire centralmente più aree di lavoro di Microsoft Sentinel all'interno di uno o più tenant di Azure con il gestore dell'area di lavoro. Questo articolo illustra il provisioning e l'utilizzo di Gestione aree di lavoro. Indipendentemente dal fatto che si sia un'azienda globale o un provider di servizi di sicurezza gestito (MSSP), il responsabile dell'area di lavoro consente di operare su larga scala in modo efficiente.

Ecco i tipi di contenuto attivi supportati con gestione aree di lavoro:

  • Regole di analisi
  • Regole di automazione (esclusi i playbook)
  • Parser, ricerche salvate e funzioni
  • Ricerca e query livestream
  • Workbooks

Importante

Il supporto per la gestione dell'area di lavoro è attualmente disponibile in ANTEPRIMA. Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.

Prerequisiti

  • Sono necessarie almeno due aree di lavoro di Microsoft Sentinel. Un'area di lavoro da gestire da e almeno un'altra area di lavoro da gestire.
  • L'assegnazione di ruolo Collaboratore microsoft Sentinel è necessaria nell'area di lavoro centrale (in cui è abilitato il manager dell'area di lavoro) e nelle aree di lavoro membro che il collaboratore deve gestire. Per altre informazioni sui ruoli in Microsoft Sentinel, vedere Ruoli e autorizzazioni in Microsoft Sentinel.
  • Abilitare Azure Lighthouse se si gestiscono le aree di lavoro in più tenant di Microsoft Entra. Per altre informazioni, vedere Gestire le aree di lavoro di Microsoft Sentinel su larga scala.

Considerazioni

Configurare un'area di lavoro centrale in modo che sia l'ambiente in cui consolidare gli elementi di contenuto e le configurazioni da pubblicare su larga scala nelle aree di lavoro membro. Creare una nuova area di lavoro di Microsoft Sentinel o usarne una esistente per fungere da area di lavoro centrale.

A seconda dello scenario, prendere in considerazione queste architetture:

  • Il collegamento diretto è la configurazione meno complessa. Controllare tutte le aree di lavoro membro con una sola area di lavoro centrale.
  • La co-gestione supporta scenari in cui più aree di lavoro centrali devono gestire un'area di lavoro membro. Ad esempio, le aree di lavoro gestite simultaneamente da un team SOC interno e da un MSSP.
  • Il livello N supporta scenari complessi in cui un'area di lavoro centrale controlla un'altra area di lavoro centrale. Ad esempio, un conglomerato che gestisce più filiali, in cui ogni filiale gestisce anche più aree di lavoro.

Diagramma che mostra varie opzioni di architettura per il manager dell'area di lavoro in Microsoft Sentinel.

Abilitare gestione aree di lavoro nell'area di lavoro centrale

Abilitare l'area di lavoro centrale dopo aver deciso quale area di lavoro di Microsoft Sentinel deve essere la gestione dell'area di lavoro.

  1. Passare al pannello Impostazioni nell'area di lavoro padre e attivare o disattivare l'impostazione di configurazione di Gestione aree di lavoro su "Imposta questa area di lavoro come padre".

  2. Dopo l'abilitazione, viene visualizzato un nuovo menu Gestione aree di lavoro (anteprima) in Configurazione.

    Screenshot che mostra le impostazioni di configurazione di Workspace Manager. La voce di menu aggiunta per gestione dell'area di lavoro è evidenziata e il pulsante Attiva/Disattiva.

Eseguire l'onboarding delle aree di lavoro membro

Le aree di lavoro membro sono il set di aree di lavoro gestite dal gestore dell'area di lavoro. Eseguire l'onboarding di alcune o tutte le aree di lavoro nel tenant e anche tra più tenant (se Azure Lighthouse è abilitato).

  1. Passare a Gestione aree di lavoro e selezionare "Aggiungi aree di lavoro" Screenshot che mostra il menu Aggiungi area di lavoro.
  2. Selezionare le aree di lavoro membro di cui si vuole eseguire l'onboarding nel gestore dell'area di lavoro. Screenshot che mostra il menu di selezione aggiungi area di lavoro.
  3. Dopo l'onboarding, il conteggio membri aumenta e le aree di lavoro membro vengono riflesse nella scheda Aree di lavoro . Screenshot che mostra le aree di lavoro aggiunte e il numero membri incrementato a 2.

Creare un gruppo

I gruppi di gestione delle aree di lavoro consentono di organizzare le aree di lavoro insieme in base a gruppi aziendali, verticali, geografia e così via. Usare i gruppi per associare elementi di contenuto pertinenti alle aree di lavoro.

Suggerimento

Assicurarsi di avere almeno un elemento di contenuto attivo distribuito nell'area di lavoro centrale. In questo modo è possibile selezionare gli elementi di contenuto dall'area di lavoro centrale da pubblicare nelle aree di lavoro membro nei passaggi successivi.

  1. Per creare un gruppo:

    • Per aggiungere un'area di lavoro, selezionare Aggiungi>gruppo.
    • Per aggiungere più aree di lavoro, selezionare le aree di lavoro e Aggiungi>gruppo dall'opzione selezionata. Screenshot che mostra il menu Aggiungi gruppo.

  2. Nella pagina Crea o aggiorna gruppo immettere un nome e una descrizione per il gruppo. Screenshot che mostra la pagina di configurazione di creazione o aggiornamento del gruppo.

  3. Nella scheda Seleziona aree di lavoro selezionare Aggiungi e selezionare le aree di lavoro membro da aggiungere al gruppo.

  4. Nella scheda Seleziona contenuto sono disponibili 2 modi per aggiungere elementi di contenuto.

    • Metodo 1: selezionare il menu Aggiungi e scegliere Tutto il contenuto. Viene aggiunto tutto il contenuto attivo attualmente distribuito nell'area di lavoro centrale. Questo elenco è uno snapshot temporizzato che seleziona solo il contenuto attivo, non i modelli.
    • Metodo 2: selezionare il menu Aggiungi e scegliere Contenuto. Viene visualizzata una finestra Seleziona contenuto per selezionare il contenuto aggiunto in modo personalizzato. Screenshot che mostra la selezione del contenuto del gruppo.

  5. Filtrare il contenuto in base alle esigenze prima di rivedi e crea.

  6. Dopo la creazione, il conteggio dei gruppi aumenta e i gruppi vengono visualizzati nella scheda Gruppi.

Pubblicare la definizione di gruppo

A questo punto, gli elementi di contenuto selezionati non sono ancora stati pubblicati nelle aree di lavoro membro.

Nota

L'azione di pubblicazione avrà esito negativo se vengono superate le operazioni di pubblicazione massime. Se si avvicina questo limite, è consigliabile suddividere le aree di lavoro membro in gruppi aggiuntivi.

  1. Selezionare il gruppo >Pubblica contenuto.

    Screenshot che mostra la finestra di pubblicazione del gruppo.

    Per pubblicare in blocco, selezionare più gruppi desiderati e selezionare Pubblica. Screenshot che mostra la finestra di pubblicazione di gruppi con selezione multipla.

  2. La colonna Stato ultima pubblicazione viene aggiornata in modo da riflettere In corso. Screenshot che mostra la colonna dello stato di avanzamento della pubblicazione in più gruppi.

  3. In caso di esito positivo, l'ultimo stato della pubblicazione viene aggiornato in modo da riflettere Succeeded. Gli elementi di contenuto selezionati sono ora presenti nelle aree di lavoro membro. Screenshot che mostra l'ultima colonna pubblicata con voci riuscite.

    Se non è possibile pubblicare un solo elemento di contenuto per l'intero gruppo, lo stato dell'ultima pubblicazione viene aggiornato in modo da riflettere Non riuscito.

Risoluzione dei problemi

Ogni tentativo di pubblicazione include un collegamento per la risoluzione dei problemi se gli elementi del contenuto non riescono a pubblicare.

  1. Selezionare il collegamento ipertestuale Non riuscito per aprire la finestra dei dettagli dell'errore del processo. Viene visualizzato uno stato per ogni elemento di contenuto e coppia di aree di lavoro di destinazione.

  2. Filtrare lo stato per le coppie di elementi non riuscite.

    Screenshot che mostra i dettagli del processo di un evento di errore di pubblicazione del gruppo.

Le cause comuni di questo tipo di errore includono:

  • Gli elementi di contenuto a cui si fa riferimento nella definizione del gruppo non esistono più al momento della pubblicazione (sono stati eliminati).
  • Le autorizzazioni sono state modificate al momento della pubblicazione. Ad esempio, l'utente non è più un Collaboratore di Microsoft Sentinel o non dispone più di autorizzazioni sufficienti per l'area di lavoro membro.
  • Un'area di lavoro membro è stata eliminata.

Limitazioni note

  • Il numero massimo di operazioni pubblicate per gruppo è 2000. Operazioni pubblicate = (aree di lavoro membro) * (elementi di contenuto).
    Ad esempio, se si dispone di 10 aree di lavoro membro in un gruppo e si pubblicano 20 elementi di contenuto in tale gruppo,
    operazioni = pubblicate 10 * 20 = 200.
  • I playbook attribuiti o collegati alle regole di analisi e automazione non sono attualmente supportati.
  • Le cartelle di lavoro archiviate in bring-your-own-storage non sono attualmente supportate.
  • Gestione aree di lavoro gestisce solo gli elementi di contenuto pubblicati dall'area di lavoro centrale. Non gestisce il contenuto creato localmente dalle aree di lavoro membro.
  • Attualmente, l'eliminazione di contenuto che risiede nelle aree di lavoro membro centralmente tramite il gestore dell'area di lavoro non è supportata.

Riferimenti API

Passaggi successivi