Gestire centralmente più aree di lavoro Microsoft Sentinel con Gestione aree di lavoro (anteprima)

  • Si applica a: Microsoft Sentinel in the Azure portal

Informazioni su come gestire centralmente più aree di lavoro Microsoft Sentinel all'interno di uno o più tenant Azure con gestione aree di lavoro. Questo articolo illustra il provisioning e l'utilizzo di Gestione aree di lavoro. Che si tratti di un'azienda globale o di un provider di servizi di sicurezza gestiti (MSSP), gestione aree di lavoro consente di operare su larga scala in modo efficiente.

Di seguito sono riportati i tipi di contenuto attivi supportati con Gestione aree di lavoro:

  • Regole di analisi
  • Regole di automazione (esclusi i playbook)
  • Parser, ricerche e funzioni salvate
  • Ricerca di query
  • Cartelle

Importante

Il supporto per gestione aree di lavoro è attualmente disponibile in ANTEPRIMA. Le condizioni aggiuntive per l'anteprima Azure includono termini legali aggiuntivi che si applicano alle funzionalità Azure in versione beta, in anteprima o in altro modo non ancora rilasciate nella disponibilità generale.

Se si esegue l'onboarding di Microsoft Sentinel nel portale di Microsoft Defender, vedere Microsoft Defender gestione multi-tenant.

Prerequisiti

Considerazioni

Configurare un'area di lavoro centrale in modo che sia l'ambiente in cui consolidare elementi di contenuto e configurazioni da pubblicare su larga scala in aree di lavoro membro. Creare una nuova area di lavoro Microsoft Sentinel o utilizzarne una esistente per fungere da area di lavoro centrale.

A seconda dello scenario, considerare queste architetture:

  • Il collegamento diretto è la configurazione meno complessa. Controllare tutte le aree di lavoro membro con una sola area di lavoro centrale.
  • La co-gestione supporta scenari in cui più aree di lavoro centrali devono gestire un'area di lavoro membro. Ad esempio, le aree di lavoro gestite simultaneamente da un team soc interno e da un provider di servizi condivisi del servizio gestito.
  • N-Tier supporta scenari complessi in cui un'area di lavoro centrale controlla un'altra area di lavoro centrale. Ad esempio, un conglomerato che gestisce più filiali, in cui ogni filiale gestisce anche più aree di lavoro.

Diagramma che mostra diverse opzioni di architettura per gestione aree di lavoro in Microsoft Sentinel.

Abilitare Gestione aree di lavoro nell'area di lavoro centrale

Abilitare l'area di lavoro centrale dopo aver deciso quale Microsoft Sentinel'area di lavoro deve essere la gestione dell'area di lavoro.

  1. Passare al pannello Impostazioni nell'area di lavoro padre e attivare o disattivare l'impostazione di configurazione gestione area di lavoro su "Imposta questa area di lavoro come padre".

  2. Una volta abilitato, in Configurazione viene visualizzato un nuovo menu Gestione aree di lavoro (anteprima).

    Screenshot che mostra le impostazioni di configurazione di Gestione aree di lavoro. La voce di menu aggiunta per Gestione aree di lavoro è evidenziata e il pulsante Attiva/Disattiva.

Eseguire l'onboarding delle aree di lavoro dei membri

Le aree di lavoro membro sono il set di aree di lavoro gestite da Gestione aree di lavoro. Eseguire l'onboarding di alcune o tutte le aree di lavoro nel tenant e anche tra più tenant (se Azure Lighthouse è abilitato).

  1. Passare a Gestione aree di lavoro e selezionare "Aggiungi aree di lavoro" Screenshot che mostra il menu Aggiungi area di lavoro.
  2. Selezionare le aree di lavoro membro di cui si vuole eseguire l'onboarding in Gestione aree di lavoro. Screenshot che mostra il menu di selezione aggiungi area di lavoro.
  3. Una volta eseguito l'onboarding, il numero di membri aumenta e le aree di lavoro dei membri vengono riflesse nella scheda Aree di lavoro . Screenshot che mostra le aree di lavoro aggiunte e il numero di membri incrementato a 2.

Creare un gruppo

I gruppi di gestione delle aree di lavoro consentono di organizzare le aree di lavoro in base a gruppi aziendali, verticali, aree geografiche e così via. Usare i gruppi per associare elementi di contenuto rilevanti per le aree di lavoro.

Consiglio

Assicurarsi di avere almeno un elemento di contenuto attivo distribuito nell'area di lavoro centrale. In questo modo è possibile selezionare gli elementi di contenuto dell'area di lavoro centrale da pubblicare nelle aree di lavoro membro nei passaggi successivi.

  1. Per creare un gruppo:

    • Per aggiungere un'area di lavoro, selezionare Aggiungi>gruppo.
    • Per aggiungere più aree di lavoro, selezionare le aree di lavoro e Aggiungi>gruppo dall'opzione selezionata. Screenshot che mostra il menu Aggiungi gruppo.

  2. Nella pagina Crea o aggiorna gruppo immettere un nome e una descrizione per il gruppo. Screenshot che mostra la pagina di configurazione di creazione o aggiornamento del gruppo.

  3. Nella scheda Seleziona aree di lavoro selezionare Aggiungi e selezionare le aree di lavoro membro che si desidera aggiungere al gruppo.

  4. Nella scheda Seleziona contenuto sono disponibili 2 modi per aggiungere elementi di contenuto.

    • Metodo 1: selezionare il menu Aggiungi e scegliere Tutto il contenuto. Viene aggiunto tutto il contenuto attivo attualmente distribuito nell'area di lavoro centrale. Questo elenco è uno snapshot temporizzato che seleziona solo il contenuto attivo, non i modelli.
    • Metodo 2: selezionare il menu Aggiungi e scegliere Contenuto. Viene visualizzata una finestra Seleziona contenuto per selezionare il contenuto aggiunto. Screenshot che mostra la selezione del contenuto del gruppo.

  5. Filtrare il contenuto in base alle esigenze prima di esaminare e creare.

  6. Dopo la creazione, il numero di gruppi aumenta e i gruppi vengono riflessi nella scheda Gruppi.

Pubblicare la definizione del gruppo

A questo punto, gli elementi di contenuto selezionati non sono ancora stati pubblicati nelle aree di lavoro membro.

Nota

L'azione di pubblicazione avrà esito negativo se vengono superate le operazioni di pubblicazione massime . Se si avvicina questo limite, è consigliabile suddividere le aree di lavoro dei membri in gruppi aggiuntivi.

  1. Selezionare il gruppo >Pubblica contenuto.

    Screenshot che mostra la finestra di pubblicazione del gruppo.

    Per pubblicare in blocco, selezionare più gruppi desiderati e selezionare Pubblica. Screenshot che mostra la finestra di pubblicazione di gruppi con selezione multipla.

  2. La colonna Stato ultima pubblicazione viene aggiornata in modo da riflettere In corso. Screenshot che mostra la colonna di stato della pubblicazione in più gruppi.

  3. In caso di esito positivo, lo stato ultima pubblicazione viene aggiornato in modo da riflettere l'esito positivo. Gli elementi di contenuto selezionati sono ora presenti nelle aree di lavoro dei membri. Screenshot che mostra l'ultima colonna pubblicata con voci riuscite.

    Se non è possibile pubblicare un solo elemento di contenuto per l'intero gruppo, lo stato ultima pubblicazione viene aggiornato in modo da riflettere Non riuscito.

Risoluzione dei problemi

Ogni tentativo di pubblicazione include un collegamento che consente di risolvere eventuali problemi di pubblicazione degli elementi di contenuto.

  1. Selezionare il collegamento ipertestuale Non riuscito per aprire la finestra dei dettagli dell'errore del processo. Viene visualizzato uno stato per ogni elemento di contenuto e per ogni coppia di aree di lavoro di destinazione.

  2. Filtrare lo stato per le coppie di elementi non riuscite.

    Screenshot che mostra i dettagli del processo di un evento di errore di pubblicazione del gruppo.

I motivi comuni dell'errore includono:

  • Gli elementi di contenuto a cui viene fatto riferimento nella definizione del gruppo non esistono più al momento della pubblicazione (sono stati eliminati).
  • Le autorizzazioni sono state modificate al momento della pubblicazione. Ad esempio, l'utente non è più un collaboratore Microsoft Sentinel o non dispone più di autorizzazioni sufficienti per l'area di lavoro membro.
  • Un'area di lavoro membro è stata eliminata.

Limitazioni note

  • Il numero massimo di operazioni pubblicate per gruppo è 2000. Operazioni pubblicate = (aree di lavoro membro) * (elementi di contenuto).
    Ad esempio, se si dispone di 10 aree di lavoro membro in un gruppo e si pubblicano 20 elementi di contenuto in tale gruppo,
    operazioni = pubblicate10 * 20 = 200.
  • I playbook con attributi o associati alle regole di analisi e automazione non sono attualmente supportati.
  • Le cartelle di lavoro archiviate in bring-your-own-storage non sono attualmente supportate.
  • Gestione aree di lavoro gestisce solo gli elementi di contenuto pubblicati dall'area di lavoro centrale. Non gestisce il contenuto creato localmente dalle aree di lavoro dei membri.
  • Attualmente, l'eliminazione centralizzata di contenuto che risiede nelle aree di lavoro dei membri tramite gestione dell'area di lavoro non è supportata.

Riferimenti API

Passaggi successivi

  • Last updated on