ワークスペース マネージャーを使用して複数のMicrosoft Sentinel ワークスペースを一元的に管理する (プレビュー)

  • 適用対象: Microsoft Sentinel in the Azure portal

ワークスペース マネージャーを使用して、1 つ以上のAzure テナント内の複数のMicrosoft Sentinel ワークスペースを一元的に管理する方法について説明します。 この記事では、ワークスペース マネージャーのプロビジョニングと使用について説明します。 グローバル企業でもマネージド セキュリティ サービス プロバイダー (MSSP) でも、ワークスペース マネージャーは大規模な運用を効率的に行うのに役立ちます。

ワークスペース マネージャーでサポートされているアクティブなコンテンツ タイプを次に示します。

  • 分析ルール
  • オートメーション ルール (プレイブックを除く)
  • パーサー、保存された検索、関数
  • ハンティング クエリ
  • ブック

重要

ワークスペース マネージャーのサポートは現在プレビュー段階です。 Azureプレビュー補足条項には、ベータ版、プレビュー版、または一般公開されていないAzure機能に適用される追加の法的条件が含まれています。

Microsoft Defender ポータルにMicrosoft Sentinelをオンボードする場合は、「マルチテナント管理のMicrosoft Defender」を参照してください。

前提条件

  • 少なくとも 2 つのMicrosoft Sentinel ワークスペースが必要です。 管理元の 1 つのワークスペースと、管理する他のワークスペースの少なくとも 1 つ。
  • Microsoft Sentinel共同作成者ロールの割り当ては、中央ワークスペース (ワークスペース マネージャーが有効になっている場所) と、共同作成者が管理する必要があるメンバー ワークスペースで必要です。 Microsoft Sentinelのロールの詳細については、「Microsoft Sentinelのロールとアクセス許可」を参照してください。
  • 複数のMicrosoft Entra テナント間でワークスペースを管理している場合は、lighthouse Azureを有効にします。 詳細については、「Microsoft Sentinel ワークスペースを大規模に管理する」を参照してください。

考慮事項

中央ワークスペースを、メンバー ワークスペースに大規模に発行するコンテンツ項目と構成を統合する環境に構成します。 新しいMicrosoft Sentinel ワークスペースを作成するか、既存のワークスペースを使用して中央ワークスペースとして機能します。

シナリオに応じて、次のアーキテクチャを検討してください。

  • ダイレクト リンク は、最も複雑なセットアップです。 1 つの中央ワークスペースのみを使用して、すべてのメンバー ワークスペースを制御します。
  • 共同管理 では、複数の中央ワークスペースでメンバー ワークスペースを管理する必要があるシナリオがサポートされています。 たとえば、社内の SOC チームと MSSP によって同時に管理されるワークスペースなどです。
  • N 層 は、中央ワークスペースが別の中央ワークスペースを制御する複雑なシナリオをサポートします。 たとえば、複数の子会社を管理するコングロマリットでは、各子会社が複数のワークスペースも管理します。

Microsoft Sentinelのワークスペース マネージャーのさまざまなアーキテクチャの選択肢を示す図。

中央ワークスペースでワークスペース マネージャーを有効にする

ワークスペース マネージャーにする必要があるMicrosoft Sentinelワークスペースを決定したら、中央ワークスペースを有効にします。

  1. 親ワークスペースの [設定] ブレードに移動し、[ワークスペース マネージャーの構成設定 ] を [このワークスペースを親にする] に切り替えます。

  2. 有効にすると、[構成] の下に新しいメニュー [ワークスペース マネージャー (プレビュー)] が表示されます。

    ワークスペース マネージャーの構成設定を示すスクリーンショット。ワークスペース マネージャー用に追加されたメニュー項目が強調表示され、トグル ボタンがオンになります。

メンバー ワークスペースのオンボード

メンバー ワークスペースは、ワークスペース マネージャーによって管理されるワークスペースのセットです。 テナント内および複数のテナント間のワークスペースの一部またはすべてをオンボードします (lighthouse が有効になっている場合Azure)。

  1. ワークスペース マネージャーに移動し、[ワークスペースの追加] を選択します 。スクリーンショットには、ワークスペースの追加メニューが表示されます。
  2. ワークスペース マネージャーにオンボードするメンバー ワークスペースを選択します。 [ワークスペースの追加] 選択メニューを示すスクリーンショット。
  3. 正常にオンボードされると、[ メンバー 数] が増え、[ ワークスペース ] タブにメンバー ワークスペースが反映されます。 追加されたワークスペースとメンバー数が 2 にインクリメントされたスクリーンショット。

グループを作成する

ワークスペース マネージャー グループを使用すると、ビジネス グループ、垂直、地域などに基づいてワークスペースをまとめて整理できます。グループを使用して、ワークスペースに関連するコンテンツ 項目をペアリングします。

ヒント

中央ワークスペースに少なくとも 1 つのアクティブなコンテンツ アイテムがデプロイされていることを確認します。 これにより、後続の手順でメンバー ワークスペースに発行する中央ワークスペースからコンテンツ 項目を選択できます。

  1. グループを作成するには:

    • 1 つのワークスペースを追加するには、[追加>Group] を選択します
    • 複数のワークスペースを追加するには、ワークスペースを選択し、選択したワークスペースから [追加>Group] を選択します [グループの追加] メニューを示すスクリーンショット。

  2. [ グループの作成または更新 ] ページで、グループの [名前][説明] を入力します。 グループの作成または更新の構成ページを示すスクリーンショット。

  3. [ ワークスペースの選択 ] タブで、[ 追加 ] を選択し、グループに追加するメンバー ワークスペースを選択します。

  4. [ コンテンツの選択 ] タブには、コンテンツ アイテムを追加する 2 つの方法があります。

    • 方法 1: [ 追加 ] メニューを選択し、[ すべてのコンテンツ] を選択します。 現在中央ワークスペースにデプロイされているすべてのアクティブなコンテンツが追加されます。 この一覧は、テンプレートではなくアクティブなコンテンツのみを選択するポイントインタイム スナップショットです。
    • 方法 2: [ 追加 ] メニューを選択し、[ コンテンツ] を選択します。 [コンテンツの選択] ウィンドウが開き、追加されたコンテンツをカスタムで選択します。 グループ コンテンツの選択を示すスクリーンショット。

  5. レビューと作成を行う前に、必要に応じてコンテンツをフィルター処理します。

  6. 作成すると、 グループ数 が増え、[グループ ] タブにグループが反映されます。

グループ定義を発行する

この時点で、選択したコンテンツ 項目がまだメンバー ワークスペースに発行されていません。

注:

発行操作の最大数を超えると 、発行 アクションは失敗します。 この制限に近づく場合は、メンバー ワークスペースを追加のグループに分割することを検討してください。

  1. グループ >Publish コンテンツを選択します

    [グループの発行] ウィンドウを示すスクリーンショット。

    一括発行するには、目的のグループを複数選択し、[ 発行] を選択します。 複数選択のグループ発行ウィンドウを示すスクリーンショット。

  2. [最終発行状態] 列が更新され、[進行中] が反映されます。 複数グループの発行の進行状況列を示すスクリーンショット。

  3. 成功した場合、 最終発行状態 が更新 され、成功が反映されます。 選択したコンテンツ 項目がメンバー ワークスペースに存在するようになりました。 成功したエントリを含む最後に発行された列を示すスクリーンショット。

    グループ全体に対して 1 つのコンテンツ 項目の発行に失敗した場合、 最終発行状態 が更新 され、失敗が反映されます

トラブルシューティング

各発行試行には、コンテンツアイテムが発行に失敗した場合のトラブルシューティングに役立つリンクがあります。

  1. [ 失敗 ] ハイパーリンクを選択して、ジョブエラーの詳細ウィンドウを開きます。 各コンテンツ アイテムとターゲット ワークスペースのペアの状態が表示されます。

  2. 失敗した項目ペアの 状態 をフィルター処理します。

    グループ発行エラー イベントのジョブの詳細を示すスクリーンショット。

失敗の一般的な理由は次のとおりです。

  • グループ定義で参照されているコンテンツ 項目は、発行時に存在しなくなりました (削除されています)。
  • 発行時にアクセス許可が変更されました。 たとえば、ユーザーが共同作成者Microsoft Sentinelでなくなったり、メンバー ワークスペースに対する十分なアクセス許可がなくなったりします。
  • メンバー ワークスペースが削除されました。

既知の制限

  • グループあたりの発行された操作の最大数は 2000 です。 発行された操作 = (メンバー ワークスペース) * (コンテンツ項目)。
    たとえば、1 つのグループに 10 個のメンバー ワークスペースがあり、そのグループに 20 個のコンテンツ アイテムを発行する場合、
    発行された操作 = 10 * 20 = 200
  • 分析および自動化ルールに属性付けまたはアタッチされたプレイブックは、現在サポートされていません。
  • Bring-your-own-storage に格納されているブックは現在サポートされていません。
  • ワークスペース マネージャーは、中央のワークスペースから発行されたコンテンツ アイテムのみを管理します。 メンバー ワークスペースからローカルに作成されたコンテンツは管理されません。
  • 現在、ワークスペース マネージャーを使用してメンバー ワークスペースに存在するコンテンツを一元的に削除することはサポートされていません。

API リファレンス

次の手順

  • Last updated on