ワークスペース マネージャーを使用して複数の Microsoft Sentinel ワークスペースを一元管理する (プレビュー)

  • [アーティクル]

ワークスペース マネージャーを使用して、1 つ以上の Azure テナント内で複数の Microsoft Sentinel ワークスペースを一元管理する方法について説明します。 この記事では、ワークスペース マネージャーのプロビジョニングと使用方法について説明します。 グローバル企業の場合であってもマネージド セキュリティ サービス プロバイダー (MSSP) の場合であっても、ワークスペース マネージャーは大規模な運用を効率的に行うために役立ちます。

ワークスペース マネージャーでサポートされているアクティブなコンテンツの種類を次に示します。

  • 分析ルール
  • 自動化ルール (プレイブックを除く)
  • パーサー、保存された検索、機能
  • ハンティング クエリとライブストリーム クエリ
  • Workbooks

重要

ワークスペース マネージャーのサポートは、現在プレビュー段階です。 Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。

前提条件

  • 少なくとも 2 つの Microsoft Sentinel ワークスペースが必要です。 管理元の 1 つのワークスペースと、管理対象の少なくとも 1 つの他のワークスペース。
  • Microsoft Sentinel 共同作成者ロールの割り当てが、中央ワークスペース (ワークスペース マネージャーが有効になっている場所) と共同作成者が管理する必要があるメンバー ワークスペースで必要です。 Microsoft Sentinel のロールの詳細については、「Microsoft Sentinel のロールとアクセス許可」を参照してください。
  • 複数の Microsoft Entra テナント間でワークスペースを管理している場合は、Azure Lighthouse を有効にします。 詳細については、「大規模な Microsoft Sentinel ワークスペースの管理」を参照してください。

考慮事項

メンバー ワークスペースに大規模に発行するコンテンツ項目と構成を統合する環境として、中央ワークスペースを構成します。 新しい Microsoft Sentinel ワークスペースを作成するか、既存のワークスペースを利用して中央ワークスペースとして使用します。

シナリオに応じて、次のアーキテクチャを検討してください。

  • 直接リンクは最も単純なセットアップです。 1 つの中央ワークスペースのみを使用して、すべてのメンバー ワークスペースを制御します。
  • 共同管理では、複数の中央ワークスペースで 1 つのメンバー ワークスペースを管理する必要があるシナリオがサポートされています。 たとえば、社内の SOC チームと MSSP によって同時に管理されるワークスペースなどです。
  • N 層では、中央ワークスペースで別の中央ワークスペースを制御する複雑なシナリオがサポートされています。 たとえば、複数の子会社を管理する複合企業で、各子会社でも複数のワークスペースを管理する場合などです。

Microsoft Sentinel のワークスペース マネージャーのさまざまなアーキテクチャの選択肢を示す図。

中央ワークスペースでワークスペース マネージャーを有効にする

ワークスペース マネージャーにする Microsoft Sentinel ワークスペースを決定したら、中央ワークスペースを有効にします。

  1. 親ワークスペースの [設定] ブレードに移動し、ワークスペース マネージャーの構成設定を [オン] に切り替えて [Make this workspace a parent] (このワークスペースを親にする) に設定します。

  2. 有効にすると、新しいメニュー [ワークスペース マネージャー (プレビュー)][構成] の下に表示されます。

    ワークスペース マネージャーの構成設定を示すスクリーンショット。ワークスペース マネージャー用に追加されたメニュー項目がハイライトされ、トグル ボタンがオンになっている。

メンバー ワークスペースをオンボードする

メンバー ワークスペースは、ワークスペース マネージャーによって管理される一連のワークスペースです。 テナント内の一部またはすべてのワークスペースをオンボードできます。(Azure Lighthouse が有効になっている場合は) 複数のテナントにまたがってオンボードすることもできます。

  1. ワークスペース マネージャーに移動して、"ワークスペースの追加" を選択します。ワークスペースの追加メニューを示すスクリーンショット。
  2. ワークスペース マネージャーにオンボードするメンバー ワークスペースを選択します。 ワークスペースの追加の選択メニューを示すスクリーンショット。
  3. オンボードに成功すると、[メンバー] の数が増えて、メンバー ワークスペースが [ワークスペース] タブに反映されます。追加されたワークスペースと [メンバー] の数が 2 に増加した状態が示されているスクリーンショット。

グループを作成する

ワークスペース マネージャー グループを使用すると、ビジネス グループ、バーティカル、地理などに基づいてワークスペースをまとめて整理できます。グループを使用して、ワークスペースに関連するコンテンツ項目をペアにします。

ヒント

中央ワークスペースに少なくとも 1 つのアクティブなコンテンツ項目がデプロイされていることを確認します。 これにより、後続の手順でメンバー ワークスペースに発行する、中央ワークスペースのコンテンツ項目を選択できます。

  1. グループを作成するには:

    • 1 つのワークスペースを追加するには、[追加]>[グループ] を選択します。
    • 複数のワークスペースを追加するには、ワークスペースを選択し、[追加]>[選択したグループ] を選択します。 グループの追加メニューを示すスクリーンショット。

  2. [グループの作成または更新] ページで、グループの [名前][説明] を入力します。 グループの作成または更新の構成ページを示すスクリーンショット。

  3. [ワークスペースの選択] タブで、[追加] を選択し、グループに追加するメンバー ワークスペースを選択します。

  4. [コンテンツの選択] タブには、コンテンツ項目を追加する 2 つの方法があります。

    • 方法 1: [追加] メニューを選択し、[すべてのコンテンツ] を選択します。 現在中央ワークスペースにデプロイされているすべてのアクティブなコンテンツが追加されます。 このリストは、テンプレートではなくアクティブなコンテンツのみを選択するポイントインタイム スナップショットです。
    • 方法 2: [追加] メニューを選択し、[コンテンツ] を選択します。 [コンテンツの選択] ウィンドウが開き、追加するコンテンツをカスタムで選択できます。 グループのコンテンツの選択が示されているスクリーンショット。

  5. 確認と作成を行う前に、必要に応じてコンテンツをフィルター処理します。

  6. 作成されると、グループ数が増えて、グループが [グループ] タブに反映されます。

グループ定義を発行する

この時点で、選択したコンテンツ項目はまだメンバー ワークスペースに発行されていません。

Note

発行操作の最大数を超えると、発行アクションは失敗します。 この制限に近づいたら、メンバー ワークスペースを追加グループに分割することを検討してください。

  1. グループ >[コンテンツの発行] を選択します。

    グループの発行ウィンドウを示すスクリーンショット。

    一括発行するには、目的のグループを複数選択し、[発行] を選択します。 複数選択したグループの発行ウィンドウを示すスクリーンショット。

  2. [進行中] が反映されるように [最終発行状態] 列が更新されます。 複数グループの発行が進行中であることを示す列のスクリーンショット。

  3. 成功した場合、[成功] が反映されるように [最終発行状態] が更新されます。 選択したコンテンツ項目が、メンバー ワークスペースに存在するようになりました。 最終発行列に成功したエントリが示されているスクリーンショット。

    グループ全体に対して 1 つのコンテンツ アイテムの発行に失敗した場合、[最終発行状態] が更新され、[失敗] が反映されます。

トラブルシューティング

発行の試行ごとに、コンテンツ アイテムの発行に失敗した場合のトラブルシューティングに役立つリンクがあります。

  1. [失敗] ハイパーリンクを選択して、ジョブ失敗の詳細ウィンドウを開きます。 各コンテンツ項目とターゲット ワークスペースのペアの状態が表示されます。

  2. 失敗した項目のペアの [状態] をフィルター処理します。

    グループ発行の失敗イベントのジョブの詳細が示されているスクリーンショット。

一般的な失敗の理由としては、次のようなことが挙げられます。

  • グループ定義で参照されているコンテンツ項目が、発行時に存在していなかった (削除されている)。
  • 発行時にアクセス許可が変更されていた。 たとえば、ユーザーが Microsoft Sentinel 共同作成者でなくなったり、メンバー ワークスペースに対する十分なアクセス許可がなくなった場合です。
  • メンバー ワークスペースが削除された。

既知の制限事項

  • グループあたりの発行された操作の最大数は 2000 です。 発行された操作数 = (メンバー ワークスペース数) × (コンテンツ項目数)
    たとえば、1 つのグループに 10 個のメンバー ワークスペースがあり、そのグループに 20 個のコンテンツ項目を発行する場合、
    発行された操作数 = 10 * 20 = 200 です。
  • 分析および自動化ルールに属するか、アタッチされたプレイブックは、現在サポートされていません。
  • Bring Your Own-Storage に格納されているブックは、現在サポートされていません。
  • ワークスペース マネージャーでは、中央ワークスペースから発行されたコンテンツ項目のみを管理します。 メンバー ワークスペースからローカルに作成されたコンテンツは管理されません。
  • 現在、ワークスペース マネージャーを使用してメンバー ワークスペースに存在するコンテンツを一元的に削除することはサポートされていません。

API リファレンス

次のステップ