Meerdere Microsoft Sentinel-werkruimten centraal beheren met werkruimtebeheer (preview)
Meer informatie over het centraal beheren van meerdere Microsoft Sentinel-werkruimten binnen een of meer Azure-tenants met werkruimtebeheer. In dit artikel wordt u begeleid bij het inrichten en gebruiken van werkruimtebeheer. Of u nu een wereldwijde onderneming of een Managed Security Services Provider (MSSP) bent, werkruimtebeheer helpt u efficiënt te werken.
Dit zijn de actieve inhoudstypen die worden ondersteund met werkruimtebeheer:
- Analyseregels
- Automatiseringsregels (met uitzondering van Playbooks)
- Parsers, opgeslagen zoekopdrachten en functies
- Opsporings- en Livestream-query's
- Werkmappen
Belangrijk
Ondersteuning voor werkruimtebeheer is momenteel beschikbaar in PREVIEW. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.
Als u Microsoft Sentinel onboardt naar de Microsoft Defender-portal, raadpleegt u Het beheer voor meerdere tenants van Microsoft Defender.
Vereisten
- U hebt ten minste twee Microsoft Sentinel-werkruimten nodig. Eén werkruimte die moet worden beheerd van en ten minste één andere werkruimte die moet worden beheerd.
- De roltoewijzing Microsoft Sentinel-inzender is vereist voor de centrale werkruimte (waar werkruimtebeheer is ingeschakeld) en op de lidwerkruimten die de inzender moet beheren. Zie Rollen en machtigingen in Microsoft Sentinel voor meer informatie over rollen in Microsoft Sentinel.
- Schakel Azure Lighthouse in als u werkruimten beheert in meerdere Microsoft Entra-tenants. Zie Microsoft Sentinel-werkruimten op schaal beheren voor meer informatie.
Overwegingen
Configureer een centrale werkruimte als de omgeving waarin u inhoudsitems en configuraties consolideert die op schaal moeten worden gepubliceerd naar lidwerkruimten. Maak een nieuwe Microsoft Sentinel-werkruimte of gebruik een bestaande werkruimte om te fungeren als de centrale werkruimte.
Houd rekening met deze architecturen, afhankelijk van uw scenario:
- Direct-link is de minst complexe installatie. Beheer alle lidwerkruimten met slechts één centrale werkruimte.
- Co-beheer ondersteunt scenario's waarin meer dan één centrale werkruimte een lidwerkruimte moet beheren. Werkruimten worden bijvoorbeeld tegelijkertijd beheerd door een intern SOC-team en een MSSP.
- N-laag ondersteunt complexe scenario's waarbij een centrale werkruimte een andere centrale werkruimte beheert. Een conglomeraat dat bijvoorbeeld meerdere dochterondernemingen beheert, waarbij elke dochteronderneming ook meerdere werkruimten beheert.
Werkruimtebeheer inschakelen in de centrale werkruimte
Schakel de centrale werkruimte in zodra u hebt besloten welke Microsoft Sentinel-werkruimte de werkruimtebeheerder moet zijn.
Ga naar de blade Instellingen in de bovenliggende werkruimte en schakel in de configuratie-instelling werkruimtebeheer in op 'Deze werkruimte een bovenliggende werkruimte maken'.
Als dit is ingeschakeld, wordt er een nieuw menu Werkruimtebeheer (preview) weergegeven onder Configuratie.
Lidwerkruimten onboarden
Lidwerkruimten zijn de set werkruimten die worden beheerd door werkruimtebeheer. Onboarding van sommige of alle werkruimten in de tenant en over meerdere tenants (als Azure Lighthouse is ingeschakeld).
- Navigeer naar werkruimtebeheer en selecteer Werkruimten toevoegen
- Selecteer de lidwerkruimten die u wilt onboarden bij werkruimtebeheer.
- Zodra de onboarding is voltooid, neemt het aantal leden toe en worden uw ledenwerkruimten weergegeven op het tabblad Werkruimten .
Een groep maken
Met werkruimtebeheergroepen kunt u werkruimten samen organiseren op basis van bedrijfsgroepen, verticalen, geografie, enzovoort. Gebruik groepen om inhoudsitems te koppelen die relevant zijn voor de werkruimten.
Tip
Zorg ervoor dat er ten minste één actief inhoudsitem is geïmplementeerd in de centrale werkruimte. Hiermee kunt u inhoudsitems in de centrale werkruimte selecteren die in de volgende stappen in de lidwerkruimte(s) moeten worden gepubliceerd.
Een groep maken:
- Als u één werkruimte wilt toevoegen, selecteert u Groep toevoegen>.
- Als u meerdere werkruimten wilt toevoegen, selecteert u de werkruimten en selecteert u Groep toevoegen>uit de geselecteerde werkruimten.
Voer op de pagina Groep maken of bijwerken een naam en beschrijving voor de groep in.
Selecteer op het tabblad Werkruimten selecteren de optie Toevoegen en selecteer de lidwerkruimten die u aan de groep wilt toevoegen.
Op het tabblad Inhoud selecteren kunt u op twee manieren inhoudsitems toevoegen.
- Methode 1: Selecteer het menu Toevoegen en kies Alle inhoud. Alle actieve inhoud die momenteel in de centrale werkruimte is geïmplementeerd, wordt toegevoegd. Deze lijst is een momentopname van een bepaald tijdstip dat alleen actieve inhoud selecteert, niet sjablonen.
- Methode 2: Selecteer het menu Toevoegen en kies Inhoud. Er wordt een venster Inhoud selecteren geopend om aangepast de inhoud te selecteren die is toegevoegd.
Filter de inhoud indien nodig voordat u Beoordelen en maken.
Zodra het aantal groepen is gemaakt, wordt het aantal groepen verhoogd en worden uw groepen weergegeven op het tabblad Groepen.
De groepsdefinitie publiceren
Op dit moment zijn de geselecteerde inhoudsitems nog niet gepubliceerd naar de lidwerkruimte(s).
Notitie
De publicatieactie mislukt als de maximale publicatiebewerkingen worden overschreden. Overweeg om lidwerkruimten op te splitsen in extra groepen als u deze limiet nadert.
Selecteer de groep >Inhoud publiceren.
Als u bulksgewijs wilt publiceren, selecteert u de gewenste groepen en selecteert u Publiceren.
De kolom Laatste publicatiestatus wordt bijgewerkt om aan te geven dat er wordt gewerkt.
Als dit is gelukt, worden de statusupdates laatst gepubliceerd om geslaagd weer te geven. De geselecteerde inhoudsitems bestaan nu in de lidwerkruimten.
Als slechts één inhoudsitem niet kan worden gepubliceerd voor de hele groep, wordt de status Van laatste publicatie bijgewerkt met De status Mislukt.
Probleemoplossing
Elke publicatiepoging heeft een koppeling om te helpen bij het oplossen van problemen als inhoudsitems niet kunnen worden gepubliceerd.
Selecteer de hyperlink Mislukt om het venster met foutdetails van de taak te openen. Er wordt een status weergegeven voor elk inhoudsitem en het doelwerkruimtepaar.
Filter de status voor mislukte itemparen.
Veelvoorkomende oorzaken zijn:
- Inhoudsitems waarnaar in de groepsdefinitie wordt verwezen, bestaan niet meer op het moment van publiceren (zijn verwijderd).
- Machtigingen zijn gewijzigd op het moment van publiceren. De gebruiker is bijvoorbeeld geen Microsoft Sentinel-inzender meer of beschikt niet meer over voldoende machtigingen voor de lidwerkruimte.
- Er is een lidwerkruimte verwijderd.
Bekende beperkingen
- Het maximum aantal gepubliceerde bewerkingen per groep is 2000. Gepubliceerde bewerkingen = (lidwerkruimten) * (inhoudsitems).
Als u bijvoorbeeld 10 lidwerkruimten in een groep hebt en u 20 inhoudsitems in die groep publiceert,
gepubliceerde bewerkingen = 10 * 20 = 200. - Playbooks die zijn toegeschreven aan analyse- en automatiseringsregels, worden momenteel niet ondersteund.
- Werkmappen die zijn opgeslagen in Bring Your Own Storage, worden momenteel niet ondersteund.
- Werkruimtebeheer beheert alleen inhoudsitems die zijn gepubliceerd vanuit de centrale werkruimte. Er wordt geen inhoud beheerd die lokaal is gemaakt op basis van lidwerkruimten.
- Op dit moment wordt het verwijderen van inhoud die zich centraal in een of meer lidwerkruimten bevindt, niet ondersteund via werkruimtebeheer.
API-verwijzingen
- Workspace Manager-toewijzingstaken
- Workspace Manager-toewijzingen
- Werkruimtebeheerconfiguraties
- Workspace Manager-groepen
- Workspace Manager-leden