Meerdere Microsoft Sentinel werkruimten centraal beheren met werkruimtebeheer (preview)

  • Van toepassing op: Microsoft Sentinel in the Azure portal

Meer informatie over het centraal beheren van meerdere Microsoft Sentinel werkruimten binnen een of meer Azure tenants met werkruimtebeheer. In dit artikel wordt uitgelegd hoe u werkruimtebeheer kunt inrichten en gebruiken. Of u nu een wereldwijde onderneming of een Managed Security Services Provider (MSSP) bent, werkruimtebeheer helpt u efficiënt op schaal te werken.

Dit zijn de actieve inhoudstypen die worden ondersteund met werkruimtebeheer:

  • Analyseregels
  • Automatiseringsregels (met uitzondering van playbooks)
  • Parsers, opgeslagen zoekopdrachten en functies
  • Opsporingsquery's
  • Werkmappen

Belangrijk

Ondersteuning voor werkruimtebeheer is momenteel beschikbaar in PREVIEW. De aanvullende voorwaarden voor Azure preview bevatten aanvullende juridische voorwaarden die van toepassing zijn op Azure functies die in bètaversie, preview of anderszins nog niet algemeen beschikbaar zijn.

Als u Microsoft Sentinel naar de Microsoft Defender-portal onboardt, raadpleegt u Microsoft Defender multitenantbeheer.

Vereisten

  • U hebt ten minste twee Microsoft Sentinel werkruimten nodig. Eén werkruimte waaruit moet worden beheerd en ten minste één andere werkruimte die moet worden beheerd.
  • De Microsoft Sentinel roltoewijzing inzender is vereist voor de centrale werkruimte (waar werkruimtebeheer is ingeschakeld) en voor de lidwerkruimte(s) die de inzender moet beheren. Zie Rollen en machtigingen in Microsoft Sentinel voor meer informatie over rollen in Microsoft Sentinel.
  • Schakel Azure Lighthouse in als u werkruimten beheert in meerdere Microsoft Entra tenants. Zie Microsoft Sentinel werkruimten op schaal beheren voor meer informatie.

Overwegingen

Configureer een centrale werkruimte als de omgeving waarin u inhoudsitems en configuraties consolideert die op schaal moeten worden gepubliceerd naar lidwerkruimten. Maak een nieuwe Microsoft Sentinel werkruimte of gebruik een bestaande werkruimte als centrale werkruimte.

Afhankelijk van uw scenario kunt u rekening houden met deze architecturen:

  • Direct-link is de minst complexe installatie. Beheer alle lidwerkruimten met slechts één centrale werkruimte.
  • Co-beheer ondersteunt scenario's waarin meer dan één centrale werkruimte een lidwerkruimte moet beheren. Bijvoorbeeld werkruimten die tegelijkertijd worden beheerd door een intern SOC-team en een MSSP.
  • N-Tier ondersteunt complexe scenario's waarbij een centrale werkruimte een andere centrale werkruimte beheert. Bijvoorbeeld een conglomeraat dat meerdere dochterondernemingen beheert, waarbij elke dochteronderneming ook meerdere werkruimten beheert.

Een diagram met verschillende architectuurkeuzes voor werkruimtebeheer in Microsoft Sentinel.

Werkruimtebeheer inschakelen in de centrale werkruimte

Schakel de centrale werkruimte in zodra u hebt besloten welke Microsoft Sentinel werkruimte de werkruimtebeheerder moet zijn.

  1. Navigeer naar de blade Instellingen in de bovenliggende werkruimte en schakel In de configuratie-instelling van werkruimtebeheer 'Deze werkruimte een bovenliggende werkruimte maken' in.

  2. Zodra dit is ingeschakeld, wordt een nieuw menu Werkruimtebeheer (preview) weergegeven onder Configuratie.

    Schermopname van de configuratie-instellingen voor werkruimtebeheer. Het menu-item dat is toegevoegd voor werkruimtebeheer is gemarkeerd en de wisselknop is ingeschakeld.

Werkruimten voor leden onboarden

Lidwerkruimten zijn de set werkruimten die wordt beheerd door werkruimtebeheer. Onboarden van sommige of alle werkruimten in de tenant en ook voor meerdere tenants (als Azure Lighthouse is ingeschakeld).

  1. Navigeer naar werkruimtebeheer en selecteer Werkruimten toevoegen Schermopname van het menu Werkruimte toevoegen.
  2. Selecteer de lidwerkruimte(s) die u wilt onboarden naar werkruimtebeheer. Schermopname van het selectiemenu werkruimte toevoegen.
  3. Zodra de onboarding is voltooid, neemt het aantal leden toe en worden uw ledenwerkruimten weergegeven op het tabblad Werkruimten . Schermopname toont de toegevoegde werkruimten en het aantal leden verhoogd naar 2.

Een groep maken

Met werkruimtebeheergroepen kunt u werkruimten samen organiseren op basis van bedrijfsgroepen, verticalen, geografie, enzovoort. Gebruik groepen om inhoudsitems te koppelen die relevant zijn voor de werkruimten.

Tip

Zorg ervoor dat u ten minste één actief inhoudsitem hebt geïmplementeerd in de centrale werkruimte. Hiermee kunt u inhoudsitems selecteren uit de centrale werkruimte die in de volgende stappen in de lidwerkruimte(s) moeten worden gepubliceerd.

  1. Een groep maken:

    • Als u één werkruimte wilt toevoegen, selecteert uGroeptoevoegen>.
    • Als u meerdere werkruimten wilt toevoegen, selecteert u de werkruimten en groep toevoegen>uit geselecteerd. Schermopname van het menu Groep toevoegen.

  2. Voer op de pagina Groep maken of bijwerken een naam en beschrijving in voor de groep. Schermopname van de pagina voor het maken of bijwerken van de configuratie van een groep.

  3. Selecteer op het tabblad Werkruimten selecteren de optie Toevoegen en selecteer de lidwerkruimten die u aan de groep wilt toevoegen.

  4. Op het tabblad Inhoud selecteren kunt u op twee manieren inhoudsitems toevoegen.

    • Methode 1: Selecteer het menu Toevoegen en kies Alle inhoud. Alle actieve inhoud die momenteel in de centrale werkruimte is geïmplementeerd, wordt toegevoegd. Deze lijst is een momentopname van een bepaald tijdstip waarin alleen actieve inhoud wordt geselecteerd, niet sjablonen.
    • Methode 2: Selecteer het menu Toevoegen en kies Inhoud. Er wordt een venster Inhoud selecteren geopend om de toegevoegde inhoud aangepast te selecteren. Schermopname van de selectie van de groepsinhoud.

  5. Filter de inhoud zo nodig voordat u Beoordelen en maken.

  6. Zodra het aantal groepen is gemaakt, neemt het aantal groepen toe en worden uw groepen weergegeven op het tabblad Groepen.

De groepsdefinitie publiceren

Op dit moment zijn de geselecteerde inhoudsitems nog niet gepubliceerd naar de lidwerkruimte(s).

Opmerking

De publicatieactie mislukt als het maximum aantal publicatiebewerkingen wordt overschreden. Overweeg om lidwerkruimten op te splitsen in extra groepen als u deze limiet nadert.

  1. Selecteer de groep >Inhoud publiceren.

    Schermopname van het publicatievenster voor groepen.

    Als u bulksgewijs wilt publiceren, selecteert u de gewenste groepen en selecteert u Publiceren. Schermopname van het publicatievenster voor meerdere select-groepen.

  2. De kolom Laatste publicatiestatus wordt bijgewerkt zodat deze wordt weergegeven in uitvoering. Schermopname van de voortgangskolom voor publicatie met meerdere groepen.

  3. Als dit is gelukt, wordt de status Laatste publicatie bijgewerkt om Geslaagd weer te geven. De geselecteerde inhoudsitems bevinden zich nu in de lidwerkruimten. Schermopname van de laatst gepubliceerde kolom met vermeldingen die zijn geslaagd.

    Als slechts één inhoudsitem niet kan worden gepubliceerd voor de hele groep, wordt de status Van laatste publicatiebijgewerkt naar Mislukt.

Problemen oplossen

Elke publicatiepoging heeft een koppeling voor hulp bij het oplossen van problemen als inhoudsitems niet kunnen worden gepubliceerd.

  1. Selecteer de hyperlink Mislukt om het venster Details van taakfouten te openen. Er wordt een status weergegeven voor elk inhoudsitem en het doelwerkruimtepaar.

  2. Filter de status op mislukte itemparen.

    Schermopname van de taakdetails van een groepspublicatiefout.

Veelvoorkomende redenen voor fouten zijn:

  • Inhoudsitems waarnaar wordt verwezen in de groepsdefinitie bestaan niet meer op het moment van publiceren (zijn verwijderd).
  • Machtigingen zijn gewijzigd op het moment van publiceren. De gebruiker is bijvoorbeeld geen Microsoft Sentinel inzender meer of heeft niet meer voldoende machtigingen voor de lidwerkruimte.
  • Een lidwerkruimte is verwijderd.

Bekende beperkingen

  • Het maximum aantal gepubliceerde bewerkingen per groep is 2000. Gepubliceerde bewerkingen = (lidwerkruimten) * (inhoudsitems).
    Als u bijvoorbeeld 10 lidwerkruimten in een groep hebt en u 20 inhoudsitems in die groep publiceert,
    gepubliceerde bewerkingen = 10 * 20 = 200.
  • Playbooks die worden toegeschreven aan of zijn gekoppeld aan analyse- en automatiseringsregels worden momenteel niet ondersteund.
  • Werkmappen die zijn opgeslagen in bring-your-own-storage worden momenteel niet ondersteund.
  • Werkruimtebeheer beheert alleen inhoudsitems die zijn gepubliceerd vanuit de centrale werkruimte. Er wordt geen inhoud beheerd die lokaal is gemaakt vanuit een of meer lidwerkruimten.
  • Momenteel wordt het verwijderen van inhoud die zich in een of meer lidwerkruimten bevindt, niet ondersteund via werkruimtebeheer.

API-verwijzingen

Volgende stappen

  • Last updated on