Centralne zarządzanie wieloma obszarami roboczymi Microsoft Sentinel przy użyciu menedżera obszarów roboczych (wersja zapoznawcza)

  • Dotyczy: Microsoft Sentinel in the Azure portal

Dowiedz się, jak centralnie zarządzać wieloma obszarami roboczymi Microsoft Sentinel w ramach co najmniej jednego Azure dzierżawy za pomocą menedżera obszarów roboczych. Ten artykuł przeprowadzi Cię przez aprowizację i użycie menedżera obszaru roboczego. Niezależnie od tego, czy jesteś globalnym przedsiębiorstwem, czy dostawcą zarządzanych usług zabezpieczeń (MSSP), menedżer obszaru roboczego ułatwia wydajne działanie na dużą skalę.

Poniżej przedstawiono aktywne typy zawartości obsługiwane przez menedżera obszarów roboczych:

  • Reguły analizy
  • Reguły automatyzacji (z wyłączeniem podręczników)
  • Analizatory, zapisane wyszukiwania i funkcje
  • Zapytania dotyczące wyszukiwania zagrożeń
  • Skoroszytów

Ważna

Obsługa menedżera obszarów roboczych jest obecnie dostępna w wersji zapoznawczej. Dodatkowe warunki Azure (wersja zapoznawcza) obejmują dodatkowe warunki prawne, które mają zastosowanie do funkcji Azure, które są w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze udostępnione do ogólnej dostępności.

Jeśli dołączasz Microsoft Sentinel do portalu Microsoft Defender, zobacz zarządzanie wielodostępne Microsoft Defender.

Wymagania wstępne

Zagadnienia dotyczące

Skonfiguruj centralny obszar roboczy tak, aby był środowiskiem, w którym konsolidujesz elementy zawartości i konfiguracje, które mają być publikowane na dużą skalę w obszarach roboczych elementów członkowskich. Utwórz nowy obszar roboczy Microsoft Sentinel lub użyj istniejącego obszaru roboczego, aby służyć jako centralny obszar roboczy.

W zależności od scenariusza rozważ następujące architektury:

  • Połączenie bezpośrednie to najmniej złożona konfiguracja. Kontroluj wszystkie obszary robocze elementów członkowskich, korzystając tylko z jednego centralnego obszaru roboczego.
  • Współzarządzanie obsługuje scenariusze, w których więcej niż jeden centralny obszar roboczy musi zarządzać obszarem roboczym elementu członkowskiego. Na przykład obszary robocze zarządzane jednocześnie przez zespół SOC i firmę MSSP.
  • Warstwa N obsługuje złożone scenariusze, w których centralny obszar roboczy kontroluje inny centralny obszar roboczy. Na przykład konglomerat, który zarządza wieloma jednostkami zależnymi, gdzie każda jednostka zależna zarządza również wieloma obszarami roboczymi.

Diagram przedstawiający różne opcje architektury dla menedżera obszarów roboczych w Microsoft Sentinel.

Włączanie menedżera obszaru roboczego w centralnym obszarze roboczym

Włącz centralny obszar roboczy po podjęciu decyzji, która Microsoft Sentinel obszaru roboczego powinna być menedżerem obszaru roboczego.

  1. Przejdź do bloku Ustawienia w nadrzędnym obszarze roboczym i przełącz ustawienie Konfiguracja menedżera obszaru roboczego na wartość "Ustaw ten obszar roboczy jako nadrzędny".

  2. Po włączeniu nowego menu Menedżer obszaru roboczego (wersja zapoznawcza) zostanie wyświetlone w obszarze Konfiguracja.

    Zrzut ekranu przedstawiający ustawienia konfiguracji menedżera obszaru roboczego. Element menu dodany dla menedżera obszarów roboczych jest wyróżniony, a przycisk przełączania jest włączony.

Dołączanie obszarów roboczych elementów członkowskich

Obszary robocze członkowskie to zestaw obszarów roboczych zarządzanych przez menedżera obszarów roboczych. Dołącz część lub wszystkie obszary robocze w dzierżawie, a także w wielu dzierżawach (jeśli Azure jest włączona usługa Lighthouse).

  1. Przejdź do menedżera obszaru roboczego i wybierz pozycję "Dodaj obszary robocze" Zrzut ekranu przedstawiający menu dodawanie obszaru roboczego.
  2. Wybierz obszary robocze członków, które chcesz dołączyć do menedżera obszarów roboczych. Zrzut ekranu przedstawiający menu wyboru dodaj obszar roboczy.
  3. Po pomyślnym dołączeniu liczba członków zwiększa się, a obszary robocze członków są odzwierciedlane na karcie Obszary robocze . Zrzut ekranu przedstawia dodane obszary robocze i liczbę członków zwiększoną do 2.

Tworzenie grupy

Grupy menedżera obszarów roboczych umożliwiają organizowanie obszarów roboczych na podstawie grup biznesowych, pionów, geografii itp. Grupy umożliwiają parowanie elementów zawartości odpowiednich dla obszarów roboczych.

Porada

Upewnij się, że w centralnym obszarze roboczym wdrożono co najmniej jeden aktywny element zawartości. Umożliwia to wybranie elementów zawartości z centralnego obszaru roboczego do opublikowania w obszarach roboczych składowych w kolejnych krokach.

  1. Aby utworzyć grupę:

    • Aby dodać jeden obszar roboczy, wybierz pozycję Dodaj>grupę.
    • Aby dodać wiele obszarów roboczych, wybierz obszary robocze i dodaj>grupę z wybranych obszarów. Zrzut ekranu przedstawiający menu dodaj grupę.

  2. Na stronie Tworzenie lub aktualizowanie grupy wprowadź nazwę i opis grupy. Zrzut ekranu przedstawiający stronę tworzenia lub aktualizowania konfiguracji grupy.

  3. Na karcie Wybieranie obszarów roboczych wybierz pozycję Dodaj i wybierz obszary robocze elementów członkowskich, które chcesz dodać do grupy.

  4. Na karcie Wybierz zawartość masz 2 sposoby dodawania elementów zawartości.

    • Metoda 1. Wybierz menu Dodaj i wybierz pozycję Cała zawartość. Dodawana jest cała aktywna zawartość aktualnie wdrożona w centralnym obszarze roboczym. Ta lista jest migawką punktu w czasie, która wybiera tylko aktywną zawartość, a nie szablony.
    • Metoda 2. Wybierz menu Dodaj i wybierz pozycję Zawartość. Zostanie otwarte okno Wybierz zawartość , aby wybrać niestandardową zawartość dodaną. Zrzut ekranu przedstawiający wybór zawartości grupy.

  5. Przefiltruj zawartość zgodnie z potrzebami przed przejrzeniem i utworzeniem.

  6. Po utworzeniu liczba grup zwiększa się, a grupy są odzwierciedlane na karcie Grupy.

Publikowanie definicji grupy

W tym momencie wybrane elementy zawartości nie zostały jeszcze opublikowane w obszarach roboczych elementu członkowskiego.

Uwaga

Akcja publikowania zakończy się niepowodzeniem w przypadku przekroczenia maksymalnej liczby operacji publikowania . Rozważ podzielenie obszarów roboczych członków na dodatkowe grupy, jeśli zbliżasz się do tego limitu.

  1. Wybierz grupę >Publikuj zawartość.

    Zrzut ekranu przedstawiający okno publikowania grupy.

    Aby opublikować zbiorczo, wybierz wiele wybranych grup i wybierz pozycję Publikuj. Zrzut ekranu przedstawiający okno publikowania grup wielokrotnego wybierania.

  2. Kolumna Stan ostatniego publikowania jest aktualizowana w celu odzwierciedlenia w toku. Zrzut ekranu przedstawiający kolumnę postępu publikowania wielu grup.

  3. Jeśli operacja zakończy się pomyślnie, stan Ostatnia publikacja zostanie zaktualizowany w celu odzwierciedlenia stanu Powodzenie. Wybrane elementy zawartości istnieją teraz w obszarach roboczych elementów członkowskich. Zrzut ekranu przedstawia ostatnią opublikowaną kolumnę z wpisami, które zakończyły się powodzeniem.

    Jeśli tylko jeden element zawartości nie może opublikować dla całej grupy, stan Ostatnia publikacja zostanie zaktualizowany w celu odzwierciedlenia błędu.

Rozwiązywanie problemów

Każda próba publikowania zawiera link ułatwiający rozwiązywanie problemów z niepowodzeniem publikowania elementów zawartości.

  1. Wybierz hiperłącze Zakończone niepowodzeniem , aby otworzyć okno szczegółów niepowodzenia zadania. Zostanie wyświetlony stan dla każdej pary elementów zawartości i docelowego obszaru roboczego.

  2. Filtruj stan dla par elementów zakończonych niepowodzeniem.

    Zrzut ekranu przedstawia szczegóły zadania zdarzenia niepowodzenia publikowania grupy.

Typowe przyczyny niepowodzenia to:

  • Elementy zawartości, do których odwołuje się definicja grupy, nie istnieją już w momencie publikowania (zostały usunięte).
  • Uprawnienia uległy zmianie w momencie publikowania. Na przykład użytkownik nie jest już współautorem Microsoft Sentinel lub nie ma już wystarczających uprawnień w obszarze roboczym elementu członkowskiego.
  • Obszar roboczy elementu członkowskiego został usunięty.

Znane ograniczenia

  • Maksymalna liczba opublikowanych operacji na grupę wynosi 2000. Opublikowane operacje = (obszary robocze składowe) * (elementy zawartości).
    Jeśli na przykład masz 10 obszarów roboczych członkowskich w grupie i publikujesz 20 elementów zawartości w tej grupie,
    opublikowane operacje = 10 * 20 = 200.
  • Podręczniki przypisywane lub dołączane do reguł analizy i automatyzacji nie są obecnie obsługiwane.
  • Skoroszyty przechowywane w magazynie bring-your-own-storage nie są obecnie obsługiwane.
  • Menedżer obszarów roboczych zarządza tylko elementami zawartości opublikowanymi z centralnego obszaru roboczego. Nie zarządza zawartością utworzoną lokalnie z obszarów roboczych elementów członkowskich.
  • Obecnie usuwanie zawartości, która znajduje się w obszarach roboczych elementów członkowskich centralnie za pośrednictwem menedżera obszarów roboczych, nie jest obsługiwane.

Dokumentacja interfejsu API

Następne kroki

  • Last updated on