Udostępnij za pośrednictwem

Centralne zarządzanie wieloma obszarami roboczymi usługi Microsoft Sentinel za pomocą menedżera obszarów roboczych (wersja zapoznawcza)

  • Artykuł

Dowiedz się, jak centralnie zarządzać wieloma obszarami roboczymi usługi Microsoft Sentinel w co najmniej jednej dzierżawie platformy Azure za pomocą menedżera obszaru roboczego. Ten artykuł zawiera omówienie aprowizacji i użycia menedżera obszarów roboczych. Niezależnie od tego, czy jesteś globalnym przedsiębiorstwem, czy dostawcą usług zabezpieczeń zarządzanych (MSSP), menedżer obszaru roboczego pomaga wydajnie działać na dużą skalę.

Oto aktywne typy zawartości obsługiwane przez menedżera obszarów roboczych:

  • Reguły analizy
  • Reguły automatyzacji (z wyłączeniem podręczników)
  • Analizatory, zapisane wyszukiwania i funkcje
  • Zapytania dotyczące wyszukiwania zagrożeń i transmisji strumieniowej na żywo
  • Skoroszyty

Ważne

Obsługa menedżera obszarów roboczych jest obecnie dostępna w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Wymagania wstępne

  • Potrzebujesz co najmniej dwóch obszarów roboczych usługi Microsoft Sentinel. Jeden obszar roboczy do zarządzania z co najmniej jednego innego obszaru roboczego do zarządzania.
  • Przypisanie roli Współautor usługi Microsoft Sentinel jest wymagane w centralnym obszarze roboczym (w którym jest włączony menedżer obszaru roboczego), a w obszarach roboczych członków współautor musi zarządzać. Aby dowiedzieć się więcej o rolach w usłudze Microsoft Sentinel, zobacz Role i uprawnienia w usłudze Microsoft Sentinel.
  • Włącz usługę Azure Lighthouse, jeśli zarządzasz obszarami roboczymi w wielu dzierżawach firmy Microsoft Entra. Aby dowiedzieć się więcej, zobacz Zarządzanie obszarami roboczymi usługi Microsoft Sentinel na dużą skalę.

Kwestie wymagające rozważenia

Skonfiguruj centralny obszar roboczy jako środowisko, w którym konsolidujesz elementy zawartości i konfiguracje, które mają być publikowane na dużą skalę w obszarach roboczych elementów członkowskich. Utwórz nowy obszar roboczy usługi Microsoft Sentinel lub użyj istniejącego obszaru roboczego, aby służyć jako centralny obszar roboczy.

W zależności od scenariusza należy wziąć pod uwagę następujące architektury:

  • Bezpośredni link jest najmniej złożoną konfiguracją. Steruj wszystkimi obszarami roboczymi elementów członkowskich tylko jednym centralnym obszarem roboczym.
  • Współzarządzanie obsługuje scenariusze, w których więcej niż jeden centralny obszar roboczy musi zarządzać obszarem roboczym członka. Na przykład obszary robocze zarządzane jednocześnie przez wewnętrzny zespół SOC i dostawcę msSP.
  • Warstwa N obsługuje złożone scenariusze, w których centralny obszar roboczy kontroluje inny centralny obszar roboczy. Na przykład konglomerat, który zarządza wieloma spółkami zależnymi, gdzie każda spółka zależna zarządza również wieloma obszarami roboczymi.

Diagram przedstawiający różne opcje architektury dla menedżera obszarów roboczych w usłudze Microsoft Sentinel.

Włączanie menedżera obszarów roboczych w centralnym obszarze roboczym

Włącz centralny obszar roboczy po podjęciu decyzji, który obszar roboczy usługi Microsoft Sentinel powinien być menedżerem obszaru roboczego.

  1. Przejdź do bloku Ustawienia w nadrzędnym obszarze roboczym i przełącz ustawienie konfiguracji Menedżera obszarów roboczych na "Ustaw ten obszar roboczy jako nadrzędny".

  2. Po włączeniu nowego menu Menedżer obszaru roboczego (wersja zapoznawcza) zostanie wyświetlone w obszarze Konfiguracja.

    Zrzut ekranu przedstawiający ustawienia konfiguracji menedżera obszarów roboczych. Element menu dodany dla menedżera obszarów roboczych jest wyróżniony i włączony przycisk przełącznika.

Dołączanie obszarów roboczych elementów członkowskich

Obszary robocze członkowskie to zestaw obszarów roboczych zarządzanych przez menedżera obszarów roboczych. Dołączanie niektórych lub wszystkich obszarów roboczych w dzierżawie oraz w wielu dzierżawach (jeśli usługa Azure Lighthouse jest włączona).

  1. Przejdź do menedżera obszaru roboczego i wybierz pozycję "Dodaj obszary robocze" Zrzut ekranu przedstawiający menu dodawania obszaru roboczego.
  2. Wybierz obszary robocze członków, które chcesz dołączyć do menedżera obszarów roboczych. Zrzut ekranu przedstawiający menu wyboru dodaj obszar roboczy.
  3. Po pomyślnym dołączeniu liczba członków zwiększa się, a obszary robocze członków zostaną odzwierciedlone na karcie Obszary robocze.Zrzut ekranu przedstawia dodane obszary robocze i liczbę członków zwiększoną do 2.

Tworzenie grupy

Grupy menedżerów obszarów roboczych umożliwiają organizowanie obszarów roboczych razem na podstawie grup biznesowych, pionowych, geograficznych itp. Użyj grup do parowania elementów zawartości odpowiednich dla obszarów roboczych.

Napiwek

Upewnij się, że w centralnym obszarze roboczym wdrożono co najmniej jeden aktywny element zawartości. Dzięki temu można wybrać elementy zawartości z centralnego obszaru roboczego do opublikowania w obszarach roboczych składowych w kolejnych krokach.

  1. Aby utworzyć grupę:

    • Aby dodać jeden obszar roboczy, wybierz pozycję Dodaj>grupę.
    • Aby dodać wiele obszarów roboczych, wybierz wybrane obszary robocze i pozycję Dodaj>grupę. Zrzut ekranu przedstawiający menu dodaj grupę.

  2. Na stronie Tworzenie lub aktualizowanie grupy wprowadź nazwę i opis grupy. Zrzut ekranu przedstawiający stronę konfiguracji tworzenia lub aktualizowania grupy.

  3. Na karcie Wybieranie obszarów roboczych wybierz pozycję Dodaj i wybierz obszary robocze członków, które chcesz dodać do grupy.

  4. Na karcie Wybieranie zawartości masz 2 sposoby dodawania elementów zawartości.

    • Metoda 1. Wybierz menu Dodaj i wybierz pozycję Cała zawartość. Dodawana jest cała aktywna zawartość aktualnie wdrożona w centralnym obszarze roboczym. Ta lista jest migawką punktu w czasie, która wybiera tylko aktywną zawartość, a nie szablony.
    • Metoda 2. Wybierz menu Dodaj i wybierz pozycję Zawartość. Zostanie otwarte okno Wybieranie zawartości , aby wybrać dodaną zawartość niestandardową. Zrzut ekranu przedstawiający wybór zawartości grupy.

  5. Przefiltruj zawartość zgodnie z potrzebami przed rozpoczęciem przeglądania i tworzenia.

  6. Po utworzeniu liczba grup zwiększa się, a grupy są odzwierciedlane na karcie Grupy.

Publikowanie definicji grupy

Na tym etapie wybrane elementy zawartości nie zostały jeszcze opublikowane w obszarach roboczych składowych.

Uwaga

Akcja publikowania zakończy się niepowodzeniem, jeśli przekroczono maksymalną liczbę operacji publikowania. Rozważ podzielenie obszarów roboczych członków na dodatkowe grupy, jeśli zbliżasz się do tego limitu.

  1. Wybierz grupę >Publikuj zawartość.

    Zrzut ekranu przedstawiający okno publikowania grupy.

    Aby opublikować zbiorczo, wybierz wiele żądanych grup i wybierz pozycję Publikuj. Zrzut ekranu przedstawiający okno publikowania grup wielokrotnego wyboru.

  2. Aktualizacje kolumny Stan ostatniego publikowania, aby odzwierciedlić wartość W toku. Zrzut ekranu przedstawiający kolumnę postępu publikowania w wielu grupach.

  3. Jeśli operacja powiedzie się, stan ostatniego publikowania zostanie zaktualizowany, aby odzwierciedlić komunikat Powodzenie. Wybrane elementy zawartości istnieją teraz w obszarach roboczych elementów członkowskich. Zrzut ekranu przedstawia ostatnią opublikowaną kolumnę z wpisami, które zakończyły się pomyślnie.

    Jeśli publikowanie tylko jednego elementu zawartości nie powiedzie się dla całej grupy, aktualizacje stanu ostatniego publikowania będą odzwierciedlać niepowodzenie.

Rozwiązywanie problemów

Każda próba publikowania zawiera link, który ułatwia rozwiązywanie problemów, jeśli publikowanie elementów zawartości nie powiedzie się.

  1. Wybierz hiperlink Niepowodzenie, aby otworzyć okno szczegółów niepowodzenia zadania. Zostanie wyświetlony stan dla każdego elementu zawartości i docelowej pary obszarów roboczych.

  2. Przefiltruj stan dla par elementów, które zakończyły się niepowodzeniem.

    Zrzut ekranu przedstawia szczegóły zadania zdarzenia niepowodzenia publikowania grupy.

Typowe przyczyny niepowodzenia:

  • Elementy zawartości, do których odwołuje się definicja grupy, nie istnieją już w momencie publikowania (zostały usunięte).
  • Uprawnienia uległy zmianie w momencie publikowania. Na przykład użytkownik nie jest już współautorem usługi Microsoft Sentinel lub nie ma już wystarczających uprawnień do obszaru roboczego członka.
  • Obszar roboczy elementu członkowskiego został usunięty.

Znane ograniczenia

  • Maksymalna liczba opublikowanych operacji na grupę wynosi 2000. Opublikowane operacje = (obszary robocze składowych) * (elementy zawartości).
    Jeśli na przykład masz 10 obszarów roboczych członkowskich w grupie i publikujesz 20 elementów zawartości w tej grupie,
    opublikowane operacje = 10 * 20 200. =
  • Podręczniki przypisane lub dołączone do reguł analizy i automatyzacji nie są obecnie obsługiwane.
  • Skoroszyty przechowywane w magazynie bring-your-own-storage nie są obecnie obsługiwane.
  • Menedżer obszarów roboczych zarządza tylko elementami zawartości opublikowanymi z centralnego obszaru roboczego. Nie zarządza on zawartością utworzoną lokalnie na podstawie obszarów roboczych składowych.
  • Obecnie usuwanie zawartości znajdującej się w obszarach roboczych członkowskich centralnie za pośrednictwem menedżera obszarów roboczych nie jest obsługiwane.

Odwołania do interfejsu API

Następne kroki