Поделиться через

Централизованное управление несколькими рабочими областями Microsoft Sentinel с помощью диспетчера рабочих областей (предварительная версия)

  • Применяется к: Microsoft Sentinel in the Azure portal

Узнайте, как централизованно управлять несколькими рабочими областями Microsoft Sentinel в одном или нескольких клиентах Azure с помощью диспетчера рабочих областей. В этой статье подробно рассматриваются процесс подготовки и использования менеджера рабочих областей. Независимо от того, являетесь ли вы глобальным предприятием или поставщиком управляемых служб безопасности (MSSP), менеджер рабочих пространств помогает эффективно масштабировать работу.

Ниже приведены активные типы контента, поддерживаемые диспетчером рабочих областей:

  • Правила аналитики
  • Правила автоматизации (за исключением сборников схем)
  • Синтаксический анализ, сохраненные поиски и функции
  • Запросы охоты
  • Учебные тетради

Внимание

Поддержка менеджера рабочих областей в настоящее время доступна в предварительной версии. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.

Если вы подключите Microsoft Sentinel к порталу Microsoft Defender, ознакомьтесь с мультитенантным управлением Microsoft Defender.

Предварительные условия

  • Вам потребуется по крайней мере две рабочие области Microsoft Sentinel. Одна рабочая область для управления и по крайней мере одна другая рабочая область, которой нужно управлять.
  • Назначение роли участника Microsoft Sentinel требуется в центральной рабочей области (где включен диспетчер рабочих областей) и в рабочих областях, которыми участник должен управлять. Дополнительные сведения о ролях в Microsoft Sentinel см. в статье "Роли и разрешения" в Microsoft Sentinel.
  • Включите Azure Lighthouse, если вы управляете рабочими областями в нескольких клиентах Microsoft Entra. Дополнительные сведения см. в статье "Управление рабочими областями Microsoft Sentinel в большом масштабе".

Рекомендации

Настройте центральную рабочую область, чтобы быть средой, в которой вы консолидируете элементы содержимого и конфигурации для публикации в масштабах рабочих областей-членов. Создайте новую рабочую область Microsoft Sentinel или используйте существующую для использования в качестве центральной рабочей области.

В зависимости от вашего сценария рассмотрите следующие архитектуры:

  • Прямая ссылка — это наименее сложная настройка. Управляйте всеми рабочими областями участников через одну центральную рабочую область.
  • Совместное управление поддерживает сценарии, в которых несколько центральных рабочих областей должны управлять рабочей областью-участником. Например, рабочие пространства одновременно управляются внутренней командой SOC и MSSP.
  • N-Уровень поддерживает сложные сценарии, в которых центральная рабочая область управляет другой центральной рабочей областью. Например, конгломерат, который управляет несколькими дочерними компаниями, где каждая дочерняя компания также управляет несколькими рабочими областями.

Схема с различными вариантами архитектуры для диспетчера рабочих областей в Microsoft Sentinel.

Включение диспетчера рабочих областей в центральной рабочей области

Включите центральную рабочую область после того, как вы решили, какая рабочая область Microsoft Sentinel должна быть диспетчером рабочих областей.

  1. Перейдите на панель Параметры в родительской рабочей области и включите параметр конфигурации диспетчера рабочих областей "Сделать эту рабочую область родительской".

  2. После включения новое меню «Диспетчер рабочей области (предварительная версия)» появится в меню «Конфигурация».

    На снимке экрана показаны параметры конфигурации диспетчера рабочих областей. Элемент меню, добавленный для диспетчера рабочих областей, выделен, и переключатель включен.

Подключение рабочих мест участников

Членские рабочие области — это набор рабочих областей, управляемых диспетчером рабочих областей. Подключение и интеграция некоторых или всех рабочих областей в арендатора, а также в нескольких арендаторах (если Azure Lighthouse включён).

  1. Перейдите к диспетчеру рабочих областей и выберите "Добавить рабочие области" Снимок экрана: меню добавления рабочей области.
  2. Выберите рабочие области пользователей, которые вы хотите подключить к менеджеру рабочих областей. Снимок экрана: меню выбора рабочей области добавления.
  3. После успешного подключения число участников увеличивается, а рабочие области членов отражаются на вкладке "Рабочие области".Снимок экрана: добавленные рабочие области и число участников увеличивается до 2.

Создать группу

Группы диспетчеров рабочих областей позволяют организовать рабочие области вместе на основе бизнес-групп, вертикали, географии и т. д. Используйте группы для связывания элементов содержимого, относящихся к рабочим областям.

Совет

Убедитесь, что у вас есть хотя бы один активный элемент содержимого, развернутый в центральной рабочей области. Это позволяет выбрать элементы содержимого из центральной рабочей области, которые будут опубликованы в рабочих областях-членах в последующих шагах.

  1. Чтобы создать группу, выполните приведенные действия.

    • Чтобы добавить одну рабочую область, нажмите кнопку "Добавить>группу".
    • Чтобы добавить несколько рабочих областей, выберите рабочие области и добавьте>группу из выбранной области. Снимок экрана: меню добавления группы.

  2. На странице "Создание или обновление группы" введите имя и описание группы. Снимок экрана: страница конфигурации для создания или обновления группы.

  3. На вкладке "Выбор рабочих областей" нажмите кнопку "Добавить " и выберите рабочие области участников, которые вы хотите добавить в группу.

  4. На вкладке "Выбор содержимого" есть 2 способа добавления элементов контента.

    • Метод 1. Выберите меню "Добавить " и выберите "Все содержимое". Всё активное содержимое, развернутое в центральной рабочей области, было добавлено. Этот список является снимком состояния на определенный момент времени, выбирающим только активные данные, а не шаблоны.
    • Метод 2. Выберите меню "Добавить " и выберите "Содержимое". Откроется окно выбора содержимого , чтобы выбрать добавленное содержимое. Снимок экрана: выбор содержимого группы.

  5. Отфильтруйте содержимое по мере необходимости перед просмотром и созданием.

  6. После создания число групп увеличивается, а группы отражаются на вкладке "Группы".

Публикация определения группы

На данный момент выбранные элементы содержимого еще не были опубликованы в рабочих областях участников.

Примечание.

Действие публикации завершится ошибкой, если превышено максимальное количество операций публикации. При подходе к этому ограничению рекомендуется разделить рабочие области членов на дополнительные группы.

  1. Выберите группу >публикации содержимого.

    Снимок экрана: окно публикации группы.

    Чтобы выполнить массовую публикацию, выберите нужные группы и выберите "Опубликовать". Снимок экрана: окно публикации группы с функцией множественного выбора.

  2. Столбец статуса последней публикации обновляется, чтобы отразить в процессе. Снимок экрана: столбец с прогрессом публикации в нескольких группах.

  3. При успешном выполнении статус последней публикации обновляется, чтобы отразить Успех. Выбранные элементы содержимого теперь доступны в рабочих областях участников. Снимок экрана показывает последний опубликованный столбец с записями, которые были успешно завершены.

    Если хотя бы один элемент содержимого не удается опубликовать для всей группы, состояние последней публикации обновляется, чтобы отразить Неуспешно.

Устранение неполадок

Каждая попытка публикации содержит ссылку для устранения неполадок при сбое публикации элементов содержимого.

  1. Выберите гиперссылку "Сбой", чтобы открыть окно сведений о сбое задания. Отображается состояние каждого элемента содержимого и целевой пары рабочей области.

  2. Отфильтруйте состояние для пар элементов с неисправностью.

    Снимок экрана: сведения о задании события сбоя публикации группы.

Обычные причины сбоев перечислены ниже.

  • Элементы содержимого, на которые ссылается определение группы, больше не существуют во время публикации (удалены).
  • Разрешения изменились во время публикации. Например, пользователь больше не является участником Microsoft Sentinel Contributor или не имеет достаточных разрешений на рабочую область, принадлежащую участнику.
  • Рабочая область члена удалена.

Известные ограничения

  • Максимальное число опубликованных операций для каждой группы — 2000. Опубликованные операции = (рабочие пространства участников) * (элементы содержимого).
    Например, если в группе есть 10 рабочих областей участников и вы публикуете 20 элементов содержимого в этой группе,
    опубликованные операции = 10 * 20 = 200.
  • Плейбуки, отнесённые или прикреплённые к правилам аналитики и автоматизации, сейчас не поддерживаются.
  • Документы, хранящиеся в пользовательском хранилище, в настоящее время не поддерживаются.
  • Диспетчер рабочих областей управляет только элементами содержимого, опубликованными из центральной рабочей области. Он не управляет контентом, созданным локально из рабочих областей участников.
  • В настоящее время удаление содержимого, размещенного в рабочих областях-членах, централизованно с помощью менеджера рабочих областей не поддерживается.

Справочники по API

Следующие шаги

  • Last updated on