Utöka Microsoft Sentinel mellan arbetsytor och klientorganisationer

När du registrerar Microsoft Sentinel är ditt första steg att välja din Log Analytics-arbetsyta. Du kan dra full nytta av Microsoft Sentinel-upplevelsen med en enda arbetsyta, men i vissa fall kanske du vill utöka din arbetsyta för att fråga och analysera dina data mellan arbetsytor och klientorganisationer. Läs mer om hur Microsoft Sentinel kan utökas över flera arbetsytor.

Hantera incidenter på flera arbetsytor

Microsoft Sentinel har stöd för en incidentvy med flera arbetsytor där du centralt kan hantera och övervaka incidenter på flera arbetsytor. Med den centraliserade incidentvyn kan du hantera incidenter direkt eller öka detaljnivån transparent till incidentinformationen i kontexten för den ursprungliga arbetsytan.

Fråga flera arbetsytor

Du kan köra frågor mot flera arbetsytor så att du kan söka efter och korrelera data från flera arbetsytor i en enda fråga.

• workspace( ) Använd uttrycket med arbetsyteidentifieraren som argument för att referera till en tabell i en annan arbetsyta.

  • Se viktig information om hur du använder identifierarformat för att säkerställa korrekt prestanda.

• Använd union-operatorn tillsammans med workspace( ) uttrycket för att tillämpa en fråga mellan tabeller på flera arbetsytor.

• Du kan använda sparade funktioner för att förenkla frågor mellan arbetsytor. Du kan till exempel förkorta en lång referens till tabellen SecurityEvent på kund A:s arbetsyta genom att spara uttrycket

  workspace("/subscriptions/<customerA_subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName>").SecurityEvent
  

  som en funktion med namnet SecurityEventCustomerA. Du kan sedan fråga Kund A:s SecurityEvent-tabell med den här funktionen: SecurityEventCustomerA | where ... .

• En funktion kan också förenkla en vanlig union. Du kan till exempel spara följande uttryck som en funktion med namnet unionSecurityEvent:

  union 
  workspace("/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName1>").SecurityEvent, 
  workspace("/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName2>").SecurityEvent
  

  Du kan sedan skriva en fråga på båda arbetsytorna genom att börja med unionSecurityEvent | where ... .

Inkludera frågor mellan arbetsytor i schemalagda analysregler

Du kan inkludera frågor mellan arbetsytor i schemalagda analysregler. Du kan använda analysregler för flera arbetsytor i en central SOC och mellan klienter (med Hjälp av Azure Lighthouse) som är lämpliga för MSSP:er. Den här användningen omfattas av följande begränsningar:

• Du kan inkludera upp till 20 arbetsytor i en enda fråga. För bra prestanda rekommenderar vi dock att du inte inkluderar mer än 5.
• Du måste distribuera Microsoft Sentinel på alla arbetsytor som refereras i frågan.
• Aviseringar som genereras av en analysregel mellan arbetsytor och de incidenter som skapats från dem finns bara på arbetsytan där regeln definierades. Aviseringarna visas inte på någon av de andra arbetsytor som refereras i frågan.
• En analysregel för flera arbetsytor, precis som alla analysregler, fortsätter att köras även om användaren som skapade regeln förlorar åtkomsten till arbetsytor som refereras till i regelns fråga. Det enda undantaget är när det gäller arbetsytor i olika prenumerationer och/eller klientorganisationer än analysregeln.

Aviseringar och incidenter som skapats av analysregler mellan arbetsytor innehåller alla relaterade entiteter, inklusive de från alla refererade arbetsytor och arbetsytan "hem" (där regeln definierades). På så sätt får analytiker en fullständig bild av aviseringar och incidenter.

Kommentar

Att köra frågor mot flera arbetsytor i samma fråga kan påverka prestanda och rekommenderas därför endast när logiken kräver den här funktionen.

Använda arbetsböcker mellan arbetsytor

Arbetsböcker tillhandahåller instrumentpaneler och appar till Microsoft Sentinel. När du arbetar med flera arbetsytor tillhandahåller arbetsböcker övervakning och åtgärder mellan arbetsytor.

Arbetsböcker kan tillhandahålla frågor mellan arbetsytor i någon av tre metoder som är lämpliga för olika nivåer av slutanvändarexpertis:

Metod	Description	När ska jag använda?
Skriva frågor mellan arbetsytor	Arbetsbokens skapare kan skriva frågor mellan arbetsytor (beskrivs ovan) i arbetsboken.	Jag vill att arbetsbokens skapare ska skapa en arbetsytestruktur som är transparent för användaren.
Lägga till en arbetsyteväljare i arbetsboken	Arbetsbokens skapare kan implementera en arbetsyteväljare som en del av arbetsboken.	Jag vill att användaren ska kunna styra arbetsytorna som visas i arbetsboken med en lättanvänd listruta.
Redigera arbetsboken interaktivt	En avancerad användare som ändrar en befintlig arbetsbok kan redigera frågorna i den och välja målarbetsytor med hjälp av arbetsyteväljaren i redigeraren.	Jag vill att en energianvändare enkelt ska kunna ändra befintliga arbetsböcker så att de fungerar med flera arbetsytor.

Jaga över flera arbetsytor

Microsoft Sentinel innehåller förinstallerade frågeexempel som är utformade för att komma igång och bekanta dig med tabellerna och frågespråket. Microsofts säkerhetsforskare lägger ständigt till nya inbyggda frågor och finjusterar befintliga frågor. Du kan använda dessa frågor för att leta efter nya identifieringar och identifiera tecken på intrång som dina säkerhetsverktyg kan ha missat.

Jaktfunktioner mellan arbetsytor gör det möjligt för dina hotjägare att skapa nya jaktfrågor, eller anpassa befintliga, för att täcka flera arbetsytor, med hjälp av fackföreningsoperatorn och arbetsytan() som visas ovan.

Hantera flera arbetsytor med automatisering

För att konfigurera och hantera flera Microsoft Sentinel-arbetsytor måste du automatisera användningen av Microsoft Sentinel-hanterings-API:et.

• Lär dig hur du automatiserar distributionen av Microsoft Sentinel-resurser, inklusive aviseringsregler, jaktfrågor, arbetsböcker och spelböcker.
• Lär dig hur du distribuerar anpassat innehåll från lagringsplatsen. Den här resursen innehåller en konsoliderad metod för att hantera Microsoft Sentinel som kod och för att distribuera och konfigurera resurser från en privat Azure DevOps- eller GitHub-lagringsplats.

Hantera arbetsytor mellan klienter med hjälp av Azure Lighthouse

Som nämnts ovan kan de olika Microsoft Sentinel-arbetsytorna finnas i olika Microsoft Entra-klienter i många scenarier. Du kan använda Azure Lighthouse för att utöka alla aktiviteter mellan arbetsytor över klientorganisationsgränser, så att användare i din hanteringsklient kan arbeta på Microsoft Sentinel-arbetsytor i alla klienter.

När Azure Lighthouse har registrerats använder du katalogen + prenumerationsväljaren på Azure-portalen för att välja alla prenumerationer som innehåller arbetsytor som du vill hantera, för att säkerställa att alla är tillgängliga i de olika arbetsyteväljarna i portalen.

När du använder Azure Lighthouse rekommenderar vi att du skapar en grupp för varje Microsoft Sentinel-roll och delegerar behörigheter från varje klientorganisation till dessa grupper.

Nästa steg

I den här artikeln har du lärt dig hur Microsoft Sentinels funktioner kan utökas mellan flera arbetsytor och klientorganisationer. Praktisk vägledning om hur du implementerar Microsoft Sentinels arkitektur för flera arbetsytor finns i följande artiklar:

• Lär dig hur du arbetar med flera klienter i Microsoft Sentinel med hjälp av Azure Lighthouse.
• Lär dig hur du visar och hanterar incidenter på flera arbetsytor sömlöst.