Hantera flera Microsoft Sentinel arbetsytor centralt med arbetsytehanteraren (förhandsversion)

  • Gäller för: Microsoft Sentinel in the Azure portal

Lär dig hur du centralt hanterar flera Microsoft Sentinel arbetsytor i en eller flera Azure klientorganisationer med arbetsytehanteraren. Den här artikeln tar dig igenom etablering och användning av arbetsytehanteraren. Oavsett om du är ett globalt företag eller en leverantör av hanterade säkerhetstjänster (MSSP) hjälper arbetsytehanteraren dig att arbeta effektivt i stor skala.

Här är de aktiva innehållstyper som stöds med arbetsytehanteraren:

  • Analysregler
  • Automatiseringsregler (exklusive spelböcker)
  • Parsers, sparade sökningar och funktioner
  • Jaktfrågor
  • Arbetsböcker

Viktigt

Stöd för arbetsytehanteraren finns för närvarande i FÖRHANDSVERSION. De kompletterande villkoren för Azure förhandsversion innehåller ytterligare juridiska villkor som gäller för Azure funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

Om du registrerar Microsoft Sentinel till Microsoft Defender-portalen kan du läsa Microsoft Defender hantering av flera klientorganisationer.

Förhandskrav

Överväganden

Konfigurera en central arbetsyta så att den är den miljö där du konsoliderar innehållsobjekt och konfigurationer som ska publiceras i stor skala till medlemsarbetsytor. Skapa en ny Microsoft Sentinel arbetsyta eller använd en befintlig för att fungera som den centrala arbetsytan.

Beroende på ditt scenario bör du tänka på följande arkitekturer:

  • Direktlänk är den minst komplexa konfigurationen. Kontrollera alla medlemsarbetsytor med endast en central arbetsyta.
  • Samhantering stöder scenarier där mer än en central arbetsyta behöver hantera en medlemsarbetsyta. Till exempel arbetsytor som hanteras samtidigt av ett internt SOC-team och en MSSP.
  • N-nivå stöder komplexa scenarier där en central arbetsyta styr en annan central arbetsyta. Till exempel ett konglomerat som hanterar flera dotterbolag, där varje dotterbolag också hanterar flera arbetsytor.

Ett diagram som visar olika arkitekturalternativ för arbetsytehanteraren i Microsoft Sentinel.

Aktivera arbetsytehanteraren på den centrala arbetsytan

Aktivera den centrala arbetsytan när du har bestämt vilken Microsoft Sentinel arbetsyta som ska vara arbetsytehanteraren.

  1. Gå till bladet Inställningar på den överordnade arbetsytan och växla konfigurationsinställningen för arbetsytehanteraren till "Gör den här arbetsytan till överordnad".

  2. När den är aktiverad visas en ny meny arbetsytehanterare (förhandsversion) under Konfiguration.

    Skärmbild som visar konfigurationsinställningarna för arbetsytehanteraren. Menyalternativet som lagts till för arbetsytehanteraren är markerat och växlingsknappen aktiverad.

Registrera medlemsarbetsytor

Medlemsarbetsytor är en uppsättning arbetsytor som hanteras av arbetsytehanteraren. Registrera vissa eller alla arbetsytor i klientorganisationen och över flera klienter också (om Azure Lighthouse är aktiverat).

  1. Gå till arbetsytehanteraren och välj Lägg till arbetsytor Skärmbild som visar menyn Lägg till arbetsyta.
  2. Välj de medlemsarbetsytor som du vill publicera till arbetsytehanteraren. Skärmbild som visar menyn lägg till val av arbetsyta.
  3. När antalet medlemmar har registrerats ökar och dina medlemsarbetsytor visas på fliken Arbetsytor . Skärmbild som visar de tillagda arbetsytorna och antalet medlemmar ökade till 2.

Skapa en grupp

Med arbetsytehanterargrupper kan du organisera arbetsytor tillsammans baserat på affärsgrupper, lodräta områden, geografi osv. Använd grupper för att koppla ihop innehållsobjekt som är relevanta för arbetsytorna.

Tips

Kontrollera att minst ett aktivt innehållsobjekt har distribuerats på den centrala arbetsytan. På så sätt kan du välja innehållsobjekt från den centrala arbetsytan som ska publiceras på medlemsarbetsytorna i efterföljande steg.

  1. Så här skapar du en grupp:

    • Om du vill lägga till en arbetsyta väljer du Lägg till>grupp.
    • Om du vill lägga till flera arbetsytor väljer du arbetsytorna och Lägg till>grupp från valt. Skärmbild som visar menyn Lägg till grupp.

  2. På sidan Skapa eller uppdatera grupp anger du ett Namn och en Beskrivning för gruppen. Skärmbild som visar konfigurationssidan för gruppskapande eller uppdatering.

  3. På fliken Välj arbetsytor väljer du Lägg till och väljer de medlemsarbetsytor som du vill lägga till i gruppen.

  4. På fliken Välj innehåll har du två sätt att lägga till innehållsobjekt.

    • Metod 1: Välj menyn Lägg till och välj Allt innehåll. Allt aktivt innehåll som för närvarande distribueras på den centrala arbetsytan läggs till. Den här listan är en ögonblicksbild av tidpunkten som endast väljer aktivt innehåll, inte mallar.
    • Metod 2: Välj menyn Lägg till och välj Innehåll. Ett Välj innehållsfönster öppnas för att anpassa och välja det innehåll som lagts till. Skärmbild som visar valet av gruppinnehåll.

  5. Filtrera innehållet efter behov innan du granskar + skapar.

  6. När gruppantalet har skapats ökar och dina grupper visas på fliken Grupper.

Publicera gruppdefinitionen

Nu har de valda innehållsobjekten inte publicerats till medlemsarbetsytorna än.

Obs!

Publiceringsåtgärden misslyckas om det maximala antalet publiceringsåtgärder överskrids. Överväg att dela upp medlemsarbetsytor i ytterligare grupper om du närmar dig den här gränsen.

  1. Välj gruppen >Publicera innehåll.

    Skärmbild som visar gruppens publiceringsfönster.

    Masspublicering genom att välja önskade grupper i flera grupper och välja Publicera. Skärmbild som visar fönstret för grupppublicering med flera val.

  2. Kolumnen Senaste publiceringsstatus uppdateras för att återspegla Pågående. Skärmbild som visar förloppskolumnen för publicering för flera grupper.

  3. Om det lyckas uppdateras senaste publiceringsstatus för att återspegla Lyckades. De markerade innehållsobjekten finns nu på medlemsarbetsytorna. Skärmbild som visar den senast publicerade kolumnen med poster som lyckades.

    Om bara ett innehållsobjekt inte kan publiceras för hela gruppen uppdateras senaste publiceringsstatus för att återspegla Misslyckades.

Felsökning

Varje publiceringsförsök har en länk som hjälper dig att felsöka om innehållsobjekt inte kan publiceras.

  1. Välj hyperlänken Misslyckades för att öppna informationsfönstret för jobbfel. Status för varje innehållsobjekt och målarbetsytepar visas.

  2. Filtrera statusen för misslyckade objektpar.

    Skärmbild som visar jobbinformationen för en grupppubliceringsfelhändelse.

Vanliga orsaker till fel är:

  • Innehållsobjekt som refereras i gruppdefinitionen finns inte längre vid tidpunkten för publiceringen (har tagits bort).
  • Behörigheterna har ändrats vid tidpunkten för publiceringen. Användaren är till exempel inte längre en Microsoft Sentinel deltagare eller har inte tillräcklig behörighet på medlemsarbetsytan längre.
  • En medlemsarbetsyta har tagits bort.

Kända begränsningar

  • Maximalt antal publicerade åtgärder per grupp är 2 000. Publicerade åtgärder = (medlemsarbetsytor) * (innehållsobjekt).
    Om du till exempel har 10 medlemsarbetsytor i en grupp och publicerar 20 innehållsobjekt i den gruppen,
    publicerade åtgärder = 10 * 20 = 200.
  • Spelböcker som tillskrivs eller är kopplade till analys- och automatiseringsregler stöds inte för närvarande.
  • Arbetsböcker som lagras i bring-your-own-storage stöds inte för närvarande.
  • Arbetsytehanteraren hanterar endast innehållsobjekt som publiceras från den centrala arbetsytan. Den hanterar inte innehåll som skapats lokalt från medlemsarbetsytor.
  • För närvarande stöds inte borttagning av innehåll som finns på medlemsarbetsytor centralt via arbetsytehanteraren.

API-referenser

Nästa steg

  • Last updated on