Aracılığıyla paylaş

Çalışma alanı yöneticisiyle birden çok Microsoft Sentinel çalışma alanını merkezi olarak yönetme (Önizleme)

  • Makale
  • Şunlara uygulanır:
    Microsoft Sentinel in the Azure portal

Çalışma alanı yöneticisi ile bir veya daha fazla Azure kiracısı içinde birden çok Microsoft Sentinel çalışma alanını merkezi olarak yönetmeyi öğrenin. Bu makale, çalışma alanı yöneticisi sağlama ve kullanımı konusunda size yol gösterir. İster küresel bir kuruluş ister Yönetilen Güvenlik Hizmetleri Sağlayıcısı (MSSP) olun, çalışma alanı yöneticisi uygun ölçekte verimli bir şekilde çalışmanıza yardımcı olur.

Çalışma alanı yöneticisiyle desteklenen etkin içerik türleri şunlardır:

  • Analiz kuralları
  • Otomasyon kuralları (Playbook'lar hariç)
  • Ayrıştırıcılar, Kaydedilmiş Aramalar ve İşlevler
  • Tehdit avcılığı ve Canlı Akış sorguları
  • Çalışma Kitapları

Önemli

Çalışma alanı yöneticisi desteği şu anda ÖNİzLEME aşamasındadır. Azure Önizleme Ek Koşulları, beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşulları içerir.

Microsoft Sentinel'i Microsoft Defender portalına eklerseniz bkz . Microsoft Defender çok kiracılı yönetimi.

Önkoşullar

  • En az iki Microsoft Sentinel çalışma alanına ihtiyacınız vardır. Yönetilecek bir çalışma alanı ve yönetilecek en az bir çalışma alanı daha.
  • Microsoft Sentinel Katkıda Bulunanı rol ataması merkezi çalışma alanında (çalışma alanı yöneticisinin etkinleştirildiği) ve katkıda bulunanın yönetmesi gereken üye çalışma alanlarında gereklidir. Microsoft Sentinel'deki roller hakkında daha fazla bilgi edinmek için bkz . Microsoft Sentinel'de roller ve izinler.
  • Çalışma alanlarını birden çok Microsoft Entra kiracısı arasında yönetiyorsanız Azure Lighthouse'u etkinleştirin. Daha fazla bilgi edinmek için bkz . Microsoft Sentinel çalışma alanlarını uygun ölçekte yönetme.

Dikkat edilmesi gereken noktalar

Merkezi çalışma alanını, içerik öğelerini ve yapılandırmaları üye çalışma alanlarında büyük ölçekte yayımlanacak şekilde birleştirdiğiniz ortam olacak şekilde yapılandırın. Yeni bir Microsoft Sentinel çalışma alanı oluşturun veya mevcut bir çalışma alanını kullanarak merkezi çalışma alanı olarak görev yapın.

Senaryonuza bağlı olarak şu mimarileri göz önünde bulundurun:

  • Doğrudan bağlantı en az karmaşık kurulumdur. Tek bir merkezi çalışma alanıyla tüm üye çalışma alanlarını denetleyin.
  • Ortak Yönetim , birden fazla merkezi çalışma alanının üye çalışma alanını yönetmesi gereken senaryoları destekler. Örneğin, şirket içi SOC ekibi ve MSSP tarafından aynı anda yönetilen çalışma alanları.
  • N Katmanı , merkezi çalışma alanının başka bir merkezi çalışma alanını denetlediği karmaşık senaryoları destekler. Örneğin, her yan kuruluşun birden çok çalışma alanını da yönettiği birden çok yan kuruluşu yöneten bir grup.

Microsoft Sentinel'de çalışma alanı yöneticisi için çeşitli mimari seçeneklerini gösteren diyagram.

Merkezi çalışma alanında çalışma alanı yöneticisini etkinleştirme

Hangi Microsoft Sentinel çalışma alanının çalışma alanı yöneticisi olması gerektiğine karar verdikten sonra merkezi çalışma alanını etkinleştirin.

  1. Üst çalışma alanında Ayarlar dikey penceresine gidin ve Çalışma alanı yöneticisi yapılandırma ayarını "Bu çalışma alanını üst öğe yap" olarak değiştirin.

  2. Etkinleştirildikten sonra, Yapılandırma altında yeni bir Çalışma Alanı yöneticisi (önizleme) menüsü görüntülenir.

    Çalışma alanı yöneticisi yapılandırma ayarlarını gösteren ekran görüntüsü. Çalışma alanı yöneticisi için eklenen menü öğesi vurgulanır ve iki durumlu düğme açılır.

Üye çalışma alanlarını ekleme

Üye çalışma alanları, çalışma alanı yöneticisi tarafından yönetilen çalışma alanları kümesidir. Kiracıdaki ve birden çok kiracıdaki (Azure Lighthouse etkinse) çalışma alanlarının bazılarını veya tümünü ekleyin.

  1. Çalışma alanı yöneticisine gidin ve "Çalışma alanı ekle" seçeneğini belirleyin Çalışma alanı ekle menüsünü gösteren ekran görüntüsü.
  2. Çalışma alanı yöneticisine eklemek istediğiniz üye çalışma alanlarını seçin. Çalışma alanı ekle seçim menüsünü gösteren ekran görüntüsü.
  3. Başarıyla eklendikten sonra Üyeler sayısı artar ve üye çalışma alanlarınız Çalışma Alanları sekmesine yansıtılır.Eklenen çalışma alanlarını ve Üyeler sayısının 2'ye çıkarılmış olduğunu gösteren ekran görüntüsü.

Grup oluşturma

Çalışma alanı yöneticisi grupları, çalışma alanlarını iş gruplarına, dikeylere, coğrafyaya vb. göre birlikte düzenlemenize olanak tanır. Çalışma alanlarıyla ilgili içerik öğelerini eşleştirmek için grupları kullanın.

İpucu

Merkezi çalışma alanında en az bir etkin içerik öğesinin dağıtıldığından emin olun. Bu, sonraki adımlarda üye çalışma alanlarında yayımlanacak merkezi çalışma alanından içerik öğeleri seçmenize olanak tanır.

  1. Grup oluşturmak için:

    • Bir çalışma alanı eklemek için Grup Ekle'yi>seçin.
    • Birden çok çalışma alanı eklemek için çalışma alanlarını ve seçili olan Grup Ekle'yi>seçin. Grup ekle menüsünü gösteren ekran görüntüsü.

  2. Grup oluştur veya güncelleştir sayfasında, grup için bir Ad ve Açıklama girin. Yapılandırmayı grup oluşturma veya güncelleştirme sayfasını gösteren ekran görüntüsü.

  3. Çalışma alanlarını seçin sekmesinde Ekle'yi seçin ve gruba eklemek istediğiniz üye çalışma alanlarını seçin.

  4. İçerik seç sekmesinde, içerik öğeleri eklemenin 2 yolu vardır.

    • Yöntem 1: Ekle menüsünü ve ardından Tüm içerik'i seçin. Şu anda merkezi çalışma alanında dağıtılan tüm etkin içerik eklenir. Bu liste, şablonları değil yalnızca etkin içeriği seçen belirli bir noktaya anlık görüntüdür.
    • Yöntem 2: Ekle menüsünü ve ardından İçerik'i seçin. Eklenen içeriği özel olarak seçmek için İçerik seç penceresi açılır. Grup içeriği seçimini gösteren ekran görüntüsü.

  5. gözden geçirme ve oluşturma öncesinde içeriği gerektiği gibi filtreleyin.

  6. Oluşturulduktan sonra Grup sayısı artar ve gruplarınız Gruplar sekmesine yansıtılır.

Grup tanımını yayımlama

Bu noktada, seçilen içerik öğeleri henüz üye çalışma alanlarında yayımlanmamıştır.

Not

En fazla yayımlama işlemi aşılırsa yayımlama eylemi başarısız olur. Bu sınıra yaklaşırsanız üye çalışma alanlarını ek gruplara bölmeyi göz önünde bulundurun.

  1. İçeriği yayımla grubunu >seçin.

    Grup yayımlama penceresini gösteren ekran görüntüsü.

    Toplu yayımlamak için istediğiniz grupları çoklu olarak seçin ve Yayımla'yı seçin. Çoklu seçim grubu yayımlama penceresini gösteren ekran görüntüsü.

  2. Son yayımlama durumu sütunu Devam ediyor'a yansıtacak şekilde güncelleştirilir. Çok gruplu yayımlama ilerleme sütununu gösteren ekran görüntüsü.

  3. Başarılı olursa, Son yayımlama durumu Başarılı'yı yansıtacak şekilde güncelleştirilir. Seçili içerik öğeleri artık üye çalışma alanlarında var. Başarılı girişleri içeren son yayımlanan sütunu gösteren ekran görüntüsü.

    Grubun tamamı için yalnızca bir içerik öğesi yayımlayamazsa, Son yayımlama durumu Başarısız olarak güncelleştirilir.

Sorun giderme

her yayımlama denemesinde, içerik öğelerinin yayımlanamaması durumunda sorun gidermeye yardımcı olacak bir bağlantı bulunur.

  1. İş hatası ayrıntıları penceresini açmak için Başarısız köprüyü seçin. Her içerik öğesi ve hedef çalışma alanı çifti için bir durum görüntülenir.

  2. Başarısız öğe çiftleri için Durum'a filtre uygulama.

    Grup yayımlama hatası olayının iş ayrıntılarını gösteren ekran görüntüsü.

Yaygın nedenler şunlardır:

  • Grup tanımında başvuruda bulunılan içerik öğeleri artık yayımlama sırasında mevcut değildir (silinmiştir).
  • yayımlama sırasında izinler değişmiştir. Örneğin, kullanıcı artık Microsoft Sentinel Katkıda Bulunanı değildir veya üye çalışma alanında artık yeterli izinlere sahip değildir.
  • Üye çalışma alanı silindi.

Bilinen sınırlamalar

  • Grup başına yayımlanan işlem sayısı üst sınırı 2000'dir. Yayımlanan işlemler = (üye çalışma alanları) * (içerik öğeleri).
    Örneğin, bir grupta 10 üye çalışma alanınız varsa ve bu grupta 20 içerik öğesi yayımlıyorsanız,
    yayımlanan işlemler = 10 * 20 = 200.
  • Analiz ve otomasyon kurallarına atfedilen veya eklenen playbook'lar şu anda desteklenmemektedir.
  • Kendi depolama alanınızı getirin bölümünde depolanan çalışma kitapları şu anda desteklenmemektedir.
  • Çalışma alanı yöneticisi yalnızca merkezi çalışma alanından yayımlanan içerik öğelerini yönetir. Üye çalışma alanlarından yerel olarak oluşturulan içeriği yönetmez.
  • Şu anda, üye çalışma alanlarındaki içeriğin çalışma alanı yöneticisi aracılığıyla merkezi olarak silinmesi desteklenmemektedir.

API referansları

Sonraki adımlar