你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用工作区管理器 (预览版) 集中管理多个Microsoft Sentinel工作区

  • 适用于: Microsoft Sentinel in the Azure portal

了解如何使用工作区管理器集中管理一个或多个Azure租户中的多个Microsoft Sentinel工作区。 本文介绍如何预配和使用工作区管理器。 无论你是全球性企业还是托管安全服务提供商 (MSSP) ,工作区管理器都可以帮助你高效地大规模运营。

下面是工作区管理器支持的活动内容类型:

  • 分析规则
  • 自动化规则 (排除 Playbook)
  • 分析程序、保存的搜索和函数
  • 搜寻查询
  • 工作簿

重要

对工作区管理器的支持目前以预览版提供。 Azure预览版补充条款包括适用于处于 beta 版、预览版或其他尚未正式发布的Azure功能的其他法律条款。

如果将Microsoft Sentinel载入到Microsoft Defender门户,请参阅Microsoft Defender多租户管理

先决条件

  • 至少需要两个Microsoft Sentinel工作区。 一个要从中管理的工作区和至少另一个要管理的工作区。
  • 在) 上启用工作区管理器的中央工作区 (以及成员工作区 () 参与者需要管理Microsoft Sentinel参与者角色分配。 若要详细了解Microsoft Sentinel中的角色,请参阅 Microsoft Sentinel 中的角色和权限
  • 如果要跨多个Microsoft Entra租户管理工作区,请启用 Azure Lighthouse。 若要了解详细信息,请参阅大规模管理Microsoft Sentinel工作区

注意事项

将中心工作区配置为将内容项和配置合并到成员工作区的环境。 创建新的Microsoft Sentinel工作区或利用现有工作区作为中心工作区。

根据你的方案,请考虑以下体系结构:

  • 直接链接 是最不复杂的设置。 仅使用一个中心工作区控制所有成员工作区。
  • 共同管理 支持多个中央工作区需要管理成员工作区的方案。 例如,由内部 SOC 团队和 MSSP 同时管理的工作区。
  • N 层 支持一个中心工作区控制另一个中央工作区的复杂方案。 例如,管理多个子公司的企业集团,其中每个子公司还管理多个工作区。

显示Microsoft Sentinel中工作区管理器的各种体系结构选择的关系图。

在中心工作区上启用工作区管理器

确定哪个Microsoft Sentinel工作区应为工作区管理器后,启用中心工作区。

  1. 导航到父工作区中的 “设置” 边栏选项卡,并将“在工作区管理器配置 设置上 ”切换为“使此工作区成为父工作区”。

  2. 启用后,“配置”下会显示“工作区管理器 (预览”的新菜单)

    屏幕截图显示了工作区管理器配置设置。突出显示为工作区管理器添加的菜单项,并打开切换按钮。

载入成员工作区

成员工作区是由工作区管理器管理的工作区集。 在租户中加入部分或全部工作区,跨多个租户加入工作区,如果) 启用了 Azure Lighthouse, (。

  1. 导航到工作区管理器并选择“添加工作区” 屏幕截图显示“添加工作区”菜单。
  2. 选择要载入到工作区管理器 (成员工作区) 。 屏幕截图显示了“添加工作区选择”菜单。
  3. 成功载入后, 成员 计数增加,成员工作区将反映在 “工作区 ”选项卡中。 屏幕截图显示添加的工作区和成员计数递增到 2。

创建群组

工作区管理器组允许你根据业务组、垂直、地理位置等将工作区组织在一起。使用组配对与工作区相关的内容项。

提示

请确保在中心工作区中部署了至少一个活动内容项。 这允许从中央工作区选择要在成员工作区中发布的内容项, (后续步骤中的) 。

  1. 若要创建组,请执行以下操作:

    • 若要添加一个工作区,请选择“ 添加>”。
    • 若要添加多个工作区,请选择工作区,并从中选择 “添加>”。 屏幕截图显示了“添加组”菜单。

  2. “创建或更新组 ”页上,输入组 的名称说明 屏幕截图显示了组创建或更新配置页。

  3. “选择工作区 ”选项卡中,选择“ 添加 ”,然后选择要添加到组的成员工作区。

  4. “选择内容 ”选项卡中,有两种添加内容项的方法。

    • 方法 1:选择“ 添加 ”菜单,然后选择“ 所有内容”。 将添加当前部署在中心工作区中的所有活动内容。 此列表是仅选择活动内容而不选择模板的时间点快照。
    • 方法 2:选择“ 添加 ”菜单,然后选择“ 内容”。 此时会打开 “选择内容 ”窗口,以自定义选择添加的内容。 显示组内容选择的屏幕截图。

  5. 查看 + 创建之前,请根据需要筛选内容。

  6. 创建后, 组计数 增加,组将反映在 “组”选项卡中

发布组定义

此时,所选内容项尚未发布到成员工作区 () 。

注意

如果超过 最大发布操作数,发布操作 将失败。 如果达到此限制,请考虑将成员工作区拆分为其他组。

  1. 选择“发布内容”组>。

    显示组发布窗口的屏幕截图。

    若要批量发布,请多选所需组,然后选择“ 发布”。 屏幕截图显示了多选组发布窗口。

  2. “上次发布状态”列更新以反映“正在进行”。 屏幕截图显示了多组发布进度列。

  3. 如果成功, “上次发布”状态 将更新以反映 “成功”。 所选内容项现在存在于成员工作区中。 屏幕截图显示上次发布的列,其中包含成功的条目。

    如果整个组只有一个内容项无法发布, “上次发布”状态 将更新为“ 失败”。

疑难解答

每次发布尝试都有一个链接,可帮助在内容项发布失败时进行故障排除。

  1. 选择“ 失败” 超链接以打开作业失败详细信息窗口。 将显示每个内容项和目标工作区对的状态。

  2. 筛选失败项对 的“状态 ”。

    屏幕截图显示组发布失败事件的作业详细信息。

失败的常见原因包括:

  • 在发布时,组定义中引用的内容项不再存在, (已被删除) 。
  • 发布时权限已更改。 例如,用户不再是Microsoft Sentinel参与者,或者不再对成员工作区拥有足够的权限。
  • 成员工作区已被删除。

已知限制

  • 每个组的最大发布操作数为 2000。 已发布的操作 = (成员工作区) * (内容项) 。
    例如,如果组中有 10 个成员工作区,并且在该组中发布 20 个内容项,
    已发布的操作 = 10 * 20 = 200.
  • 目前不支持特性化或附加到分析和自动化规则的 Playbook。
  • 当前不支持存储在自带存储中的工作簿。
  • 工作区管理器仅管理从中心工作区发布的内容项。 它不会管理从成员工作区 () 本地创建的内容。
  • 目前,不支持通过工作区管理器集中删除驻留 () 成员工作区中的内容。

API 参考

后续步骤

  • Last updated on