你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
通过 Defender 门户,可以连接到 Microsoft Sentinel 的一个主要工作区和多个辅助工作区。 在本文的上下文中,工作区是启用了 Microsoft Sentinel 的 Log Analytics 工作区。
本文主要适用于将 Microsoft Sentinel 与 Microsoft Defender XDR 一同载入 Defender 门户,以实现统一安全操作的方案。 如果计划在 Defender 门户中使用 Microsoft Sentinel 而不Microsoft Defender XDR,仍可以管理多个工作区。 但是,由于没有 Defender XDR,因此主工作区没有 Defender XDR 数据,并且你无权访问 Defender XDR 功能。
主工作区和辅助工作区
将 Microsoft Sentinel 载入 Defender 门户时,请选择主工作区。 加入 Defender 门户的任何其他工作区都被视为次要工作区。 Defender 门户支持 Microsoft Sentinel 每个租户一个主要工作区和最多99个辅助工作区。
如果还具有 Microsoft Defender XDR,则来自主工作区的警报与 Defender XDR 数据关联,并且事件将来自主工作区和 Defender XDR 的警报包含在一个统一的队列中。 选择主工作区时,用于事件和警报的 Defender XDR 数据连接器 仅连接到主工作区。
在这种情况下:
| 面积 | DESCRIPTION |
|---|---|
| 以前连接到 Defender XDR 的其他工作区 | 以前连接到 Defender XDR 连接器的任何其他工作区都断开连接,并充当辅助工作区。 Defender XDR 数据在辅助工作区中不可用,并且之前根据 Defender XDR 数据配置的任何分析规则和自动化都不再起作用。 |
| 租户为基础的警报和独立的数据连接器 | 来自其他Microsoft服务的警报(包括其他 Defender 服务)是基于租户的警报,与整个租户(而不是特定工作区)相关。 若要防止跨工作区重复,这些服务的任何直接独立数据连接器都必须从辅助工作区中的 Microsoft Sentinel 断开连接。 这会导致基于租户的警报仅出现在主工作区中。 载入后,Microsoft Defender for Office 365、Microsoft Entra ID Protection、Microsoft Defender for Cloud Apps、Microsoft Defender for Endpoint 和 Microsoft Defender for Identity 的独立数据连接器会自动断开连接。 如果您在工作区中使用带有警报的其他独立 Microsoft 数据连接器,请确保在接入 Defender 门户之前将其断开连接。 |
| Defender XDR 警报和事件 | 所有 Defender XDR 警报和事件仅同步到主工作区。 |
| 事件创建和警报关联 | Defender 门户在Microsoft Sentinel工作区之间将事件创建和警报关联分开。 次要工作区中的事件不包括来自任何其他工作区或 Defender XDR 的数据。 |
| 需要一个主要工作区 | 必须始终将一个主要工作区连接到 Defender 门户。 |
例如,你可能在一个具有多个自治工作区的公司中担任全球性 SOC 团队的工作。 在这种情况下,你可能不希望在 Defender 门户中的全局 SOC 队列中看到来自其中每个工作区的事件和警报。 由于这些工作区作为辅助工作区载入到 Defender 门户,因此它们仅在 Defender 门户中显示为Microsoft Sentinel,没有任何 Defender 数据,并继续自主工作。 查看全局 SOC 工作区时,不会看到这些辅助工作区中的数据。
如果在 Microsoft Entra ID 租户中有多个 Microsoft Sentinel 工作区,请考虑将主工作区用于您的全球安全运营中心。
管理工作区和查看工作区数据的权限
使用以下角色或角色组合之一来管理主工作区和辅助工作区:
| 任务 | 必需的角色或角色组合 |
|---|---|
| 连接主工作区 | 以下其中一项: - 全局管理员和订阅所有者 - 安全管理员和订阅所有者 - 全局管理员、用户访问管理员以及 Sentinel 参与者 - 安全管理员和用户访问管理员和 Sentinel 参与者 |
| 更改主工作区 | 以下其中一项: - 全局管理员 - 安全管理员 |
| 加入或登出辅助工作区 | 以下其中一项: - 全局管理员和订阅所有者 - 安全管理员和订阅所有者 - 全局管理员、用户访问管理员以及 Sentinel 参与者 - 安全管理员和用户访问管理员和 Sentinel 参与者 - 订阅所有者 - 用户访问管理员和 Sentinel 参与者 |
重要
Microsoft 建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一个高度特权的角色,应仅限于无法使用现有角色的紧急情况。
将 Microsoft Sentinel 连接到 Defender 门户后,现有的 Azure 基于角色的访问控制(RBAC)权限允许查看和使用有权访问的 Microsoft Sentinel 功能和工作区。
| 工作空间 | 访问 |
|---|---|
| 主要 | 如果您有权访问主要工作区,则可以读取和管理来自工作区和 Defender XDR 的数据。 |
| 辅助 | 如果有权访问辅助工作区,则只能从工作区读取和管理数据。 辅助工作区不包括 Defender XDR 数据。 |
例外:如果已将一个工作区加入 Defender 门户,则所有用户都可以看到在 2025 年 1 月中旬之前通过对 和 AlertInfo 表进行自定义检测所创建的任何警报。AlertEvidence
有关详细信息,请参阅 Microsoft Sentinel 中的角色和权限。
主工作区更改
将 Microsoft Sentinel 载入 Defender 门户后,可以更改主工作区。 切换Microsoft Sentinel的主工作区时,Defender XDR连接器将连接到新的主工作区,并自动与以前的主工作区断开连接。
在 Defender 门户中,通过转到“系统”“设置”>“Microsoft Sentinel”“工作区”来更改主要工作区。>>
不同视图中工作区数据的范围
如果具有查看Microsoft Sentinel 主要工作区和辅助工作区中的数据的适当权限,下表中的工作区范围适用于每个功能。
| 能力 | 工作区范围 |
|---|---|
| 搜索 | Defender 门户中浏览器页面顶部的全局搜索的结果提供你有权查看的所有相关工作区数据的聚合视图。 |
| 调查和响应 > 事件和警报 >事件 | 查看来自统一队列中不同工作区的事件,或按工作区筛选视图。 |
| 调查和响应>事件和警报>警报 | 查看来自统一队列中不同工作区的警报,或按工作区筛选视图。 Defender 门户按工作区对警报关联进行细分。 |
| 实体:从事件或警报 > 中选择设备、用户或其他实体资产 | 在单个实体页中查看多个工作区中的所有相关实体数据。 实体页聚合来自所有工作区的警报、事件和时间线事件,以便更深入地了解实体行为。 按 “事件”和“警报”、“ 时间线”和 “见解 ”选项卡中的工作区进行筛选。 “ 概述 ”选项卡显示从所有工作区聚合的实体元数据。 |
| 调查和响应 > 搜寻 >高级搜寻 | 从浏览器右上角选择工作区。 或者,通过在查询中使用工作区运算符跨多个工作区进行查询。 请参阅 “查询多个工作区”。 查询结果不显示工作区名称或 ID。 以只读方式访问工作区的所有日志数据,包括查询和函数。 有关详细信息,请参阅 Microsoft Defender 门户中使用 Microsoft Sentinel 数据进行高级搜寻。 某些功能仅限于主工作区: - 创建自定义检测 - 通过 API 查询 Log Analytics 数据的跨工作区查询仍受 Log Analytics 限制的约束。 |
| Microsoft Sentinel 体验 | 在 Defender 门户的 Microsoft Sentinel 部分中查看每个页面来自一个工作区的数据。 对于大多数页面,通过在浏览器右上角选中“选择工作区”,在工作区之间进行切换。 - “ 工作簿 ”页仅显示与主工作区关联的数据。 跨工作区分析规则仍受 跨工作区分析规则限制和建议的约束。 |
| SOC 优化 | 数据和建议是从多个工作区聚合的。 |
工作区的双向同步
事件更改在 Azure 门户与 Defender 门户之间的同步方式取决于它是主要工作区还是辅助工作区。
| 工作空间 | 同步行为 |
|---|---|
| 主要 | 对于 Azure 门户中的 Microsoft Sentinel,Defender XDR 事件显示在 威胁管理>事件 中,事件提供程序名称 Microsoft XDR。 在 Azure 或 Defender 门户中对 Defender XDR 事件的状态、关闭原因或分配所进行的任何更改,都会在另一个门户的事件队列中更新。 有关详细信息,请参阅 在 Microsoft Sentinel 中处理 Microsoft Defender XDR 事件以及双向同步。 |
| 辅助 | 为辅助工作区创建的所有警报和事件将在 Azure 和 Defender 门户中的该工作区之间同步。 工作区中的数据仅同步到其他门户中的工作区。 |
内部风险管理 (IRM) 支持
Microsoft Purview Insider Risk Management (IRM) 警报仅与主工作区相关。 如果您有 Microsoft Defender XDR 的 IRM 警报,则必须先在主工作区中将 IRM 连接到 Microsoft Defender XDR 连接器,然后才能将该工作区加入 Defender 门户。 这是为了确保 IRM 警报和事件在主工作区中可用。 如果不想在主工作区中看到 IRM 警报,则可以选择退出与 Microsoft Defender XDR 的集成。
此外,如果适用于 Microsoft Sentinel 的直接 Microsoft 365 内部风险管理连接器数据连接器已连接到任何辅助工作区,则必须先断开连接,然后再将该工作区加入 Defender 门户。