共用方式為

使用工作區管理員集中管理多個Microsoft Sentinel 工作區 (預覽)

  • 發行項
  • 適用於:
    Microsoft Sentinel in the Azure portal

瞭解如何使用工作區管理員集中管理一或多個 Azure 租使用者內的多個Microsoft Sentinel 工作區。 本文會引導您完成工作區管理員的布建和使用方式。 無論您是全域企業或受控安全性服務提供者 (MSSP),工作區管理員都可協助您有效率地大規模運作。

以下是工作區管理員支援的作用中內容類型:

  • Analytics 規則
  • 自動化規則(不包括劇本)
  • 剖析器、已儲存的搜尋和函式
  • 搜捕和 Livestream 查詢
  • 活頁簿

重要

工作區管理員的支援目前處於預覽狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。

如果您將Microsoft Sentinel 上線至 Microsoft Defender 入口網站,請參閱 Microsoft Defender 多租使用者管理

必要條件

  • 您至少需要兩個Microsoft Sentinel 工作區。 一個要從管理的工作區,以及至少一個要管理的工作區。
  • 中央 工作區上需要Microsoft Sentinel 參與者角色指派 (其中已啟用工作區管理員),且參與者需要管理的成員工作區上。 若要深入瞭解 Sentinel 中的角色 Microsoft,請參閱 Microsoft Sentinel 中的角色和權限
  • 如果您要管理多個Microsoft Entra 租使用者的工作區,請啟用 Azure Lighthouse。 若要深入瞭解,請參閱 大規模管理Microsoft Sentinel 工作區。

考量

將中央工作區設定為將內容項目和設定大規模發佈至成員工作區的環境。 建立新的Microsoft Sentinel 工作區,或使用現有的工作區作為中央工作區。

根據您的案例,請考慮下列架構:

  • 直接連結 是最不複雜的設定。 僅控制一個中央工作區的所有成員工作區。
  • 共同管理 支援多個中央工作區需要管理成員工作區的案例。 例如,由內部SOC小組和 MSSP 同時管理的工作區。
  • 多層式支持複雜的案例,其中中央工作區控制另一個中央工作區。 例如,管理多個子公司的集團,其中每個子公司也會管理多個工作區。

此圖顯示 Microsoft Sentinel 中工作區管理員的各種架構選擇。

在中央工作區上啟用工作區管理員

一旦您決定哪個Microsoft Sentinel 工作區應該是工作區管理員,請啟用中央工作區。

  1. 流覽至父工作區中的 [設定] 刀鋒視窗,然後將 [在工作區管理員組態設定上] 切換為 [將此工作區設為父系]。

  2. 啟用之後,[工作區管理員] [預覽] 功能表會出現在 [設定] 底下

    顯示工作區管理員組態設定的螢幕快照。已醒目提示為工作區管理員新增的功能表項,並開啟切換按鈕。

將成員工作區上線

成員工作區是由工作區管理員管理的一組工作區。 將租使用者中的部分或所有工作區上線,以及跨多個租用戶上線(如果已啟用 Azure Lighthouse)。

  1. 瀏覽至工作區管理員,然後選取 [新增工作區] 顯示 [新增工作區] 功能表的螢幕快照。
  2. 選取您想要上線至工作區管理員的成員工作區。 顯示 [新增工作區] 選取功能表的螢幕快照。
  3. 成功上線之後,[ 成員 計數] 就會增加,而您的成員工作區會反映在 [ 工作區] 索引 標籤中。 此螢幕快照顯示新增的工作區和成員計數遞增至 2。

建立群組

工作區管理員群組可讓您根據商務群組、垂直、地理位置等,將工作區組織在一起。使用群組來配對與工作區相關的內容專案。

提示

請確定您至少有一個作用中內容專案部署在中央工作區中。 這可讓您從中央工作區中選取內容專案,以在後續步驟中發佈在成員工作區中。

  1. 若要建立群組:

    • 若要新增一個工作區,請選取 [新增>群組]。
    • 若要新增多個工作區,請選取工作區,然後從選取的 [新增>群組]。 顯示 [新增群組] 功能表的螢幕快照。

  2. 在 [ 建立或更新群組 ] 頁面上,輸入 群組的 [名稱 ] 和 [描述 ]。 顯示群組建立或更新組態頁面的螢幕快照。

  3. 在 [ 選取工作區] 索引標籤中 ,選取 [新增 ],然後選取您要新增至群組的成員工作區。

  4. 在 [ 選取內容 ] 索引標籤中,您有 2 種方式可以新增內容專案。

    • 方法 1:選取 [ 新增 ] 功能表,然後選擇 [ 所有內容]。 會新增目前部署在中央工作區中的所有作用中內容。 此清單是一個時間點快照集,只選取使用中內容,而非範本。
    • 方法 2:選取 [ 新增 ] 功能表,然後選擇 [ 內容]。 [ 選取內容 ] 視窗隨即開啟,以自定義選取新增的內容。 顯示群組內容選取項目的螢幕快照。

  5. 檢視 + 建立之前,請視需要篩選內容。

  6. 建立之後,[ 群組計數 ] 就會增加,而您的群組會反映在 [ 群組] 索引卷標中。

發佈群組定義

此時,選取的內容專案尚未發佈至成員工作區。

注意

如果超過發佈作業上限,發佈動作將會失敗。 如果您接近此限制,請考慮將成員工作區分割成其他群組。

  1. 選取 [發佈內容] 群組。>

    顯示群組發佈視窗的螢幕快照。

    若要大量發佈,請多重選取所需的群組,然後選取 [ 發佈]。 顯示多重選取群組發佈視窗的螢幕快照。

  2. [上次發佈狀態] 數據行會更新以反映進行中顯示多群組發佈進度數據行的螢幕快照。

  3. 如果成功,[ 上次發佈狀態 ] 會更新以反映 [成功]。 選取的內容專案現在存在於成員工作區中。 顯示最後一個已發佈數據行的螢幕快照,其中包含成功的專案。

    如果只有一個內容項目無法針對整個群組發佈,則 [上次發佈狀態 ] 會更新以反映 失敗

疑難排解

如果內容項目無法發佈,每個發佈嘗試都有連結可協助進行疑難解答。

  1. 選取 [ 失敗] 超連結以開啟作業失敗詳細數據視窗。 會顯示每個內容專案和目標工作區組的狀態。

  2. 篩選失敗項目組的狀態。

    此螢幕快照顯示群組發佈失敗事件的作業詳細數據。

常見的失敗原因包括:

  • 在發佈時,群組定義中參考的內容專案已不存在(已刪除)。
  • 發佈時的許可權已變更。 例如,使用者不再是Microsoft Sentinel 參與者,或不再具有成員工作區的足夠許可權。
  • 已刪除成員工作區。

已知的限制

  • 每個群組的已發佈作業上限為2000。 已發佈的作業 = (成員工作區) * (內容專案)。
    例如,如果您在群組中有10個成員工作區,且在該群組中發佈20個內容專案,
    已發佈的作業 = 10 * 20 200。 =
  • 目前不支援屬性化或附加至分析和自動化規則的劇本。
  • 目前不支援儲存在自備記憶體中的活頁簿。
  • 工作區管理員只會管理從中央工作區發佈的內容專案。 它不會管理從成員工作區本機建立的內容。
  • 目前不支援透過工作區管理員集中刪除位於成員工作區中的內容。

API 參考

下一步