用工作區管理員 (預覽) 集中管理多個Microsoft Sentinel工作區

學習如何透過 Workspace Manager 集中管理一個或多個 Azure 租戶內的多個 Microsoft Sentinel 工作空間。 本文將帶你了解 Workspace Manager 的配置與使用。 無論您是全球企業，還是管理安全服務供應商 (MSSP) ，Workspace Manager 都能幫助您在大規模且有效率地運作。

以下是 Workspace Manager 支援的活躍內容類型：

• 分析規則
• 自動化規則 (排除 Playbook)
• 解析器、已儲存的搜尋與函式
• 狩獵查詢
• Workbooks

重要事項

目前對工作區管理員的支援仍在預覽階段。 Azure 預覽補充條款包含適用於 Azure 測試版、預覽版或其他尚未正式發布的功能的額外法律條款。

如果你將 Microsoft Sentinel 導入 Microsoft Defender 入口網站，請參閱 Microsoft Defender 多租戶管理。

必要條件

• 你需要至少兩個 Microsoft Sentinel 工作空間。 一個工作區要管理，至少還有另一個工作區要管理。
• Microsoft Sentinel 貢獻者角色指派是必須在中央工作區 (啟用的工作區管理員，) 中啟用工作空間管理) ，以及貢獻者需要管理的成員工作空間 (。 欲了解更多關於 Microsoft Sentinel 角色的資訊，請參閱 Microsoft Sentinel 中的角色與權限。
• 如果你管理多個 Microsoft Entra 租戶的工作空間，請啟用 Azure Lighthouse。 欲了解更多，請參閱「大規模管理 Microsoft Sentinel 工作空間」。

考量

配置一個中央工作區，作為整合內容項目與設定，並大規模發佈到成員工作區的環境。 建立新的 Microsoft Sentinel 工作區，或利用現有工作區作為中央工作區。

根據您的情境，請考慮以下架構：

• 直連是 最簡單的設置。 所有成員工作區僅有一個中央工作區即可控制。
• 共同管理 支援多個中央工作空間需要管理成員工作空間的情境。 例如，工作空間由內部 SOC 團隊與 MSSP 同時管理。
• N-Tier 支援複雜情境，中央工作區控制另一個中央工作區。 例如，一個管理多個子公司的企業集團，每個子公司同時管理多個工作空間。

在中央工作區啟用工作區管理員

決定好哪個 Microsoft Sentinel 工作區應該作為工作區管理員後，再啟用中央工作區。

1. 在父工作區的設定選區中切換到「設定」選區，並在工作區管理員的設定中切換為「將此工作區設為父工作區」。

2. 啟用後，在設定 (預覽) 會出現一個新的選單、Workspace 管理器。

   

船上會員工作空間

成員工作區是由工作區管理員管理的工作區集合。 在租戶中 (部分或全部工作空間上線，並跨多個租戶接入，Azure Lighthouse 是否啟用) 。

1. 進入工作區管理員並選擇「新增工作區」
2. 選擇你想 (成員工作區) ，作為工作區管理員。
3. 成功上線後， 會員 數量會增加，會員工作區會顯示在 工作區 分頁。

建立群組

Workspace Manager 群組允許你根據商業群組、垂直領域、地理位置等來組織工作區。使用群組來配對與工作區相關的內容項目。

提示

確保你在中央工作區至少部署一個活躍內容項目。 這讓你能從中央工作區選擇內容項目，發佈到成員工作區 (後續步驟) 。

1. 要建立一個群組：

   • 要新增一個工作區，請選擇 新增>群組。
   • 要新增多個工作區，請選擇工作區並 從選取中新增>群組。

2. 在 「建立或更新群組 」頁面，輸入群組 名稱 與 描述 。

3. 在 「選擇工作區」 標籤中，選擇 新增 並選擇你想加入群組的成員工作區。

4. 在 「選擇內容 」標籤中，你有兩種方式可以新增內容項目。

   • 方法一：選擇 新增 選單並選擇 「全部內容」。 目前部署在中央工作區的所有活躍內容都會被加入。 此清單為時間點快照，僅選取活躍內容，不包含範本。
   • 方法二：選擇 新增 選單並選擇 內容。 會開啟 一個選擇內容 視窗，自訂新增內容。

5. 在你評論 +創建前，請依需求篩選內容。

6. 建立後， 群組數量 會增加，且你的群組會反映在 群組標籤中。

發布群組定義

目前，所選的內容項目尚未發佈到會員工作區 () 。

注意事項

如果超過 最大發佈操作 ，發佈動作將失敗。 如果你接近這個限制，可以考慮將成員工作區拆分成額外的群組。

1. 選擇「發佈內容」群組>。

   

   要大量發佈，請多重選擇想要的群組並選擇 發佈。

2. 最近發佈狀態欄會更新以反映「進行中」。

3. 若成功， 最後發布狀態 會更新為 「成功」。 所選內容項目現在已存在於會員工作區中。

   如果整個群組只有一項內容未能發佈， 最後發佈狀態 會更新為 失敗。

疑難排解

每次發佈嘗試都有連結，方便你在內容項目未能發佈時排除故障。

1. 選擇 失敗 連結以開啟工作失敗詳情視窗。 每個內容項目與目標工作區對都會顯示狀態。

2. 在 狀態 中篩選失敗項目對。

   

常見的失敗原因包括：

• 群組定義中提及的內容在發布時已不存在 () 已被刪除。
• 發布時權限已變更。 例如，使用者不再是 Microsoft Sentinel 貢獻者，或在成員工作空間上擁有足夠的權限。
• 一個成員工作區已被刪除。

已知限制

• 每個團體公布的最大作業數量為2000個。 已發佈操作 = (個成員工作空間) * (內容項目) 。
  舉例來說，如果你在一個群組中有 10 個成員工作空間，並且你在該群組中發佈了 20 個內容項目，
  已公布的行動 = 1020200 = * 。
• 歸屬或附加於分析與自動化規則的操作手冊目前不支援。
• 存放在自帶儲存空間的作業簿目前不支援。
• Workspace Manager 只管理從中央工作區發佈的內容項目。 它不會管理從會員工作空間本地製作的內容 () 。
• 目前，不支援透過工作區管理員集中刪除成員工作區 () 中的內容。

API references

• 工作區管理員指派工作
• 工作區管理員指派
• 工作區管理員設定
• 工作區管理員群組
• 工作區管理員成員

後續步驟

• 以 MSSP 管理 Microsoft Sentinel 中的多個租戶
• 同時處理多個工作空間中的 Microsoft Sentinel 事件
• 在 Microsoft Sentinel 中保護 MSSP 智慧財產權