Defender 入口網站允許你連接一個主要工作空間和多個 Microsoft Sentinel 的次要工作空間。 在本文中,工作空間是指啟用 Microsoft Sentinel 的日誌分析工作空間。
本文主要針對您將 Microsoft Sentinel 與 Microsoft Defender 全面偵測回應至 Defender 入口網站以實現統一安全作業的情況。 如果你打算在 Defender 入口網站使用 Microsoft Sentinel,但沒有使用 Microsoft Defender 全面偵測回應,你仍然可以管理多個工作區。 然而,由於你沒有 Defender 全面偵測回應,你的主要工作區將不會有 Defender 全面偵測回應資料,也無法使用 Defender 全面偵測回應的功能。
主要與次要工作空間
當您將 Microsoft Sentinel 導入 Defender 入口網站時,請選擇您的主要工作空間。 你在 Defender 入口網站上接入的其他工作區都被視為次要工作區。 Defender 入口網站支援一個主要工作空間及每個租戶無限數量的次要工作空間,供 Microsoft Sentinel 使用。
當你同時擁有 Microsoft Defender 全面偵測回應時,來自主要工作區的警示會與 Defender 全面偵測回應資料相互關聯,事件則包含來自主要工作區與 Defender 全面偵測回應的警示,形成統一佇列。 當你選擇主要工作區時,Defender 全面偵測回應事件和警示的資料連接器只會連接到主要工作區。
在這種情況下:
| 區域 | 說明 |
|---|---|
| 先前連接過 Defender 全面偵測回應的其他工作區 | 先前連接至 Defender 全面偵測回應連接器的其他工作區會被斷開,並作為次要工作區運作。 你之前根據 Defender 全面偵測回應資料設定的分析規則和自動化,在你設定資料表擷取之前,這些都無法運作。 |
| 基於租戶的警示與獨立資料連接器 | 來自其他 Microsoft 服務(包括其他 Defender 服務)的警示是基於租戶的警示,且是針對整個租戶而非特定工作空間。 為防止工作空間間重複,任何直接且獨立的資料連接器必須在次要工作區中與 Microsoft Sentinel 斷開連接。 這導致租戶警報只會出現在主要工作區。 啟用時,Microsoft Defender for Office 365、Microsoft Entra ID Protection、Microsoft Defender for Cloud Apps、適用於端點的 Microsoft Defender 以及 適用於身分識別的 Microsoft Defender 的獨立資料連接器會自動斷線。 如果你的工作區裡有其他獨立的 Microsoft 資料連接器並附有警示,請務必在接入 Defender 入口前先斷開它們。 |
| Defender 全面偵測回應警示與事件 | 所有 Defender 全面偵測回應的警示和事件都會同步到你的主要工作區。 然而,若在 Azure 的 Sentinel 入口中設定 Microsoft XDR 連接器,或在 Defender 入口的 Microsoft SentinelConfiguration>>Tables 中設定,次要工作空間可以導入 Defender 表格資料。 |
| 事件產生與警報相關性 | Defender 入口網站將事件產生與警報關聯性分開管理 Microsoft Sentinel 工作區間。 次要工作區的事件不包含來自其他工作區或 Defender 全面偵測回應的資料。 |
| 需要一個主要工作空間 | 必須始終有一個主要工作區連接到 Defender 入口網站。 |
舉例來說,你可能在一家擁有多個自主工作空間的公司中,參與一個全球 SOC 團隊。 在這種情況下,你可能不想在 Defender 入口網站的全域 SOC 佇列中看到這些工作區的事件和警報。 由於這些工作空間作為次要工作區被導入 Defender 入口網站,因此在 Defender 入口網站中僅以 Microsoft Sentinel 身份顯示,沒有 Defender 事件與警示,且持續自主運作。 當你查看你的全域 SOC 工作區時,你不會看到這些次要工作區的資料。
若您在 Microsoft Entra ID 租戶中有多個 Microsoft Sentinel 工作空間,請考慮將主要工作空間用於您的全球安全運營中心。
管理工作區及檢視工作區資料的權限
請使用以下角色或角色組合之一來管理主要與次要工作空間:
| 工作 | Microsoft Entra or Azure built-in role required | 範圍 |
|---|---|---|
| Onboard Microsoft Sentinel 至 Defender portal | 至少要有 Microsoft Entra ID 的安全管理員 擁有者或使用者存取管理員 ,以及 Microsoft Sentinel 貢獻者 |
租用戶 - 擁有者或使用者存取管理員角色 的訂閱- Microsoft Sentinel 貢獻者的訂閱、資源群組或工作空間資源 |
| 連接或斷開次要工作區 | 至少要有 Microsoft Entra ID 的安全管理員 擁有者或使用者存取管理員 ,以及 Microsoft Sentinel 貢獻者 |
租用戶 - 擁有者或使用者存取管理員角色 的訂閱- Microsoft Sentinel 貢獻者的訂閱、資源群組或工作空間資源 |
| 更改主要工作區 | 至少要有 Microsoft Entra ID 的安全管理員 擁有者或使用者存取管理員 ,以及 Microsoft Sentinel 貢獻者 |
租用戶 - 擁有者或使用者存取管理員角色 的訂閱- Microsoft Sentinel 貢獻者的訂閱、資源群組或工作空間資源 |
| 在 Unified RBAC 中啟用或停用 Sentinel 工作區 | 至少要有 Microsoft Entra ID 的安全管理員 擁有者或使用者存取管理員 ,以及 Microsoft Sentinel 貢獻者 |
租用戶 - 擁有者或使用者存取管理員角色 的訂閱- Microsoft Sentinel 貢獻者的訂閱、資源群組或工作空間資源 |
重要事項
Microsoft 建議您使用權限最少的角色。 這有助於改善貴組織的安全性。
當你將Microsoft Sentinel連接到 Defender 入口後,你現有的Azure基於角色的存取控制 (RBAC) 權限,讓你能夠查看並操作你能存取的Microsoft Sentinel功能與工作空間。
| 工作區 | Access |
|---|---|
| Primary | 如果你能存取主要工作區,就能讀取和管理工作區的資料,並透過 Defender 全面偵測回應。 |
| 次要 | 如果你有次要工作區的存取權,你只能從該工作區讀取和管理資料。 Defender 事件和警示不會與次要工作區同步,但次要工作區仍可接收 Defender 的資料表資料。 欲了解更多資訊,請參閱 主要與次要工作空間。 |
例外情況:如果您已經將一個工作區導入 Defender 入口網站,2025 年 1 月中旬之前,透過自訂偵測AlertInfoAlertEvidence和資料表建立的任何警報都會對所有使用者開放。
欲了解更多資訊,請參閱 Microsoft Sentinel 中的角色與權限。
主要工作區變更
當你將 Microsoft Sentinel 導入 Defender 入口後,可以更改主要工作空間。 當你切換主要工作區到 Microsoft Sentinel 時,Defender 全面偵測回應連接器會自動連接到新的主連接器,並自動斷開與舊的連接。
在 Defender 入口網站中,請前往系統>設定>Microsoft SentinelWorkspaces> 更改主要工作空間。
不同視圖中工作區資料的範圍
如果您擁有 Microsoft Sentinel 主要與次要工作區資料的適當權限,以下表格中的工作區範圍適用於每個功能。
| 功能 | 工作空間範圍 |
|---|---|
| 搜尋 | 在 Defender 入口網站瀏覽器頁面頂端的全域搜尋結果,會提供你有權限查看的所有相關工作區資料的彙整檢視。 |
| 調查 & 應變 > 事件 & 警報 >事件 | 可在統一佇列中查看不同工作區的事件,或依工作區篩選檢視。 |
| 調查 & 應變 > 事件 & 警報> | 在統一佇列中查看不同工作區的警示,或依工作區篩選檢視。 Defender 入口網站依工作區分警示相關性。 |
| 實體:從事件或警示 > 中選擇裝置、使用者或其他實體資產 | 在單一實體頁面中查看來自多個工作區的所有相關實體資料。 實體頁面彙整所有工作區的警示、事件與時間軸事件,提供更深入的實體行為洞察。 在 事件與警示、 時間軸及 洞察 分頁中依工作區篩選。 Overview 標籤顯示所有工作區的實體元資料彙整。 |
| 調查 & 回應 > 狩獵 >進階狩獵 | 從瀏覽器右上角選擇一個工作區。 或者,透過查詢中的工作空間運算子跨多個工作空間查詢。 請參見 查詢多個工作空間。 查詢結果沒有顯示工作區名稱或 ID。 存取工作區的所有日誌資料,包括查詢與函式,皆為唯讀。 欲了解更多資訊,請參閱Microsoft Defender入口網站中的「使用Microsoft Sentinel資料進行進階狩獵」。 部分功能僅限於主要工作區: - 建立自訂偵測 - 透過 API 查詢 跨工作空間查詢Log Analytics 資料仍受其 限制。 |
| Microsoft Sentinel 體驗 | 在 Defender 入口網站的 Microsoft Sentinel 區塊中,每個頁面可從一個工作區查看資料。 大多數頁面可透過瀏覽器右上角的「 選擇工作區 」切換工作區。 - 工作簿 頁面僅顯示與主要工作區相關的資料。 跨工作空間分析規則仍受跨 工作空間分析規則的限制與建議約束。 |
| SOC 最佳化 | 資料與建議來自多個工作空間。 |
工作區的雙向同步
事件在 Azure 入口網站與 Defender 入口之間同步的方式,取決於它是主要還是次要工作區。
| 工作區 | 同步行為 |
|---|---|
| 主要 | 對於 Microsoft Sentinel,在 Azure 入口網站中,Defender 全面偵測回應事件會以事件提供者名稱 Microsoft XDR 顯示在威脅管理>事件中。 你在 Azure 或 Defender 入口網站中對 Defender 全面偵測回應事件的狀態、關閉原因或指派所做的任何變更,都會更新到對方的事件佇列中。 欲了解更多資訊,請參閱「Microsoft Sentinel與雙向同步中處理Microsoft Defender 全面偵測回應事件」。 |
| 次要 | 你為次要工作區建立的所有警示和事件,會在 Azure 和 Defender 入口網站中同步。 工作區中的資料只會同步到另一個入口網站的工作區。 |
內部風險管理 (IRM) 支援
Microsoft Purview 內部風險管理 (IRM) 警示僅與主要工作區相關聯。 如果你在 Microsoft Defender XDR 上有 IRM 警示,必須先將 IRM 連接到主工作空間的 Microsoft Defender 全面偵測回應連接器,才能將工作空間接入 Defender 入口網站。 這是確保 IRM 警示與事件能在主要工作區中可用的必要步驟。 如果你不想在主要工作區看到 IRM 警示,可以選擇退出與 Microsoft Defender 全面偵測回應。
此外,如果直接連接 Microsoft 365 內部風險管理連接器(Microsoft Sentinel 資料連接器)連接到任何次要工作區,您必須先斷開連接,才能將工作空間接入 Defender 入口網站。