Поделиться через

Централизованное управление несколькими рабочими областями Microsoft Sentinel с помощью диспетчера рабочих областей (предварительная версия)

  • Статья
  • Применяется к:
    Microsoft Sentinel in the Azure portal

Узнайте, как централизованно управлять несколькими рабочими областями Microsoft Sentinel в одном или нескольких клиентах Azure с помощью диспетчера рабочих областей. В этой статье описывается подготовка и использование диспетчера рабочих областей. Независимо от того, является ли вы глобальным предприятием или поставщиком управляемых служб безопасности (MSSP), диспетчер рабочих областей помогает эффективно работать в масштабе.

Ниже приведены активные типы контента, поддерживаемые диспетчером рабочих областей:

  • Правила аналитики
  • Правила автоматизации (за исключением сборников схем)
  • Синтаксический анализ, сохраненные поиски и функции
  • Запросы охоты и трансляции
  • Workbooks

Внимание

Поддержка диспетчера рабочих областей в настоящее время доступна в предварительной версии. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.

Если вы настроите Microsoft Sentinel на портал Microsoft Defender, ознакомьтесь с мультитенантным управлением Microsoft Defender.

Необходимые компоненты

  • Вам потребуется по крайней мере две рабочие области Microsoft Sentinel. Одна рабочая область для управления из одной рабочей области и по крайней мере одной другой рабочей области для управления.
  • Назначение роли участника Microsoft Sentinel требуется в центральной рабочей области (где диспетчер рабочих областей включен), а также для рабочих областей участников, которым требуется управлять участником. Дополнительные сведения о ролях в Microsoft Sentinel см. в статье "Роли и разрешения" в Microsoft Sentinel.
  • Включите Azure Lighthouse, если вы управляете рабочими областями в нескольких клиентах Microsoft Entra. Дополнительные сведения см. в статье "Управление рабочими областями Microsoft Sentinel в большом масштабе".

Рекомендации

Настройте центральную рабочую область, чтобы быть средой, в которой вы консолидируете элементы содержимого и конфигурации для публикации в масштабах рабочих областей-членов. Создайте новую рабочую область Microsoft Sentinel или используйте существующую для использования в качестве центральной рабочей области.

В зависимости от вашего сценария рассмотрите следующие архитектуры:

  • Прямая ссылка — это наименее сложная настройка. Управление всеми рабочими областями-участниками с помощью только одной центральной рабочей области.
  • Совместное управление поддерживает сценарии, в которых несколько центральных рабочих областей должны управлять рабочей областью-участником. Например, рабочие области одновременно управляются собственной командой SOC и MSSP.
  • N-Уровень поддерживает сложные сценарии, в которых центральная рабочая область управляет другой центральной рабочей областью. Например, конгломерат, который управляет несколькими дочерними компаниями, где каждая дочерняя компания также управляет несколькими рабочими областями.

Схема с различными вариантами архитектуры для диспетчера рабочих областей в Microsoft Sentinel.

Включение диспетчера рабочих областей в центральной рабочей области

Включите центральную рабочую область после того, как вы решили, какая рабочая область Microsoft Sentinel должна быть диспетчером рабочих областей.

  1. Перейдите в колонку "Параметры" в родительской рабочей области и переключите параметр конфигурации диспетчера рабочих областей на "Сделать эту рабочую область родительской".

  2. После включения новый диспетчер рабочей области меню (предварительная версия) появится в разделе "Конфигурация".

    Снимок экрана: параметры конфигурации диспетчера рабочих областей. Элемент меню, добавленный для диспетчера рабочих областей, выделен и кнопка переключателя.

Подключение рабочих областей участников

Рабочие области-члены — это набор рабочих областей, управляемых диспетчером рабочих областей. Подключение некоторых или всех рабочих областей в клиенте и нескольких клиентов (если Azure Lighthouse включен).

  1. Перейдите к диспетчеру рабочих областей и выберите "Добавить рабочие области" Снимок экрана: меню добавления рабочей области.
  2. Выберите рабочие области участников, которые вы хотите подключить к диспетчеру рабочих областей. Снимок экрана: меню выбора рабочей области добавления.
  3. После успешного подключения число участников увеличивается, а рабочие области членов отражаются на вкладке "Рабочие области".Снимок экрана: добавленные рабочие области и число участников увеличивается до 2.

Создать группу

Группы диспетчеров рабочих областей позволяют организовать рабочие области вместе на основе бизнес-групп, вертикали, географии и т. д. Используйте группы для связывания элементов содержимого, относящихся к рабочим областям.

Совет

Убедитесь, что у вас есть хотя бы один активный элемент содержимого, развернутый в центральной рабочей области. Это позволяет выбрать элементы содержимого из центральной рабочей области, которые будут опубликованы в рабочих областях-членах в последующих шагах.

  1. Чтобы создать группу, выполните приведенные действия.

    • Чтобы добавить одну рабочую область, нажмите кнопку "Добавить>группу".
    • Чтобы добавить несколько рабочих областей, выберите рабочие области и добавьте>группу из выбранной области. Снимок экрана: меню добавления группы.

  2. На странице "Создание или обновление группы" введите имя и описание группы. Снимок экрана: страница создания или обновления группы конфигурации.

  3. На вкладке "Выбор рабочих областей" нажмите кнопку "Добавить " и выберите рабочие области участников, которые вы хотите добавить в группу.

  4. На вкладке "Выбор содержимого" есть 2 способа добавления элементов контента.

    • Метод 1. Выберите меню "Добавить " и выберите "Все содержимое". Добавляется все активное содержимое, развернутые в центральной рабочей области. Этот список — это моментальный снимок, который выбирает только активное содержимое, а не шаблоны.
    • Метод 2. Выберите меню "Добавить " и выберите "Содержимое". Откроется окно выбора содержимого , чтобы выбрать добавленное содержимое. Снимок экрана: выбор содержимого группы.

  5. Отфильтруйте содержимое по мере необходимости перед просмотром и созданием.

  6. После создания число групп увеличивается, а группы отражаются на вкладке "Группы".

Публикация определения группы

На этом этапе выбранные элементы содержимого еще не были опубликованы в рабочих областях-членах.

Примечание.

Действие публикации завершится ошибкой, если превышено максимальное количество операций публикации. При подходе к этому ограничению рекомендуется разделить рабочие области членов на дополнительные группы.

  1. Выберите содержимое группы >публикации.

    Снимок экрана: окно публикации группы.

    Чтобы выполнить массовую публикацию, выберите нужные группы и выберите "Опубликовать". Снимок экрана: окно публикации группы с несколькими выборами.

  2. Столбец состояния последней публикации обновляется, чтобы отразить ход выполнения. Снимок экрана: столбец хода публикации в нескольких группах.

  3. При успешном выполнении обновление состояния последней публикации отражается успешно. Выбранные элементы содержимого теперь существуют в рабочих областях элементов. Снимок экрана: последний опубликованный столбец с записями, которые успешно выполнены.

    Если для всей группы не удается опубликовать только один элемент содержимого, состояние последней публикации обновляется в соответствии с ошибкой.

Устранение неполадок

Каждая попытка публикации содержит ссылку для устранения неполадок при сбое публикации элементов содержимого.

  1. Выберите гиперссылку "Сбой", чтобы открыть окно сведений о сбое задания. Отображается состояние каждого элемента содержимого и целевой пары рабочей области.

  2. Отфильтруйте состояние для пар элементов с ошибкой.

    Снимок экрана: сведения о задании события сбоя публикации группы.

Обычные причины сбоев перечислены ниже.

  • Элементы содержимого, на которые ссылается определение группы, больше не существуют во время публикации (удалены).
  • Разрешения изменились во время публикации. Например, пользователь больше не является участником Microsoft Sentinel или больше не имеет достаточных разрешений на рабочую область члена.
  • Рабочая область члена удалена.

Известные ограничения

  • Максимальное число опубликованных операций для каждой группы — 2000. Опубликованные операции = (рабочие области-члены) * (элементы содержимого).
    Например, если в группе есть 10 рабочих областей участников и вы публикуете 20 элементов содержимого в этой группе,
    опубликованные операции = 10 * 20 200. =
  • Сборники схем, которые приписываются или присоединены к правилам аналитики и автоматизации, в настоящее время не поддерживаются.
  • Книги, хранящиеся в собственном хранилище, в настоящее время не поддерживаются.
  • Диспетчер рабочих областей управляет только элементами содержимого, опубликованными из центральной рабочей области. Он не управляет контентом, созданным локально из рабочих областей участников.
  • В настоящее время удаление содержимого, размещенного в рабочих областях-членах, централизованно с помощью диспетчера рабочих областей, не поддерживается.

Справочники по API

Следующие шаги