Dela via

Hantera flera Microsoft Sentinel-arbetsytor centralt med arbetsytehanteraren (förhandsversion)

  • Artikel
  • Gäller för:
    Microsoft Sentinel in the Azure portal

Lär dig hur du centralt hanterar flera Microsoft Sentinel-arbetsytor i en eller flera Azure-klientorganisationer med arbetsytehanteraren. Den här artikeln tar dig igenom etablering och användning av arbetsytehanteraren. Oavsett om du är ett globalt företag eller en leverantör av hanterade säkerhetstjänster (MSSP) hjälper arbetsytehanteraren dig att arbeta effektivt i stor skala.

Här är de aktiva innehållstyper som stöds med arbetsytehanteraren:

  • Analysregler
  • Automatiseringsregler (exklusive spelböcker)
  • Parsare, sparade sökningar och funktioner
  • Frågor om jakt och livestream
  • Arbetsböcker

Viktigt!

Stöd för arbetsytehanteraren finns för närvarande i FÖRHANDSVERSION. Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

Om du registrerar Microsoft Sentinel på Microsoft Defender-portalen kan du läsa Mer information om hantering av flera klientorganisationer i Microsoft Defender.

Förutsättningar

  • Du behöver minst två Microsoft Sentinel-arbetsytor. En arbetsyta att hantera från och minst en annan arbetsyta som ska hanteras.
  • Rolltilldelningen Microsoft Sentinel-deltagare krävs på den centrala arbetsytan (där arbetsytehanteraren är aktiverad) och på de medlemsarbetsytor som deltagaren behöver hantera. Mer information om roller i Microsoft Sentinel finns i Roller och behörigheter i Microsoft Sentinel.
  • Aktivera Azure Lighthouse om du hanterar arbetsytor i flera Microsoft Entra-klienter. Mer information finns i Hantera Microsoft Sentinel-arbetsytor i stor skala.

Att tänka på

Konfigurera en central arbetsyta så att den är den miljö där du konsoliderar innehållsobjekt och konfigurationer som ska publiceras i stor skala till medlemsarbetsytor. Skapa en ny Microsoft Sentinel-arbetsyta eller använd en befintlig för att fungera som den centrala arbetsytan.

Tänk på följande arkitekturer beroende på ditt scenario:

  • Direktlänk är den minst komplexa konfigurationen. Kontrollera alla medlemsarbetsytor med endast en central arbetsyta.
  • Samhantering stöder scenarier där mer än en central arbetsyta behöver hantera en medlemsarbetsyta. Till exempel arbetsytor som hanteras samtidigt av ett internt SOC-team och en MSSP.
  • N-nivån stöder komplexa scenarier där en central arbetsyta styr en annan central arbetsyta. Till exempel ett konglomerat som hanterar flera dotterbolag, där varje dotterbolag också hanterar flera arbetsytor.

Ett diagram som visar olika arkitekturval för arbetsytehanteraren i Microsoft Sentinel.

Aktivera arbetsytehanteraren på den centrala arbetsytan

Aktivera den centrala arbetsytan när du har bestämt vilken Microsoft Sentinel-arbetsyta som ska vara arbetsytehanterare.

  1. Gå till bladet Inställningar på den överordnade arbetsytan och växla konfigurationsinställningen För arbetsytehanteraren till "Gör den här arbetsytan till överordnad".

  2. När den är aktiverad visas en ny meny arbetsytehanterare (förhandsversion) under Konfiguration.

    Skärmbild som visar konfigurationsinställningarna för arbetsytehanteraren. Menyalternativet som lagts till för arbetsytehanteraren är markerat och växlingsknappen aktiverad.

Registrera medlemsarbetsytor

Medlemsarbetsytor är en uppsättning arbetsytor som hanteras av arbetsytehanteraren. Registrera vissa eller alla arbetsytor i klientorganisationen och över flera klienter också (om Azure Lighthouse är aktiverat).

  1. Navigera till arbetsytehanteraren och välj Lägg till arbetsytor Skärmbild som visar menyn Lägg till arbetsyta.
  2. Välj de medlemsarbetsytor som du vill registrera till arbetsytehanteraren. Skärmbild som visar menyn lägg till val av arbetsyta.
  3. När medlemsantalet har registrerats ökar antalet medlemmar och dina medlemsarbetsytor visas på fliken Arbetsytor . Skärmbild som visar de tillagda arbetsytorna och antalet medlemmar ökade till 2.

Skapa en grupp

Med arbetsytehanterargrupper kan du organisera arbetsytor tillsammans baserat på företagsgrupper, lodräta områden, geografi osv. Använd grupper för att parkoppla innehållsobjekt som är relevanta för arbetsytorna.

Dricks

Kontrollera att du har minst ett aktivt innehållsobjekt distribuerat på den centrala arbetsytan. På så sätt kan du välja innehållsobjekt från den centrala arbetsytan som ska publiceras i medlemsarbetsytorna i efterföljande steg.

  1. Så här skapar du en grupp:

    • Om du vill lägga till en arbetsyta väljer du Lägg till>grupp.
    • Om du vill lägga till flera arbetsytor väljer du arbetsytorna och Lägg till>grupp från valt. Skärmbild som visar menyn Lägg till grupp.

  2. På sidan Skapa eller uppdatera grupp anger du ett namn och en beskrivning för gruppen. Skärmbild som visar konfigurationssidan för gruppskapande eller uppdatering.

  3. På fliken Välj arbetsytor väljer du Lägg till och väljer de medlemsarbetsytor som du vill lägga till i gruppen.

  4. På fliken Välj innehåll har du två sätt att lägga till innehållsobjekt.

    • Metod 1: Välj menyn Lägg till och välj Allt innehåll. Allt aktivt innehåll som för närvarande distribueras på den centrala arbetsytan läggs till. Den här listan är en ögonblicksbild av tidpunkten som endast väljer aktivt innehåll, inte mallar.
    • Metod 2: Välj menyn Lägg till och välj Innehåll. Fönstret Välj innehåll öppnas för att anpassa och välja det innehåll som har lagts till. Skärmbild som visar val av gruppinnehåll.

  5. Filtrera innehållet efter behov innan du granskar + skapar.

  6. När gruppantalet har skapats ökar och dina grupper visas på fliken Grupper.

Publicera gruppdefinitionen

I det här läget har de valda innehållsobjekten inte publicerats till medlemsarbetsytorna ännu.

Kommentar

Publiceringsåtgärden misslyckas om de maximala publiceringsåtgärderna överskrids. Överväg att dela upp medlemsarbetsytor i ytterligare grupper om du närmar dig den här gränsen.

  1. Välj gruppen >Publicera innehåll.

    Skärmbild som visar gruppens publiceringsfönster.

    Masspublicering genom att välja önskade grupper och sedan Publicera. Skärmbild som visar fönstret för grupppublicering med flera val.

  2. Kolumnen Senaste publiceringsstatus uppdateras för att återspegla Pågår. Skärmbild som visar kolumnen för förlopp för publicering av flera grupper.

  3. Om det lyckas uppdateras statusen Senaste publicering för att återspegla Lyckades. De markerade innehållsobjekten finns nu på medlemsarbetsytorna. Skärmbild som visar den senast publicerade kolumnen med poster som lyckades.

    Om bara ett innehållsobjekt inte kan publiceras för hela gruppen uppdateras statusen Senaste publicering för att återspegla Misslyckades.

Felsökning

Varje publiceringsförsök har en länk som hjälper dig att felsöka om innehållsobjekt inte kan publiceras.

  1. Välj hyperlänken Misslyckades för att öppna informationsfönstret för jobbfel. Status för varje innehållsobjekt och målarbetsytepar visas.

  2. Filtrera statusen för misslyckade objektpar.

    Skärmbild som visar jobbinformationen för en grupppubliceringsfelhändelse.

Vanliga felorsaker är:

  • Innehållsobjekt som refereras till i gruppdefinitionen finns inte längre vid tidpunkten för publiceringen (har tagits bort).
  • Behörigheterna har ändrats vid tidpunkten för publiceringen. Användaren är till exempel inte längre en Microsoft Sentinel-deltagare eller har inte längre tillräcklig behörighet på medlemsarbetsytan.
  • En medlemsarbetsyta har tagits bort.

Kända begränsningar

  • Maximalt antal publicerade åtgärder per grupp är 2 000. Publicerade åtgärder = (medlemsarbetsytor) * (innehållsobjekt).
    Om du till exempel har 10 medlemsarbetsytor i en grupp och du publicerar 20 innehållsobjekt i den gruppen,
    offentliggjord verksamhet = 10 * 20 = 200.
  • Spelböcker som tillskrivs eller är kopplade till analys- och automatiseringsregler stöds för närvarande inte.
  • Arbetsböcker som lagras i bring-your-own-storage stöds inte för närvarande.
  • Arbetsytehanteraren hanterar endast innehållsobjekt som publicerats från den centrala arbetsytan. Det hanterar inte innehåll som skapats lokalt från medlemsarbetsytor.
  • För närvarande stöds inte borttagning av innehåll som finns på medlemsarbetsytor centralt via arbetsytehanteraren.

API-referenser

Nästa steg