通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用工作区管理器集中管理多个 Microsoft Sentinel 工作区(预览)

  • 项目
  • 适用于:
    Microsoft Sentinel in the Azure portal

了解如何使用工作区管理器集中管理一个或多个 Azure 租户中的多个 Microsoft Sentinel 工作区。 本文将指导你完成工作区管理器的预配和使用。 无论你是全球性企业还是安全托管服务提供商 (MSSP),工作区管理器都可以帮助你高效地进行大规模运营。

下面是工作区管理器支持的活动内容类型:

  • 分析规则
  • 自动化规则(排除 Playbook)
  • 分析程序、保存的搜索和函数
  • 搜寻查询和实时流查询
  • 工作簿

重要

对工作区管理器的支持目前为预览版。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

如果将 Microsoft Sentinel 加入 Microsoft Defender 门户,请参阅 Microsoft Defender 多租户管理

先决条件

注意事项

将中心工作区配置为在其中合并要大规模发布到成员工作区的内容项和配置的环境。 创建新的 Microsoft Sentinel 工作区或利用现有工作区作为中心工作区。

根据你的方案,请考虑以下体系结构:

  • 直接链接是最不复杂的设置。 仅使用一个中心工作区控制所有成员工作区。
  • 共同管理支持多个中心工作区需要管理一个成员工作区的场景。 例如,内部 SOC 团队和 MSSP 同时管理工作区。
  • N 层支持一个中心工作区控制另一个中心工作区的复杂场景。 例如,一个企业集团管理多个子公司,其中每个子公司还管理多个工作区。

示意图显示 Microsoft Sentinel 中的工作区管理器的各种体系结构选项。

在中心工作区上启用工作区管理器

确定哪个 Microsoft Sentinel 工作区应为工作区管理器后,请启用中心工作区。

  1. 导航到父工作区中的“设置”边栏选项卡,将“工作区管理器配置设置”的“使此工作区成为父工作区”切换为“打开”。

  2. 启用后,“配置”下会显示新菜单“工作区管理器(预览版)”。

    屏幕截图显示了工作区管理器配置设置。其中突出显示了为工作区管理器添加的菜单项,并且切换按钮处于打开状态。

载入成员工作区

成员工作区是由工作区管理器管理的一组工作区。 在租户中载入部分或全部工作区,也可跨多个租户载入(如果启用了 Azure Lighthouse)。

  1. 导航到工作区管理器,选择“添加工作区”屏幕截图显示用于添加工作区的菜单。
  2. 选择要加入工作区管理器的成员工作区。 屏幕截图显示用于添加所选工作区的菜单。
  3. 成功载入后,“成员”计数会增加,成员工作区会显示在“工作区”选项卡中。屏幕截图显示添加的工作区以及“成员”计数增加到 2。

创建组

通过工作区管理器组可以根据业务组、垂直领域、地理位置等组织工作区。使用组来配对与工作区相关的内容项。

提示

请确保在中心工作区中部署了至少一个活动内容项。 这样,就可以从中心工作区选择在后续步骤中要在成员工作区中发布的内容项。

  1. 若要创建组,请执行以下操作:

    • 若要添加一个工作区,请选择“添加”>“组”。
    • 若要添加多个工作区,请选择这些工作区,然后选择“添加”>“组(根据所选项)”。 屏幕截图显示用于添加组的菜单。

  2. 在“创建或更新组”页面上,输入组的名称和说明。 屏幕截图显示组的创建和更新配置页面。

  3. 在“选择工作区”选项卡中,选择“添加”,然后选择要添加到组的成员工作区。

  4. 在“选择内容”选项卡中,有 2 种方法可以添加内容项。

    • 方法 1:选择“添加”菜单,然后选择“所有内容”。 系统会添加当前部署在中央工作区中的所有活动内容。 此列表是仅选择活动内容而非模板的时间点快照。
    • 方法 2:选择“添加”菜单,然后选择“内容”。 此时会打开“选择内容”窗口,用于自定义选择添加的内容。 屏幕截图显示组内容的选择。

  5. 在“查看 + 创建”之前,请根据需要筛选内容。

  6. 创建后,组计数会增加,组将显示在“组”选项卡中。

发布组定义

此时,所选内容项尚未发布到成员工作区。

注意

如果超过最大发布操作数,发布操作会失败。 如果达到此限制,请考虑将成员工作区拆分为额外的组。

  1. 选择组 >“发布内容”。

    屏幕截图显示组发布窗口。

    若要批量发布,请多选所需组,然后选择“发布”。 屏幕截图显示多选组发布窗口。

  2. “上次发布状态”列将更新为显示“正在进行”。 屏幕截图显示多个组的发布进度列。

  3. 如果成功,“上次发布状态”将更新为显示“成功”。 所选内容项现存于成员工作区中。 屏幕截图显示包含“成功”条目的“上次发布”列。

    如果整个组只有一个内容项无法发布,“上次发布状态”将更新为“失败”。

疑难解答

每次发布尝试都有一个链接,用于在内容项发布失败时帮助进行故障排除。

  1. 选择“失败”超链接,打开作业失败详细信息窗口。 此时将显示每个内容项和目标工作区对的状态。

  2. 筛选失败项对的“状态”。

    屏幕截图显示组发布失败事件的作业详细信息。

常见的失败原因包括:

  • 在发布时,组定义中引用的内容项不再存在(已被删除)。
  • 发布时权限已更改。 例如,用户不再是 Microsoft Sentinel 参与者,或者不再对成员工作区拥有足够的权限。
  • 成员工作区已删除。

已知的限制

  • 每个组的最大发布操作数为 2000。 发布操作数 =(成员工作区数)*(内容项数)。
    例如,如果组中有 10 个成员工作区,并且在该组中发布了 20 个内容项,
    发布操作数 = 10 * 20 = 200
  • 目前不支持归属或隶属于分析和自动化规则的 Playbook。
  • 目前不支持存储在自带存储中的工作簿。
  • 工作区管理器仅管理从中心工作区发布的内容项。 它不会管理从成员工作区本地创建的内容。
  • 目前,不支持通过工作区管理器集中删除成员工作区中驻留的内容。

API 参考

后续步骤