مشاركة عبر

إدارة مساحات عمل Microsoft Sentinel متعددة مركزيا باستخدام مدير مساحة العمل (معاينة)

  • مقالة
  • ينطبق على:
    Microsoft Sentinel in the Azure portal

تعرف على كيفية إدارة مساحات عمل Microsoft Sentinel متعددة مركزيا داخل مستأجر واحد أو أكثر من مستأجري Azure مع مدير مساحة العمل. تأخذك هذه المقالة من خلال توفير واستخدام مدير مساحة العمل. سواء كنت مؤسسة عمومية أو موفر خدمات أمان مدارة (MSSP)، يساعدك مدير مساحة العمل على العمل على نطاق واسع بكفاءة.

فيما يلي أنواع المحتويات النشطة المدعومة مع مدير مساحة العمل:

  • قواعد التحليلات
  • قواعد التنفيذ التلقائي (باستثناء أدلة المبادئ)
  • المحللات وعمليات البحث المحفوظة والوظائف
  • استعلامات التتبع و Livestream
  • مصنفات

هام

دعم مدير مساحة العمل قيد المعاينة حاليا. تتضمن الشروط التكميلية لمعاينة Azure شروطا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في التوفر العام.

إذا قمت بإلحاق Microsoft Sentinel إلى مدخل Microsoft Defender، فشاهد إدارة Microsoft Defender متعددة المستأجرين.

المتطلبات الأساسية

  • تحتاج إلى مساحة عمل Microsoft Sentinel على الأقل. مساحة عمل واحدة لإدارتها من مساحة عمل أخرى واحدة على الأقل لإدارتها.
  • تعيين دور Microsoft Sentinel Contributor مطلوب على مساحة العمل المركزية (حيث يتم تمكين مدير مساحة العمل)، وعلى مساحة (مساحات) عمل العضو التي يحتاج المساهم إلى إدارتها. لمعرفة المزيد حول الأدوار في Microsoft Sentinel، راجع الأدوار والأذونات في Microsoft Sentinel.
  • قم بتمكين Azure Lighthouse إذا كنت تدير مساحات العمل عبر العديد من مستأجري Microsoft Entra. لمعرفة المزيد، راجع إدارة مساحات عمل Microsoft Sentinel على نطاق واسع.

الاعتبارات

قم بتكوين مساحة عمل مركزية لتكون البيئة التي تقوم فيها بدمج عناصر المحتوى والتكوينات التي سيتم نشرها على نطاق واسع في مساحات عمل الأعضاء. إنشاء مساحة عمل Microsoft Sentinel جديدة أو استخدام مساحة عمل موجودة لتكون بمثابة مساحة العمل المركزية.

اعتمادا على السيناريو الخاص بك، ضع في اعتبارك هذه البنيات:

  • الارتباط المباشر هو الإعداد الأقل تعقيدا. التحكم في كافة مساحات عمل الأعضاء مع مساحة عمل مركزية واحدة فقط.
  • تدعم الإدارة المشتركة السيناريوهات التي تحتاج فيها أكثر من مساحة عمل مركزية واحدة إلى إدارة مساحة عمل عضو. على سبيل المثال، تتم إدارة مساحات العمل في وقت واحد بواسطة فريق SOC داخلي وMSSP.
  • يدعم N-Tier السيناريوهات المعقدة حيث تتحكم مساحة العمل المركزية في مساحة عمل مركزية أخرى. على سبيل المثال، تكتل يدير شركات فرعية متعددة، حيث تدير كل شركة فرعية أيضا مساحات عمل متعددة.

رسم تخطيطي يوضح خيارات التصميم المختلفة لمدير مساحة العمل في Microsoft Sentinel.

تمكين مدير مساحة العمل على مساحة العمل المركزية

قم بتمكين مساحة العمل المركزية بمجرد تحديد مساحة عمل Microsoft Sentinel التي يجب أن تكون مدير مساحة العمل.

  1. انتقل إلى شفرة الإعدادات في مساحة العمل الأصل، وقم بتبديل إعداد تكوين إدارة مساحة العمل إلى "جعل مساحة العمل هذه أصل".

  2. بمجرد التمكين، تظهر قائمة جديدة مدير مساحة العمل (معاينة) ضمن التكوين.

    تظهر لقطة الشاشة إعدادات تكوين مدير مساحة العمل. يتم تمييز عنصر القائمة الذي تمت إضافته لإدارة مساحة العمل وزر التبديل قيد التشغيل.

إلحاق مساحات عمل الأعضاء

مساحات عمل الأعضاء هي مجموعة من مساحات العمل التي يديرها مدير مساحة العمل. إلحاق بعض أو كل مساحات العمل في المستأجر، وعبر مستأجرين متعددين أيضا (إذا تم تمكين Azure Lighthouse).

  1. انتقل إلى مدير مساحة العمل وحدد "إضافة مساحات عمل" تظهر لقطة الشاشة قائمة إضافة مساحة عمل.
  2. حدد مساحة (مساحات) عمل الأعضاء التي ترغب في إلحاقها بمدير مساحة العمل. تظهر لقطة الشاشة قائمة تحديد إضافة مساحة عمل.
  3. بمجرد الإلحاق بنجاح، يزيد عدد الأعضاء وتنعكس مساحات عمل الأعضاء في علامة التبويب مساحات العمل. تظهر لقطة الشاشة مساحات العمل المضافة وعدد الأعضاء الذي تم زيادةه إلى 2.

إنشاء مجموعة

تسمح لك مجموعات إدارة مساحات العمل بتنظيم مساحات العمل معا استنادا إلى مجموعات الأعمال والعموديات والجغرافيا وما إلى ذلك. استخدم المجموعات لإقران عناصر المحتوى ذات الصلة بمساحات العمل.

تلميح

تأكد من نشر عنصر محتوى نشط واحد على الأقل في مساحة العمل المركزية. يسمح لك هذا بتحديد عناصر المحتوى من مساحة العمل المركزية ليتم نشرها في مساحة (مساحات) عمل الأعضاء في الخطوات اللاحقة.

  1. لإنشاء مجموعة:

    • لإضافة مساحة عمل واحدة، حدد إضافة>مجموعة.
    • لإضافة مساحات عمل متعددة، حدد مساحات العمل وإضافة >مجموعة من المحدد. تظهر لقطة الشاشة قائمة إضافة مجموعة.

  2. في صفحة إنشاء مجموعة أو تحديثها، أدخل اسما ووصفا للمجموعة. تظهر لقطة الشاشة صفحة تكوين إنشاء المجموعة أو تحديثها.

  3. في علامة التبويب تحديد مساحات العمل، حدد إضافة وحدد مساحات عمل الأعضاء التي تريد إضافتها إلى المجموعة.

  4. في علامة التبويب تحديد المحتوى ، لديك طريقتان لإضافة عناصر المحتوى.

    • الطريقة 1: حدد القائمة إضافة واختر كل المحتوى. تتم إضافة جميع المحتويات النشطة المنشورة حاليا في مساحة العمل المركزية. هذه القائمة هي لقطة في نقطة زمنية تحدد المحتوى النشط فقط، وليس القوالب.
    • الطريقة 2: حدد القائمة إضافة واختر محتوى. تفتح نافذة تحديد المحتوى إلى مخصص حدد المحتوى الذي تمت إضافته. لقطة شاشة تعرض تحديد محتوى المجموعة.

  5. قم بتصفية المحتوى حسب الحاجة قبل المراجعة + الإنشاء.

  6. بمجرد الإنشاء، يزداد عدد المجموعات وتنعكس مجموعاتك في علامة التبويب المجموعات.

نشر تعريف المجموعة

عند هذه النقطة، لم يتم نشر عناصر المحتوى المحددة إلى مساحة عمل العضو حتى الآن.

إشعار

سيفشل إجراء النشر إذا تم تجاوز الحد الأقصى لعمليات النشر. ضع في اعتبارك تقسيم مساحات عمل الأعضاء إلى مجموعات إضافية إذا اقتربت من هذا الحد.

  1. حدد المجموعة >نشر المحتوى.

    تظهر لقطة الشاشة نافذة نشر المجموعة.

    للنشر المجمع، حدد المجموعات المطلوبة متعددة وحدد Publish. تظهر لقطة الشاشة نافذة نشر المجموعة متعددة التحديد.

  2. يتم تحديث عمود حالة النشر الأخير ليعكس قيد التقدم. تظهر لقطة الشاشة عمود تقدم النشر متعدد المجموعات.

  3. إذا نجحت، يتم تحديث حالة النشر الأخير لتعكس Succeeded. عناصر المحتوى المحددة موجودة الآن في مساحات عمل الأعضاء. تظهر لقطة الشاشة العمود المنشور الأخير مع الإدخالات التي نجحت.

    إذا فشل نشر عنصر محتوى واحد فقط للمجموعة بأكملها، يتم تحديث حالة النشر الأخير ليعكس فشل.

استكشاف الأخطاء وإصلاحها

تحتوي كل محاولة نشر على ارتباط للمساعدة في استكشاف الأخطاء وإصلاحها إذا فشلت عناصر المحتوى في النشر.

  1. حدد الارتباط التشعبي Failed لفتح نافذة تفاصيل فشل الوظيفة. يتم عرض حالة لكل عنصر محتوى وزوج مساحة العمل الهدف.

  2. تصفية الحالة لأزواج العناصر الفاشلة.

    تظهر لقطة الشاشة تفاصيل المهمة لحدث فشل نشر مجموعة.

تتضمن الأسباب الشائعة للفشل ما يلي:

  • لم تعد عناصر المحتوى المشار إليها في تعريف المجموعة موجودة في وقت النشر (تم حذفها).
  • تم تغيير الأذونات في وقت النشر. على سبيل المثال، لم يعد المستخدم مساهم Microsoft Sentinel أو ليس لديه أذونات كافية على مساحة عمل العضو بعد الآن.
  • تم حذف مساحة عمل عضو.

القيود المعروفة

  • الحد الأقصى للعمليات المنشورة لكل مجموعة هو 2000. العمليات المنشورة = (مساحات عمل الأعضاء) * (عناصر المحتوى).
    على سبيل المثال، إذا كان لديك 10 مساحات عمل أعضاء في مجموعة وقمت بنشر 20 عنصر محتوى في تلك المجموعة،
    العمليات = المنشورة 10 * 20 = 200.
  • أدلة المبادئ المنسوبة إلى التحليلات وقواعد التشغيل التلقائي غير مدعومة حاليا.
  • المصنفات المخزنة في إحضار التخزين الخاص بك غير مدعومة حاليا.
  • يدير مدير مساحة العمل عناصر المحتوى المنشورة من مساحة العمل المركزية فقط. لا يدير المحتوى الذي تم إنشاؤه محليا من مساحة (مساحات) عمل الأعضاء.
  • حاليا، حذف المحتوى الموجود في مساحة (مساحات) عمل الأعضاء مركزيا عبر مدير مساحة العمل غير مدعوم.

مراجع API

الخطوات التالية