Megosztás a következőn keresztül:

Több Microsoft Sentinel-munkaterület központi kezelése a munkaterület-kezelővel (előzetes verzió)

  • Cikk
  • A következőre érvényes::
    Microsoft Sentinel in the Azure portal

Megtudhatja, hogyan felügyelhet központilag több Microsoft Sentinel-munkaterületet egy vagy több Azure-bérlőn belül a munkaterület-kezelővel. Ez a cikk végigvezeti a munkaterület-kezelő kiépítésén és használatán. Akár globális vállalatról, akár felügyelt biztonsági szolgáltatóról (MSSP) van szó, a munkaterület-kezelő segít a hatékony skálázásban.

A munkaterület-kezelővel támogatott aktív tartalomtípusok a következők:

  • Elemzési szabályok
  • Automatizálási szabályok (a forgatókönyvek kivételével)
  • Elemzők, mentett keresések és függvények
  • Keresési és élő közvetítéses lekérdezések
  • Munkafüzetek

Fontos

A munkaterület-kezelő támogatása jelenleg előzetes verzióban érhető el. Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

Ha a Microsoft Sentinelt a Microsoft Defender portálra készíti fel, tekintse meg a Microsoft Defender több-bérlős felügyeletét.

Előfeltételek

Megfontolások

Egy központi munkaterületet úgy konfigurálhat, hogy az legyen az a környezet, amelyben összesíti a tag-munkaterületeken nagy léptékben közzéteendő tartalomelemeket és konfigurációkat. Hozzon létre egy új Microsoft Sentinel-munkaterületet, vagy használjon egy meglévőt központi munkaterületként.

A forgatókönyvtől függően vegye figyelembe az alábbi architektúrákat:

  • A direct-link a legkevésbé összetett beállítás. Az összes tag-munkaterület vezérlése egyetlen központi munkaterülettel.
  • A társfelügyelet olyan forgatókönyveket támogat, amelyekben egynél több központi munkaterületnek kell felügyelnie egy tag-munkaterületet. Például egy belső SOC-csapat és egy MSSP által egyidejűleg felügyelt munkaterületek.
  • Az N szint olyan összetett forgatókönyveket támogat, amelyekben egy központi munkaterület egy másik központi munkaterületet irányít. Például egy több leányvállalatot kezelő konglomerátum, ahol az egyes leányvállalatok több munkaterületet is kezelnek.

Diagram a Microsoft Sentinel munkaterület-kezelőjének különböző architektúra-lehetőségeiről.

Munkaterület-kezelő engedélyezése a központi munkaterületen

Engedélyezze a központi munkaterületet, miután eldöntötte, hogy melyik Microsoft Sentinel-munkaterület legyen a munkaterület-kezelő.

  1. Lépjen a szülő-munkaterület Beállítások paneljére, és váltson a munkaterület-kezelő konfigurációs beállításán a "Munkaterület szülővé tétele" beállításra.

  2. Ha engedélyezve van, megjelenik egy új menü, a Munkaterület-kezelő (előzetes verzió) a Konfiguráció területen.

    Képernyőkép a munkaterület-kezelő konfigurációs beállításairól. A munkaterület-kezelőhöz hozzáadott menüelem ki van emelve, és be van kapcsolva a váltógomb.

Tag-munkaterületek előkészítése

A tag munkaterületek a munkaterület-kezelő által felügyelt munkaterületek. Néhány vagy az összes munkaterület előkészítése a bérlőben és több bérlőn is (ha az Azure Lighthouse engedélyezve van).

  1. Lépjen a munkaterület-kezelőbe, és válassza a "Munkaterületek hozzáadása" lehetőséget Képernyőkép a Munkaterület hozzáadása menüről.
  2. Válassza ki a munkaterület-kezelőbe felvenni kívánt tag-munkaterület(ek)et. Képernyőkép a Munkaterület hozzáadása menüről.
  3. A sikeres előkészítés után a tagok száma nő, és a tag-munkaterületek megjelennek a Munkaterületek lapon. Képernyőkép a hozzáadott munkaterületekről, és a tagok száma 2-re nő.

Csoport létrehozása

A munkaterület-kezelői csoportok lehetővé teszik, hogy a munkaterületeket üzleti csoportok, függőlegesek, földrajzi területek stb. alapján csoportosítsa. Csoportok használatával párosíthatja a munkaterületekre vonatkozó tartalomelemeket.

Tipp.

Győződjön meg arról, hogy legalább egy aktív tartalomelem telepítve van a központi munkaterületen. Így kiválaszthatja a központi munkaterületről a tag-munkaterület(ek)ben közzéteendő tartalomelemeket a következő lépésekben.

  1. Csoport létrehozása:

    • Egy munkaterület hozzáadásához válassza a Csoport hozzáadása lehetőséget>.
    • Több munkaterület hozzáadásához jelölje ki a munkaterületeket, és válassza ki a csoport hozzáadása>lehetőséget. Képernyőkép a Csoport hozzáadása menüről.

  2. A Csoport létrehozása vagy frissítése lapon adja meg a csoport nevét és leírását. Képernyőkép a csoport létrehozási vagy frissítési konfigurációs oldalról.

  3. A Munkaterületek kiválasztása lapon válassza a Hozzáadás elemet, és válassza ki a csoporthoz hozzáadni kívánt tag-munkaterületeket.

  4. A Tartalom kiválasztása lapon kétféleképpen adhat hozzá tartalomelemeket.

    • 1. módszer: Válassza a Hozzáadás menüt, és válassza a Minden tartalom lehetőséget. A rendszer hozzáadja a központi munkaterületen jelenleg üzembe helyezett összes aktív tartalmat. Ez a lista egy időponthoz kötött pillanatkép, amely csak az aktív tartalmat választja ki, nem a sablonokat.
    • 2. módszer: Válassza a Hozzáadás menüt, és válassza a Tartalom lehetőséget. Megnyílik a Tartalom kiválasztása ablak, amely egyénileg kijelöli a hozzáadott tartalmat. Képernyőkép a csoporttartalom kiválasztásáról.

  5. Szűrje a tartalmat igény szerint a Véleményezés + létrehozás előtt.

  6. A létrehozás után nő a csoportok száma, és a csoportok megjelennek a Csoportok lapon.

A csoportdefiníció közzététele

Ezen a ponton a kijelölt tartalomelemek még nem lettek közzétéve a tag-munkaterület(ek)en.

Feljegyzés

A közzétételi művelet sikertelen lesz, ha túllépi a maximális közzétételi műveletet . Ha eléri ezt a korlátot, fontolja meg a tag-munkaterületek további csoportokra való felosztását.

  1. Válassza ki a csoport >Közzétételi tartalmát.

    A csoport közzétételi ablakának képernyőképe.

    Tömeges közzétételhez jelölje ki többször a kívánt csoportokat, és válassza a Közzététel lehetőséget. Képernyőkép a több kijelöléses csoport közzétételi ablakról.

  2. Az Utolsó közzététel állapot oszlop frissül, hogy tükrözze a Folyamatban állapotot. Képernyőkép a többcsoportos közzétételi folyamat oszlopról.

  3. Ha sikeres, az Utolsó közzététel állapot frissül a Sikeresnek megfelelően. A kijelölt tartalomelemek már léteznek a tag-munkaterületeken. Képernyőkép az utolsó közzétett oszlopról, amelyen sikeres bejegyzések láthatók.

    Ha csak egy tartalomelem közzététele nem sikerül a teljes csoport számára, az Utolsó közzététel állapot a sikertelennek megfelelően frissül.

Hibaelhárítás

Minden közzétételi kísérlet tartalmaz egy hivatkozást, amely segít a hibaelhárításban, ha a tartalomelemek közzététele sikertelen.

  1. A feladathibák részletei ablak megnyitásához válassza a Sikertelen hivatkozás lehetőséget. Megjelenik az egyes tartalomelemek és cél-munkaterület-párok állapota.

  2. Szűrje a sikertelen elempárok állapotát .

    Képernyőkép egy csoport közzétételi sikertelen eseményének feladatadatairól.

A hiba gyakori okai például:

  • A csoportdefinícióban hivatkozott tartalomelemek már nem léteznek a közzététel időpontjában (törölve).
  • Az engedélyek a közzétételkor megváltoztak. A felhasználó például már nem Microsoft Sentinel-közreműködő, vagy már nem rendelkezik megfelelő engedélyekkel a tag-munkaterületen.
  • A tag-munkaterület törölve lett.

Ismert korlátozások

  • Csoportonként a közzétett műveletek maximális száma 2000. Közzétett műveletek = (tag-munkaterületek) * (tartalomelemek).
    Ha például 10 tag-munkaterület van egy csoportban, és 20 tartalomelemet tesz közzé a csoportban,
    közzétett műveletek = 10 * 20 = 200.
  • Az elemzési és automatizálási szabályokhoz rendelt vagy csatolt forgatókönyvek jelenleg nem támogatottak.
  • A saját tárterületen tárolt munkafüzetek jelenleg nem támogatottak.
  • A Munkaterület-kezelő csak a központi munkaterületen közzétett tartalomelemeket kezeli. Nem kezeli a tag-munkaterület(ek)ből helyileg létrehozott tartalmakat.
  • Jelenleg a tag-munkaterület(ek)ben központilag, a munkaterület-kezelőn keresztüli tartalom törlése nem támogatott.

API-referencia

Következő lépések