Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Når du onboarder Microsoft Sentinel, er dit første skridt at vælge dit Log Analytics-arbejdsområde. Selvom du kan få det fulde udbytte af Microsoft Sentinel oplevelse med et enkelt arbejdsområde, kan det i nogle tilfælde være en god idé at udvide dit arbejdsområde til at forespørge på og analysere dine data på tværs af arbejdsområder og lejere. Du kan få flere oplysninger under Design en arkitektur til et Log Analytics-arbejdsområde og Forbered til flere arbejdsområder og lejere i Microsoft Sentinel.
Hvis du onboarder Microsoft Sentinel til Microsoft Defender-portalen, skal du se:
- Flere Microsoft Sentinel arbejdsområder på Defender-portalen
- Microsoft Defender multitenant administration
Administrer hændelser på flere arbejdsområder
På Azure- og Defender-portalerne giver visningen af hændelser dig mulighed for centralt at administrere og overvåge hændelser på tværs af flere arbejdsområder eller filtrere visningen efter arbejdsområde. Administrer hændelser direkte eller analysér ned på gennemsigtig vis for hændelsesoplysningerne i konteksten for det oprindelige arbejdsområde.
Hvis du arbejder i Azure Portal, kan du se hændelsesvisningen for flere arbejdsområder. Hvis du vil se Defender-portalen, skal du se Flere Microsoft Sentinel arbejdsområder på Defender-portalen.
Forespørg på flere arbejdsområder
Forespørg på flere arbejdsområder for at søge efter og korrelere data fra flere arbejdsområder i en enkelt forespørgsel.
Brug udtrykket
workspace( )med arbejdsområde-id'et som argument til at referere til en tabel i et andet arbejdsområde. Brug eksplicitte id-formater for at sikre den bedste ydeevne. Du kan få flere oplysninger under Identifikatorformater for forespørgsler på tværs af arbejdsområder.Brug foreningsoperatoren
workspace( )sammen med udtrykket til at anvende en forespørgsel på tværs af tabeller i flere arbejdsområder.Brug gemte funktioner til at forenkle forespørgsler på tværs af arbejdsområder. Du kan f.eks. forkorte en lang reference til tabellen SecurityEvent i Kunde A-arbejdsområdet ved at gemme udtrykket:
workspace("/subscriptions/<customerA_subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName>").SecurityEventsom en funktion, der kaldes
SecurityEventCustomerA. Du kan derefter forespørge kunde A's SecurityEvent-tabel med denne funktion:SecurityEventCustomerA | where ....En funktion kan også forenkle en ofte brugt forening. Du kan f.eks. gemme følgende udtryk som en funktion med navnet
unionSecurityEvent:union workspace("/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName1>").SecurityEvent, workspace("/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName2>").SecurityEventSkriv derefter en forespørgsel på tværs af begge arbejdsområder ved at starte med
unionSecurityEvent | where ....
Forespørgsler på tværs af arbejdsområder for Log Analytics-data forbliver underlagt Log Analytics-overvejelser.
Medtag forespørgsler på tværs af arbejdsområder i planlagte analyseregler
Du kan medtage forespørgsler på tværs af arbejdsområder i planlagte analyseregler. Du kan bruge regler for analyse på tværs af arbejdsområder i en central SOC og på tværs af lejere (ved hjælp af Azure Lighthouse), der er egnet til MSP'er. Denne brug er underlagt følgende begrænsninger:
- Du kan inkludere op til 20 arbejdsområder i en enkelt forespørgsel. Men for at opnå en god ydeevne anbefaler vi, at du ikke inkluderer mere end 5.
- Du skal installere Microsoft Sentinel på hvert arbejdsområde, der refereres til i forespørgslen.
- Beskeder, der genereres af en analyseregel på tværs af arbejdsområder, og de hændelser, der er oprettet ud fra dem, findes kun i det arbejdsområde, hvor reglen blev defineret. Beskederne vises ikke i nogen af de andre arbejdsområder, der refereres til i forespørgslen.
- En analyseregel på tværs af arbejdsområder fortsætter som med at køre en analyseregel på tværs af arbejdsområder, selvom den bruger, der oprettede reglen, mister adgang til arbejdsområder, der refereres til i reglens forespørgsel. Den eneste undtagelse til dette er for arbejdsområder i forskellige abonnementer og/eller lejere end analysereglen.
Beskeder og hændelser, der oprettes af regler for analyse på tværs af arbejdsområder, indeholder alle relaterede objekter, herunder dem fra alle de arbejdsområder, der refereres til, og arbejdsområdet "hjemme" (hvor reglen er defineret). På denne måde får analytikere et fuldt billede af beskeder og hændelser.
Bemærk!
Det kan påvirke ydeevnen at forespørge på flere arbejdsområder i den samme forespørgsel, og det anbefales derfor kun, når logikken kræver denne funktionalitet.
Brug projektmapper på tværs af arbejdsområder
Projektmapper indeholder dashboards og apps, der kan Microsoft Sentinel. Når du arbejder med flere arbejdsområder, leverer projektmapper overvågning og handlinger på tværs af arbejdsområder.
Projektmapper kan levere forespørgsler på tværs af arbejdsområder på en af tre metoder, der er egnet til forskellige niveauer af slutbrugerekspertise:
| Metode | Beskrivelse | Hvornår skal jeg bruge? |
|---|---|---|
| Skriv forespørgsler på tværs af arbejdsområder | Projektmappens forfatter kan skrive forespørgsler på tværs af arbejdsområder (beskrevet ovenfor) i projektmappen. | Jeg ønsker, at forfatteren af projektmappen skal oprette en arbejdsområdestruktur, der er gennemsigtig for brugeren. |
| Føj en arbejdsområdevælger til projektmappen | Forfatteren af projektmappen kan implementere en arbejdsområdevælger som en del af projektmappen. | Jeg vil give brugeren tilladelse til at styre de arbejdsområder, der vises i projektmappen, med en brugervenlig rulleliste. |
| Rediger projektmappen interaktivt | En avanceret bruger, der ændrer en eksisterende projektmappe, kan redigere forespørgslerne i den og vælge målarbejdsområder ved hjælp af arbejdsområdevælgeren i editoren. | Jeg vil give en superbruger mulighed for nemt at ændre eksisterende projektmapper, så de fungerer med flere arbejdsområder. |
Gå på jagt på tværs af flere arbejdsområder
Microsoft Sentinel indeholder forudindlæste forespørgselseksempler, der er designet til at hjælpe dig i gang og gøre dig fortrolig med tabellerne og forespørgselssproget. Microsofts sikkerhedsforskere tilføjer konstant nye indbyggede forespørgsler og finjusterer eksisterende forespørgsler. Du kan bruge disse forespørgsler til at søge efter nye registreringer og identificere tegn på indtrængen, som dine sikkerhedsværktøjer muligvis har overset.
Jagtfunktioner på tværs af arbejdsområder gør det muligt for dine trusselsjægere at oprette nye jagtforespørgsler eller tilpasse eksisterende, så de dækker flere arbejdsområder, ved hjælp af foreningsoperatoren og udtrykket workspace() som vist ovenfor.
Administrer flere arbejdsområder ved hjælp af automatisering
Hvis du vil konfigurere og administrere flere Log Analytics-arbejdsområder, der er aktiveret for Microsoft Sentinel, skal du automatisere brugen af API'en til administration af Microsoft Sentinel.
- Få mere at vide om, hvordan du automatiserer udrulningen af Microsoft Sentinel ressourcer, herunder beskedregler, jagtforespørgsler, projektmapper og playbooks.
- Få mere at vide om, hvordan du udruller brugerdefineret indhold fra dit lager. Denne ressource indeholder en konsolideret metodologi til administration af Microsoft Sentinel som kode og til udrulning og konfiguration af ressourcer fra et privat Azure DevOps- eller GitHub-lager.
Administrer arbejdsområder på tværs af lejere
I mange scenarier kan de forskellige Log Analytics-arbejdsområder, der er aktiveret for Microsoft Sentinels, være placeret i forskellige Microsoft Entra lejere. Du kan bruge Azure Lighthouse til at udvide alle aktiviteter på tværs af arbejdsområder på tværs af lejergrænser, så brugere i din lejeradministrator kan arbejde på arbejdsområder på tværs af alle lejere.
Når Azure Fyrtårn er onboardet, kan du bruge vælgeren til mappe + abonnement på Azure Portal til at vælge alle de abonnementer, der indeholder arbejdsområder, du vil administrere, for at sikre, at de alle er tilgængelige i de forskellige arbejdsområdevælgere på portalen.
Når du bruger Azure Fyrtårn, anbefales det at oprette en gruppe for hver Microsoft Sentinel rolle og delegere tilladelser fra hver lejer til disse grupper.
Hvis du bruger Defender-portalen, giver multitenant administration for Microsoft Defender XDR og Microsoft Sentinel dine sikkerhedshandlingsteams en enkelt samlet visning af alle de lejere, du administrerer. Du kan få flere oplysninger under Microsoft Defender multitenant administration.
Relateret indhold
Du kan se Microsoft Sentinel i Azure Portal i:
- Administrer flere lejere i Microsoft Sentinel som en MSSP ved hjælp af Azure Lighthouse
- Arbejd med hændelser i mange arbejdsområder på én gang i Azure Portal
Du kan få Microsoft Sentinel på Defender-portalen under: