Useiden Microsoft Sentinel työtilojen keskitetty hallinta työtilan hallinnan avulla (esikatselu)

  • Koskee seuraavia:: Microsoft Sentinel in the Azure portal

Lue, miten voit hallita keskitetysti useita Microsoft Sentinel työtiloja yhdessä tai useammassa Azure vuokraajassa työtilan hallinnan avulla. Tässä artikkelissa käsitellään työtilan hallinnan valmistelua ja käyttöä. Olitpa sitten yleinen yritys tai hallittujen suojauspalvelujen tarjoaja (MSSP), työtilan hallinta auttaa sinua toimimaan tehokkaasti.

Tässä ovat aktiiviset sisältötyypit, joita tuetaan työtilan hallinnassa:

  • Analysointisäännöt
  • Automaatiosäännöt (lukuun ottamatta Playbookeja)
  • Jäsennykset, tallennetut haut ja funktiot
  • Metsästyskyselyt
  • Työkirjojen

Tärkeää

Työtilan hallinnan tuki on tällä hetkellä ESIKATSELU-tilassa. Azure Esikatselun lisäehdot sisältävät muita oikeudellisia ehtoja, jotka koskevat Azure ominaisuuksia, jotka ovat beetaversiossa, esikatselussa tai muussa tapauksessa julkaisematta.

Jos otat Microsoft Sentinel Microsoft Defender-portaaliin, katso Microsoft Defender monitaitojen hallintaa.

Ennakkovaatimukset

Näkökohdat

Määritä keskitetty työtila ympäristöksi, jossa yhdistät sisältökohteet ja määritykset julkaistavaksi skaalautuvassa laajuudessa jäsentyötiloihin. Luo uusi Microsoft Sentinel työtila tai käytä olemassa olevaa työtilaa keskustyötilana.

Mieti näitä arkkitehtuureja skenaariostasi riippuen:

  • Suora linkki on vähiten monimutkainen määritys. Hallitse kaikkia jäsentyötiloja vain yhdellä keskitetyllä työtilalla.
  • Yhteishallinta tukee skenaarioita, joissa useamman kuin yhden keskitetyn työtilan on hallittava jäsentyötilaa. Esimerkiksi työtiloja, joita hallinnoi samanaikaisesti oma SOC-tiimi ja MSSP.
  • N-taso tukee monimutkaisia skenaarioita, joissa keskustyötila hallitsee toista keskitettyä työtilaa. Esimerkiksi monia tytäryhtiöitä hallinnoiva monialayhtiö, jossa kukin tytäryhtiö hallitsee myös useita työtiloja.

Kaavio, joka näyttää työtilan valvojan arkkitehtuurivalinnat Microsoft Sentinel.

Ota työtilan hallinta käyttöön keskitetyssä työtilassa

Ota keskitetty työtila käyttöön, kun olet päättänyt, mikä Microsoft Sentinel työtilan tulisi olla työtilan valvoja.

  1. Siirry päätyötilan Asetukset-ruutuunja vaihda työtilan hallinnan määritysasetuksen arvoksi "Tee tästä työtilasta päätyötila".

  2. Kun se on otettu käyttöön, uusi valikko Työtilan hallinta (esikatselu) näkyy kohdassa Määritys.

    Näyttökuvassa näkyvät työtilan hallinnan määritysasetukset. Työtilan hallintaa varten lisätty valikkokohde näkyy korostettuna ja vaihtopainike käytössä.

Perehdytysjäsenten työtilat

Jäsentyötilat ovat työtilojen hallinnan hallitsemia työtiloja. Sisällytä osa vuokraajan työtiloista tai kaikki niistä sekä useille vuokraajille (jos Azure Lighthouse on käytössä).

  1. Siirry työtilan hallintaan ja valitse Lisää työtiloja Näyttökuvassa näkyy Lisää työtila -valikko.
  2. Valitse jäsentyötila tai -työtilat, jotka haluat lisätä työtilan hallintaan. Näyttökuvassa näkyy lisää työtilan valinta -valikko.
  3. Käyttöönoton jälkeen jäsenten määrä kasvaa ja jäsentyötilat näkyvät Työtilat-välilehdessä . Näyttökuvassa näkyvät lisätyt työtilat ja jäsenten määrä, joka on kasvanut arvoon 2.

Ryhmän luominen

Työtilojen hallintaryhmien avulla voit järjestää työtiloja yhteen esimerkiksi yritysryhmien, pysty- ja paikkatietoryhmien perusteella. Ryhmien avulla voit yhdistää työtiloille olennaiset sisältökohteet.

Vihje

Varmista, että keskitetyssä työtilassa on otettu käyttöön vähintään yksi aktiivinen sisältökohde. Tämän avulla voit valita sisältökohteita keskitetystä työtilasta julkaistavaksi jäsentyötilassa tai jäsentyötiloissa seuraavissa vaiheissa.

  1. Ryhmän luominen:

    • Jos haluat lisätä yhden työtilan, valitse Lisää>ryhmä.
    • Jos haluat lisätä useita työtiloja, valitse työtilat ja Lisää>ryhmä valituista. Näyttökuvassa näkyy Lisää ryhmä -valikko.

  2. Kirjoita Luo tai päivitä ryhmä -sivulle ryhmän nimi ja kuvaus . Näyttökuvassa näkyy ryhmän luomisen tai päivityksen määrityssivu.

  3. Valitse Valitse työtilat -välilehdessä Lisää ja valitse jäsentyötilat, jotka haluat lisätä ryhmään.

  4. Valitse sisältö -välilehdessä on kaksi tapaa lisätä sisältökohteita.

    • Tapa 1: Valitse Lisää-valikko ja valitse Kaikki sisältö. Kaikki keskitetyssä työtilassa tällä hetkellä käyttöönotettu aktiivinen sisältö lisätään. Tämä luettelo on tilannevedos, joka valitsee vain aktiivisen sisällön, ei malleja.
    • Tapa 2: Valitse Lisää-valikko ja valitse Sisältö. Valitse sisältö -ikkuna avautuu mukautetulle valinnalle lisätylle sisällölle. Näyttökuvassa näkyy ryhmän sisällön valinta.

  5. Suodata sisältö tarpeen mukaan, ennen kuin tarkastelet ja luot sisältöä.

  6. Kun ryhmämäärä on luotu, se kasvaa ja ryhmäsi näkyvät Ryhmät-välilehdessä.

Julkaise ryhmämääritys

Tässä vaiheessa valittuja sisältökohteita ei ole vielä julkaistu jäsentyötilassa tai jäsenissä.

Huomautus

Julkaisutoiminto epäonnistuu, jos julkaisutoimintojen enimmäismäärä ylittyy. Harkitse jäsentyötilojen jakamista muihin ryhmiin, jos lähestyt tätä rajaa.

  1. Valitse ryhmä >Julkaise sisältöä.

    Näyttökuvassa näkyy ryhmän julkaisuikkuna.

    Jos haluat julkaista joukkona, valitse haluamasi ryhmät ja valitse Julkaise. Näyttökuvassa näkyy monivalintaryhmän julkaisuikkuna.

  2. Viimeisimmän julkaisun tilasarake päivittyy vastaamaan Käynnissä-toimintoa. Näyttökuvassa näkyy usean ryhmän julkaisemisen edistymissarake.

  3. Jos tämä onnistuu, Viimeisin julkaisu -tilapäivitykset vastaavat Onnistui-toimintoa. Valitut sisältökohteet ovat nyt jäsentyötiloissa. Näyttökuvassa näkyy viimeksi julkaistu sarake, jossa on onnistuneet merkinnät.

    Jos vain yhden sisältökohteen julkaiseminen koko ryhmälle epäonnistuu, Viimeisin julkaisu -tila päivittyy epäonnistuneeksi.

Vianmääritys

Jokaisella julkaisuyrityksellä on linkki, joka auttaa vianmäärityksessä, jos sisältökohteiden julkaiseminen epäonnistuu.

  1. Avaa työn epäonnistumisen tiedot -ikkuna valitsemalla Epäonnistunut-hyperlinkki. Kunkin sisältökohteen ja kohdetyötilaparin tila näytetään.

  2. Suodata epäonnistuneiden kohdeparien tila .

    Näyttökuvassa näkyvät ryhmän julkaisemisen epäonnistumisen tapahtuman työn tiedot.

Yleisiä virheen syitä ovat seuraavat:

  • Sisältökohteita, joihin ryhmämäärityksessä viitataan, ei enää ole julkaisuhetkellä (ne on poistettu).
  • Käyttöoikeudet ovat muuttuneet julkaisuhetkellä. Käyttäjä ei esimerkiksi ole enää Microsoft Sentinel osallistuja tai hänellä ei ole enää riittäviä oikeuksia jäsentyötilaan.
  • Jäsentyötila on poistettu.

Tunnetut rajoitukset

  • Julkaistujen toimintojen enimmäismäärä ryhmää kohden on 2 000. Julkaistut toiminnot = (jäsentyötilat) * (sisältökohteet).
    Jos ryhmässä on esimerkiksi 10 jäsentyötilaa ja julkaiset 20 sisältökohdetta tässä ryhmässä,
    julkaistut toiminnot = 10 * 20 prosenttia = 200.
  • Analytiikka- ja automaatiosääntöihin liitettyjä playbook-kirjoja ei tällä hetkellä tueta.
  • Omaan tallennustilaan tallennettuja työkirjoja ei tällä hetkellä tueta.
  • Työtilan hallinta hallitsee vain keskitetystä työtilasta julkaistuja sisältökohteita. Se ei hallitse sisältöä, joka on luotu paikallisesti jäsentyötiloista.
  • Tällä hetkellä jäsentyötilassa tai työtiloissa keskitetysti sijaitsevan sisällön poistamista työtilan hallinnan kautta ei tueta.

Ohjelmointirajapintaviittaukset

Seuraavat vaiheet

  • Last updated on