Gérer de manière centralisée plusieurs espaces de travail Microsoft Sentinel avec le gestionnaire d’espace de travail (préversion)

  • S’applique à: Microsoft Sentinel in the Azure portal

Découvrez comment gérer de manière centralisée plusieurs espaces de travail Microsoft Sentinel au sein d’un ou plusieurs locataires Azure avec le gestionnaire d’espace de travail. Cet article vous guide tout au long de l’approvisionnement et de l’utilisation du gestionnaire d’espace de travail. Que vous soyez une entreprise mondiale ou un fournisseur de services de sécurité managés (MSSP), le gestionnaire d’espace de travail vous aide à fonctionner efficacement à grande échelle.

Voici les types de contenu actifs pris en charge avec le gestionnaire d’espace de travail :

  • Règles d’analyse
  • Règles d’automatisation (à l’exception des playbooks)
  • Analyseurs, recherches enregistrées et fonctions
  • Requêtes de chasse
  • Classeurs

Importante

La prise en charge du gestionnaire d’espace de travail est actuellement en préversion. Les conditions supplémentaires de la préversion Azure incluent des conditions juridiques supplémentaires qui s’appliquent à Azure fonctionnalités qui sont en version bêta, en préversion ou qui ne sont pas encore publiées en disponibilité générale.

Si vous intégrez Microsoft Sentinel au portail Microsoft Defender, consultez Microsoft Defender gestion multilocataire.

Configuration requise

Considérations

Configurez un espace de travail central pour qu’il s’agit de l’environnement dans lequel vous consolidez les éléments de contenu et les configurations à publier à grande échelle dans les espaces de travail membres. Créez un espace de travail Microsoft Sentinel ou utilisez-en un existant pour servir d’espace de travail central.

Selon votre scénario, tenez compte des architectures suivantes :

  • Direct-link est la configuration la moins complexe. Contrôlez tous les espaces de travail membres avec un seul espace de travail central.
  • La cogestion prend en charge les scénarios dans lesquels plusieurs espaces de travail centraux doivent gérer un espace de travail membre. Par exemple, les espaces de travail gérés simultanément par une équipe SOC interne et un MSSP.
  • N-Tier prend en charge des scénarios complexes où un espace de travail central contrôle un autre espace de travail central. Par exemple, un conglomérat qui gère plusieurs filiales, où chaque filiale gère également plusieurs espaces de travail.

Diagramme montrant les différents choix d’architecture pour le gestionnaire d’espace de travail dans Microsoft Sentinel.

Activer le gestionnaire d’espace de travail sur l’espace de travail central

Activez l’espace de travail central une fois que vous avez choisi Microsoft Sentinel’espace de travail qui doit être le gestionnaire de l’espace de travail.

  1. Accédez au panneau Paramètres de l’espace de travail parent, puis activez le paramètre de configuration du gestionnaire de l’espace de travail sur « Faire de cet espace de travail un parent ».

  2. Une fois activé, un nouveau menu Gestionnaire d’espace de travail (préversion) s’affiche sous Configuration.

    Capture d’écran montrant les paramètres de configuration du gestionnaire d’espace de travail. L’élément de menu ajouté pour le gestionnaire d’espace de travail est mis en surbrillance et le bouton bascule activé.

Intégrer des espaces de travail membres

Les espaces de travail membres sont l’ensemble des espaces de travail gérés par le gestionnaire d’espace de travail. Intégrez une partie ou la totalité des espaces de travail dans le locataire, ainsi que sur plusieurs locataires (si Azure Lighthouse est activé).

  1. Accédez au gestionnaire d’espace de travail et sélectionnez « Ajouter des espaces de travail » Capture d’écran montrant le menu Ajouter un espace de travail.
  2. Sélectionnez le ou les espaces de travail membres que vous souhaitez intégrer au gestionnaire d’espace de travail. Capture d’écran montrant le menu ajouter une sélection d’espace de travail.
  3. Une fois l’intégration réussie, le nombre de membres augmente et vos espaces de travail membres sont répercutés dans l’onglet Espaces de travail. Capture d’écran montrant les espaces de travail ajoutés et le nombre de membres incrémentés à 2.

Créer un groupe

Les groupes de gestionnaires d’espace de travail vous permettent d’organiser les espaces de travail ensemble en fonction des groupes d’entreprise, des secteurs verticaux, de la géographie, etc. Utilisez des groupes pour coupler des éléments de contenu pertinents pour les espaces de travail.

Conseil

Vérifiez qu’au moins un élément de contenu actif est déployé dans l’espace de travail central. Cela vous permet de sélectionner des éléments de contenu de l’espace de travail central à publier dans les espaces de travail membres au cours des étapes suivantes.

  1. Pour créer un groupe :

    • Pour ajouter un espace de travail, sélectionnez Ajouter un>groupe.
    • Pour ajouter plusieurs espaces de travail, sélectionnez les espaces de travail et Ajouter un>groupe à partir de sélectionnés. Capture d’écran montrant le menu Ajouter un groupe.

  2. Dans la page Créer ou mettre à jour un groupe , entrez un Nom et une Description pour le groupe. Capture d’écran montrant la page de configuration de création ou de mise à jour du groupe.

  3. Sous l’onglet Sélectionner des espaces de travail , sélectionnez Ajouter , puis sélectionnez les espaces de travail membres que vous souhaitez ajouter au groupe.

  4. Dans l’onglet Sélectionner du contenu , vous disposez de 2 façons d’ajouter des éléments de contenu.

    • Méthode 1 : sélectionnez le menu Ajouter et choisissez Tout le contenu. Tout le contenu actif actuellement déployé dans l’espace de travail central est ajouté. Cette liste est une instantané à un instant dans le temps qui sélectionne uniquement le contenu actif, et non les modèles.
    • Méthode 2 : sélectionnez le menu Ajouter et choisissez Contenu. Une fenêtre Sélectionner du contenu s’ouvre pour sélectionner le contenu ajouté personnalisé. Capture d’écran montrant la sélection du contenu du groupe.

  5. Filtrez le contenu en fonction des besoins avant de vérifier + créer.

  6. Une fois créé, le nombre de groupes augmente et vos groupes sont répercutés dans l’onglet Groupes.

Publier la définition de groupe

À ce stade, les éléments de contenu sélectionnés n’ont pas encore été publiés dans les espaces de travail membres.

Remarque

L’action de publication échoue si le nombre maximal d’opérations de publication est dépassé. Envisagez de fractionner les espaces de travail membres en groupes supplémentaires si vous approchez de cette limite.

  1. Sélectionnez le groupe >Publier le contenu.

    Capture d’écran montrant la fenêtre de publication de groupe.

    Pour publier en bloc, sélectionnez plusieurs groupes souhaités, puis sélectionnez Publier. Capture d’écran montrant la fenêtre de publication de groupe à sélection multiple.

  2. La colonne Dernière publication status mises à jour pour refléter En cours. Capture d’écran montrant la colonne de progression de la publication à plusieurs groupes.

  3. En cas de réussite, la dernière publication status mises à jour pour refléter Réussite. Les éléments de contenu sélectionnés existent désormais dans les espaces de travail membres. Capture d’écran montrant la dernière colonne publiée avec les entrées qui ont réussi.

    Si la publication d’un seul élément de contenu échoue pour l’ensemble du groupe, la dernière publication status mises à jour pour refléter Échec.

Résolution des problèmes

Chaque tentative de publication a un lien pour vous aider à résoudre les problèmes en cas d’échec de publication d’éléments de contenu.

  1. Sélectionnez le lien hypertexte Échec pour ouvrir la fenêtre détails de l’échec du travail. Un status pour chaque paire d’éléments de contenu et d’espace de travail cible s’affiche.

  2. Filtrez l’État pour les paires d’éléments ayant échoué.

    Capture d’écran montrant les détails du travail d’un événement d’échec de publication de groupe.

Les raisons courantes de l’échec sont les suivantes :

  • Les éléments de contenu référencés dans la définition de groupe n’existent plus au moment de la publication (ont été supprimés).
  • Les autorisations ont changé au moment de la publication. Par exemple, l’utilisateur n’est plus contributeur Microsoft Sentinel ou ne dispose plus des autorisations suffisantes sur l’espace de travail membre.
  • Un espace de travail membre a été supprimé.

Limitations connues

  • Le nombre maximal d’opérations publiées par groupe est de 2 000. Opérations publiées = (espaces de travail membres) * (éléments de contenu).
    Par exemple, si vous avez 10 espaces de travail membres dans un groupe et que vous publiez 20 éléments de contenu dans ce groupe,
    opérations = publiées10 * 20 = 200.
  • Les playbooks attribués ou attachés à des règles d’analytique et d’automatisation ne sont pas pris en charge actuellement.
  • Les classeurs stockés dans bring-your-own-storage ne sont actuellement pas pris en charge.
  • Le gestionnaire d’espace de travail gère uniquement les éléments de contenu publiés à partir de l’espace de travail central. Il ne gère pas le contenu créé localement à partir d’espaces de travail membres.
  • Actuellement, la suppression du contenu résidant dans les espaces de travail membres de manière centralisée via le gestionnaire d’espace de travail n’est pas prise en charge.

Références pour l’API

Étapes suivantes

  • Last updated on