Administrere flere Microsoft Sentinel arbeidsområder sentralt med arbeidsområdeadministrator (forhåndsvisning)

  • Gjelder for: Microsoft Sentinel in the Azure portal

Lær hvordan du administrerer flere Microsoft Sentinel arbeidsområder sentralt i én eller flere Azure tenanter med arbeidsområdeansvarlig. Denne artikkelen tar deg gjennom klargjøring og bruk av arbeidsområdebehandling. Uansett om du er en global virksomhet eller en leverandør av administrerte sikkerhetstjenester (MSSP), hjelper arbeidsområdeansvarlig deg med effektiv drift.

Her er de aktive innholdstypene som støttes med arbeidsområdebehandling:

  • Analyseregler
  • Automatiseringsregler (unntatt playbooks)
  • Analyser, lagrede søk og funksjoner
  • Jaktspørringer
  • Arbeidsbøker

Viktig

Støtte for arbeidsområdebehandling er for øyeblikket i FORHÅNDSVERSJON. Tilleggsvilkårene for Azure Preview inkluderer ytterligere juridiske vilkår som gjelder for Azure funksjoner som er i beta, forhåndsversjon eller på annen måte ikke er utgitt i generell tilgjengelighet.

Hvis du tar Microsoft Sentinel til Microsoft Defender-portalen, kan du se Microsoft Defender administrasjon av flere enheter.

Forutsetninger

Hensyn

Konfigurer et sentralt arbeidsområde til å være miljøet der du konsoliderer innholdselementer og konfigurasjoner som skal publiseres i stor skala til medlemsarbeidsområder. Opprett et nytt Microsoft Sentinel arbeidsområde, eller bruk et eksisterende arbeidsområde til å fungere som det sentrale arbeidsområdet.

Vurder disse arkitekturene avhengig av scenarioet ditt:

  • Direktekobling er det minst komplekse oppsettet. Kontroller alle medlemsarbeidsområder med bare ett sentralt arbeidsområde.
  • Co-Management støtter scenarioer der mer enn ett sentralt arbeidsområde må administrere et medlemsområde. Arbeidsområder administreres for eksempel samtidig av et internt SOC-team og en MSSP.
  • N-Tier støtter komplekse scenarioer der et sentralt arbeidsområde kontrollerer et annet sentralt arbeidsområde. For eksempel et konglomerat som administrerer flere datterselskaper, der hvert datterselskap også administrerer flere arbeidsområder.

Et diagram som viser ulike arkitekturvalg for arbeidsområdeadministrator i Microsoft Sentinel.

Aktiver arbeidsområdebehandling på det sentrale arbeidsområdet

Aktiver det sentrale arbeidsområdet når du har bestemt deg for hvilket Microsoft Sentinel arbeidsområde som skal være arbeidsområdeansvarlig.

  1. Naviger til Innstillinger-bladet i det overordnede arbeidsområdet, og slå konfigurasjonsinnstillingen for arbeidsområdebehandling til «Gjør dette arbeidsområdet til overordnet».

  2. Når den er aktivert, vises en ny meny for arbeidsområdebehandling (forhåndsvisning) under Konfigurasjon.

    Skjermbilde som viser konfigurasjonsinnstillingene for arbeidsområdebehandling. Menyelementet som er lagt til for arbeidsområdebehandling, er uthevet og veksleknappen på.

Arbeidsområder for pålastingsmedlemmer

Medlemsarbeidsområder er settet med arbeidsområder som administreres av arbeidsområdeansvarlig. Om bord på noen eller alle arbeidsområdene i leieren, og på tvers av flere leiere også (hvis Azure Lighthouse er aktivert).

  1. Naviger til arbeidsområdebehandling, og velg «Legg til arbeidsområder» Skjermbilde som viser menyen Legg til arbeidsområde.
  2. Velg medlemsarbeidsområdet(e) du vil ta med i arbeidsområdeadministratoren. Skjermbilde som viser valgmenyen legg til arbeidsområde.
  3. Når de er pålastet, økes antall medlemmer, og medlemsarbeidsområdene gjenspeiles i kategorien Arbeidsområder . Skjermbilde som viser arbeidsområdene som er lagt til, og antall medlemmer økes til 2.

Opprette en gruppe

Med arbeidsområdebehandlingsgrupper kan du organisere arbeidsområder sammen basert på forretningsgrupper, vertikaler, geografi og så videre. Bruk grupper til å pare innholdselementer som er relevante for arbeidsområdene.

Tips

Kontroller at du har minst ett aktivt innholdselement distribuert i det sentrale arbeidsområdet. Dette gjør at du kan velge innholdselementer fra det sentrale arbeidsområdet som skal publiseres i medlemsarbeidsområdene i de etterfølgende trinnene.

  1. Slik oppretter du en gruppe:

    • Hvis du vil legge til ett arbeidsområde, velger du Legg til>gruppe.
    • Hvis du vil legge til flere arbeidsområder, velger du arbeidsområdene og Legg til>gruppe fra valgt. Skjermbilde som viser legg til gruppe-menyen.

  2. Skriv inn et navn og en beskrivelse for gruppen på siden Opprett eller oppdater gruppe. Skjermbilde som viser siden for oppretting eller oppdatering av konfigurasjon for gruppen.

  3. Velg Legg til i kategorien Velg arbeidsområder, og velg medlemsarbeidsområdene du vil legge til i gruppen.

  4. I velg innhold-fanen har du to måter å legge til innholdselementer på.

    • Metode 1: Velg Legg til-menyen , og velg Alt innhold. Alt aktivt innhold som for øyeblikket distribueres i det sentrale arbeidsområdet, legges til. Denne listen er et øyeblikksbilde som bare velger aktivt innhold, ikke maler.
    • Metode 2: Velg Legg til-menyen , og velg Innhold. Et Velg innhold-vindu åpnes for å velge innholdet som er lagt til. Skjermbilde som viser utvalget av gruppeinnhold.

  5. Filtrer innholdet etter behov før du går gjennom + oppretter.

  6. Når gruppeantallet er opprettet, økes gruppeantallet , og gruppene gjenspeiles i Grupper-fanen.

Publiser gruppedefinisjonen

På dette tidspunktet har ikke de valgte innholdselementene blitt publisert til medlemsarbeidsområdet(e) ennå.

Obs!

Publiseringshandlingen mislykkes hvis maksimalt antall publiseringsoperasjoner overskrides. Vurder å dele opp medlemsarbeidsområder i flere grupper hvis du nærmer deg denne grensen.

  1. Velg gruppen >Publiser innhold.

    Skjermbilde som viser publiseringsvinduet for gruppen.

    Hvis du vil publisere flere samtidig, velger du de ønskede gruppene og velger Publiser. Skjermbilde som viser vinduet for flervalg av gruppepublisering.

  2. Kolonnen Forrige publiseringsstatus oppdateres for å gjenspeile at den pågår. Skjermbilde som viser fremdriftskolonnen for publisering med flere grupper.

  3. Hvis vellykket, oppdateres siste publiseringsstatus for å gjenspeile vellykket. De valgte innholdselementene finnes nå i medlemsarbeidsområdene. Skjermbilde som viser den siste publiserte kolonnen med oppføringer som var vellykket.

    Hvis bare ett innholdselement ikke kan publiseres for hele gruppen, oppdateres siste publiseringsstatus for å gjenspeile mislykket.

Feilsøking

Hvert publiseringsforsøk har en kobling til feilsøking hvis innholdselementer ikke publiseres.

  1. Velg hyperkoblingen Mislyktes for å åpne vinduet med detaljer om jobbfeil. En status for hvert innholdselement og målarbeidsområdepar vises.

  2. Filtrer statusen for mislykkede elementpar.

    Skjermbilde som viser jobbdetaljene for en feilhendelse for gruppepublisering.

Vanlige årsaker til feil omfatter:

  • Innholdselementer det refereres til i gruppedefinisjonen, finnes ikke lenger på publiseringstidspunktet (har blitt slettet).
  • Tillatelsene er endret på publiseringstidspunktet. Brukeren er for eksempel ikke lenger en Microsoft Sentinel bidragsyter eller har ikke tilstrekkelige tillatelser på medlemsarbeidsområdet lenger.
  • Et medlemsområde er slettet.

Kjente begrensninger

  • Maksimalt antall publiserte operasjoner per gruppe er 2000. Publiserte operasjoner = (medlemsarbeidsområder) * (innholdselementer).
    Hvis du for eksempel har 10 medlemsarbeidsområder i en gruppe og du publiserer 20 innholdselementer i denne gruppen,
    publiserte operasjoner = 10 * 20 = 200.
  • Playbooks attributted or attached to analytics and automation rules aren't currently supported.
  • Arbeidsbøker som er lagret i bring-your-own-storage, støttes for øyeblikket ikke.
  • Arbeidsområdebehandling behandler bare innholdselementer som er publisert fra det sentrale arbeidsområdet. Det administrerer ikke innhold som er opprettet lokalt fra medlemsarbeidsområder.
  • For øyeblikket støttes ikke sletting av innhold som er basert på arbeidsområde(er) for medlemmer sentralt via arbeidsområdebehandling.

API-referanser

Neste trinn

  • Last updated on