Gerir centralmente várias áreas de trabalho Microsoft Sentinel com o gestor de áreas de trabalho (Pré-visualização)

Aplica-se a: Microsoft Sentinel in the Azure portal

Saiba como gerir centralmente várias áreas de trabalho Microsoft Sentinel dentro de um ou mais inquilinos Azure com o gestor de áreas de trabalho. Este artigo explica-lhe o aprovisionamento e a utilização do gestor de áreas de trabalho. Quer seja uma empresa global ou um Fornecedor de Serviços de Segurança Gerida (MSSP), o gestor de áreas de trabalho ajuda-o a operar de forma eficiente.

Eis os tipos de conteúdo ativos suportados com o gestor de áreas de trabalho:

Regras de análise
Regras de automatização (excluindo Manuais de Procedimentos)
Analisadores, Pesquisas e Funções Guardadas
Consultas de investigação
Livros

Importante

O suporte para o gestor de áreas de trabalho está atualmente em PRÉ-VISUALIZAÇÃO. Os Termos Suplementares de Pré-visualização do Azure incluem termos legais adicionais que se aplicam a funcionalidades Azure que estão em beta, pré-visualização ou que ainda não foram lançadas para disponibilidade geral.

Se integrar Microsoft Sentinel no portal do Microsoft Defender, veja Microsoft Defender gestão multi-inquilino.

Pré-requisitos

Precisa de, pelo menos, duas áreas de trabalho Microsoft Sentinel. Uma área de trabalho a gerir a partir de, pelo menos, uma outra área de trabalho a ser gerida.
A atribuição de função contribuidor Microsoft Sentinel é necessária na área de trabalho central (onde o gestor de áreas de trabalho está ativado) e nas áreas de trabalho dos membros que o contribuidor precisa de gerir. Para saber mais sobre as funções no Microsoft Sentinel, veja Funções e permissões no Microsoft Sentinel.
Ative o Azure Lighthouse se estiver a gerir áreas de trabalho em vários inquilinos Microsoft Entra. Para saber mais, veja Gerir Microsoft Sentinel áreas de trabalho em escala.

Considerações

Configure uma área de trabalho central para ser o ambiente onde consolida itens de conteúdo e configurações para serem publicados em escala nas áreas de trabalho dos membros. Crie uma nova área de trabalho Microsoft Sentinel ou utilize uma existente para servir de área de trabalho central.

Consoante o seu cenário, considere estas arquiteturas:

A ligação direta é a configuração menos complexa. Controlar todas as áreas de trabalho dos membros com apenas uma área de trabalho central.
A Cogestão suporta cenários em que mais do que uma área de trabalho central precisa de gerir uma área de trabalho de membro. Por exemplo, as áreas de trabalho geridas simultaneamente por uma equipa do SOC interna e um MSSP.
O N-Tier suporta cenários complexos em que uma área de trabalho central controla outra área de trabalho central. Por exemplo, um conglomerado que gere várias subsidiárias, onde cada subsidiária também gere várias áreas de trabalho.

Um diagrama a mostrar várias opções de arquitetura para o gestor de áreas de trabalho no Microsoft Sentinel.

Ativar o gestor de áreas de trabalho na área de trabalho central

Ative a área de trabalho central depois de decidir qual Microsoft Sentinel área de trabalho deve ser o gestor da área de trabalho.

Navegue para o painel Definições na área de trabalho principal e ative a definição de configuração do gestor de áreas de trabalho para "Tornar esta área de trabalho principal".
Depois de ativado, é apresentado um novo menu Gestor de áreas de trabalho (pré-visualização) em Configuração.

Integrar áreas de trabalho de membros

As áreas de trabalho dos membros são o conjunto de áreas de trabalho geridas pelo gestor de áreas de trabalho. Integre algumas ou todas as áreas de trabalho no inquilino e em vários inquilinos (se Azure Lighthouse estiver ativado).

Navegue para o gestor da área de trabalho e selecione "Adicionar áreas de trabalho"
Selecione as áreas de trabalho dos membros que pretende integrar no gestor de áreas de trabalho.
Após a integração com êxito, a contagem de Membros aumenta e as áreas de trabalho dos membros são refletidas no separador Áreas de trabalho .

Criar um grupo

Os grupos de gestor de áreas de trabalho permitem-lhe organizar áreas de trabalho em conjunto com base em grupos empresariais, verticais, geografia, etc. Utilize grupos para emparelhar itens de conteúdo relevantes para as áreas de trabalho.

Sugestão

Certifique-se de que tem, pelo menos, um item de conteúdo ativo implementado na área de trabalho central. Isto permite-lhe selecionar itens de conteúdo da área de trabalho central a publicar nas áreas de trabalho dos membros nos passos subsequentes.

Para criar um grupo:
- Para adicionar uma área de trabalho, selecione Adicionar>Grupo.
- Para adicionar várias áreas de trabalho, selecione as áreas de trabalho e Adicionar>Grupo a partir da opção selecionada.
Na página Criar ou atualizar grupo , introduza um Nome e uma Descrição para o grupo.
No separador Selecionar áreas de trabalho , selecione Adicionar e selecione as áreas de trabalho de membro que pretende adicionar ao grupo.
No separador Selecionar conteúdo , tem duas formas de adicionar itens de conteúdo.
- Método 1: selecione o menu Adicionar e selecione Todo o conteúdo. Todos os conteúdos ativos atualmente implementados na área de trabalho central são adicionados. Esta lista é um instantâneo para um ponto anterior no tempo que seleciona apenas conteúdo ativo e não modelos.
- Método 2: selecione o menu Adicionar e selecione Conteúdo. É aberta uma janela Selecionar conteúdo para selecionar o conteúdo adicionado.
Filtre o conteúdo conforme necessário antes de Rever + criar.
Depois de criada, a contagem de Grupos aumenta e os grupos são refletidos no separador Grupos.

Publicar a definição de Grupo

Neste momento, os itens de conteúdo selecionados ainda não foram publicados nas áreas de trabalho dos membros.

Nota

A ação de publicação falhará se as operações de publicação máximas forem excedidas. Considere dividir as áreas de trabalho dos membros em grupos adicionais se se aproximar deste limite.

Selecione o grupo >Publicar conteúdo.

Para publicar em massa, selecione vários grupos pretendidos e selecione Publicar.
A coluna Estado da última publicação é atualizada para refletir Em curso.
Se for bem-sucedido, as últimas atualizações de estado de publicação serão refletidas com êxito. Os itens de conteúdo selecionados existem agora nas áreas de trabalho dos membros.

Se apenas um item de conteúdo não for publicado para todo o grupo, a última atualização do estado de publicação será refletida Como Falhada.

Resolução de Problemas

Cada tentativa de publicação tem uma ligação para ajudar na resolução de problemas se os itens de conteúdo não conseguirem publicar.

Selecione a hiperligação Falha para abrir a janela de detalhes da falha da tarefa. É apresentado um estado para cada item de conteúdo e par de área de trabalho de destino.
Filtre o Estado para pares de itens com falhas.

As razões comuns para a falha incluem:

Os itens de conteúdo referenciados na definição de grupo já não existem no momento da publicação (foram eliminados).
As permissões foram alteradas no momento da publicação. Por exemplo, o utilizador já não é contribuidor Microsoft Sentinel ou já não tem permissões suficientes na área de trabalho membro.
Uma área de trabalho de membro foi eliminada.

Limitações conhecidas

O máximo de operações publicadas por grupo é 2000. Operações publicadas = (áreas de trabalho de membro) * (itens de conteúdo).
Por exemplo, se tiver 10 áreas de trabalho membros num grupo e publicar 20 itens de conteúdo nesse grupo,
operações = publicadas10 * 20 = 200.
Os manuais de procedimentos atribuídos ou anexados a regras de análise e automatização não são atualmente suportados.
Atualmente, os livros armazenados no bring-your-own-storage não são suportados.
O gestor da área de trabalho só gere itens de conteúdo publicados a partir da área de trabalho central. Não gere o conteúdo criado localmente a partir das áreas de trabalho dos membros.
Atualmente, a eliminação de conteúdos que residem nas áreas de trabalho dos membros centralmente através do gestor da área de trabalho não é suportada.