Centrální správa více pracovních prostorů Microsoft Sentinelu pomocí správce pracovních prostorů (Preview)

Zjistěte, jak centrálně spravovat více pracovních prostorů Microsoft Sentinelu v rámci jednoho nebo více tenantů Azure pomocí správce pracovních prostorů. Tento článek vás provede zřizováním a používáním správce pracovních prostorů. Bez ohledu na to, jestli jste globální podnik nebo poskytovatel spravované služby zabezpečení (MSSP), vám správce pracovních prostorů pomůže efektivně pracovat ve velkém měřítku.

Tady jsou aktivní typy obsahu podporované ve Správci pracovních prostorů:

• Analytická pravidla
• Pravidla automatizace (s výjimkou playbooků)
• Analyzátory, uložené vyhledávání a funkce
• Dotazy proaktivního vyhledávání a živého streamu
• Workbooks

Důležité

Podpora správce pracovních prostorů je aktuálně ve verzi PREVIEW. Dodatkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.

Požadavky

• Potřebujete aspoň dva pracovní prostory Microsoft Sentinelu. Jeden pracovní prostor pro správu z aspoň jednoho dalšího pracovního prostoru, který se má spravovat.
• Přiřazení role Přispěvatel Služby Microsoft Sentinel je vyžadováno v centrálním pracovním prostoru (kde je zapnutý správce pracovních prostorů) a v členských pracovních prostorech, které musí přispěvatel spravovat. Další informace o rolích v Microsoft Sentinelu najdete v tématu Role a oprávnění v Microsoft Sentinelu.
• Pokud spravujete pracovní prostory napříč několika tenanty Microsoft Entra, povolte Azure Lighthouse. Další informace najdete v tématu Správa pracovních prostorů Služby Microsoft Sentinel ve velkém měřítku.

Důležité informace

Nakonfigurujte centrální pracovní prostor tak, aby byl prostředím, ve kterém konsolidujete položky obsahu a konfigurace, které se mají publikovat ve velkém měřítku do členských pracovních prostorů. Vytvořte nový pracovní prostor Služby Microsoft Sentinel nebo použijte existující pracovní prostor, který bude sloužit jako centrální pracovní prostor.

V závislosti na vašem scénáři zvažte tyto architektury:

• Přímé propojení je nejsložitější nastavení. Řízení všech členských pracovních prostorů pouze s jedním centrálním pracovním prostorem
• Spoluspráva podporuje scénáře, kdy více než jeden centrální pracovní prostor potřebuje spravovat členský pracovní prostor. Pracovní prostory jsou například současně spravované interním týmem SOC a zprostředkovatelem MSSP.
• N-vrstvá podporuje složité scénáře, kdy centrální pracovní prostor řídí jiný centrální pracovní prostor. Například konglomerát, který spravuje více poboček, kde každá pobočka také spravuje více pracovních prostorů.

Povolení správce pracovních prostorů v centrálním pracovním prostoru

Jakmile se rozhodnete, který pracovní prostor Služby Microsoft Sentinel by měl být správcem pracovních prostorů, povolte centrální pracovní prostor.

1. Přejděte do okna Nastavení v nadřazeném pracovním prostoru a v nastavení konfigurace správce pracovních prostorů přepněte na Možnost Nastavit tento pracovní prostor jako nadřazený.

2. Po povolení se v části Konfigurace zobrazí nová nabídka Správce pracovních prostorů (Preview).

   

Onboarding členských pracovních prostorů

Členské pracovní prostory jsou sada pracovních prostorů spravovaných správcem pracovních prostorů. Onboarding některých nebo všech pracovních prostorů v tenantovi a napříč více tenanty (pokud je služba Azure Lighthouse povolená).

1. Přejděte do správce pracovních prostorů a vyberte Přidat pracovní prostory.
2. Vyberte členské pracovní prostory, které chcete připojit ke správci pracovního prostoru.
3. Po úspěšném nasazení se počet členů zvýší a vaše členské pracovní prostory se projeví na kartě Pracovní prostory .

Vytvoření skupiny

Skupiny Správce pracovních prostorů umožňují uspořádat pracovní prostory dohromady na základě obchodních skupin, svislých, zeměpisných a dalších. Pomocí skupin spárujte položky obsahu relevantní pro pracovní prostory.

Tip

Ujistěte se, že máte v centrálním pracovním prostoru nasazenou alespoň jednu aktivní položku obsahu. To umožňuje vybrat položky obsahu z centrálního pracovního prostoru, které se mají publikovat v členských pracovních prostorech v následujících krocích.

1. Postup vytvoření skupiny:

   • Pokud chcete přidat jeden pracovní prostor, vyberte Přidat>skupinu.
   • Pokud chcete přidat více pracovních prostorů, vyberte pracovní prostory a vyberte možnost Přidat>skupinu.

2. Na stránce Vytvořit nebo aktualizovat skupinu zadejte název a popis skupiny.

3. Na kartě Vybrat pracovní prostory vyberte Přidat a vyberte členské pracovní prostory, které chcete přidat do skupiny.

4. Na kartě Vybrat obsah máte 2 způsoby, jak přidat položky obsahu.

   • Metoda 1: Vyberte nabídku Přidat a zvolte Veškerý obsah. Přidá se veškerý aktivní obsah, který je aktuálně nasazený v centrálním pracovním prostoru. Tento seznam je snímek k určitému bodu v čase, který vybere jenom aktivní obsah, nikoli šablony.
   • Metoda 2: Vyberte nabídku Přidat a zvolte Obsah. Otevře se okno Vybrat obsah pro vlastní výběr přidaného obsahu.

5. Před kontrolou a vytvořením vyfiltrujte obsah podle potřeby.

6. Po vytvoření se počet skupin zvýší a vaše skupiny se projeví na kartě Skupiny.

Publikování definice skupiny

V tomto okamžiku se vybrané položky obsahu ještě nepublikovaly do členských pracovních prostorů.

Poznámka:

Akce publikování selže, pokud dojde k překročení maximálního počtu operací publikování. Pokud k tomuto limitu přistupujete, zvažte rozdělení členských pracovních prostorů na další skupiny.

1. Vyberte skupinu >Publikovat obsah.

   

   Pokud chcete hromadně publikovat, vyberte požadované skupiny a vyberte Publikovat.

2. Sloupec Stavu posledního publikování se aktualizuje tak, aby odrážel probíhající.

3. V případě úspěchu se stav posledního publikování aktualizuje tak, aby odrážel úspěch. Vybrané položky obsahu teď existují v členských pracovních prostorech.

   Pokud se nepodaří publikovat jenom jednu položku obsahu pro celou skupinu, stav posledního publikování se aktualizuje tak, aby odrážel selhání.

Řešení problému

Každý pokus o publikování obsahuje odkaz, který vám pomůže s řešením potíží, pokud se položky obsahu nepublikují.

1. Výběrem hypertextového odkazu, který selhal , otevřete okno podrobností o selhání úlohy. Zobrazí se stav pro každou položku obsahu a dvojici cílových pracovních prostorů.

2. Vyfiltrujte stav pro neúspěšné páry položek.

   

Příklady běžným příčin:

• Položky obsahu odkazované v definici skupiny již neexistují v době publikování (byly odstraněny).
• Oprávnění se v době publikování změnila. Uživatel už například není přispěvatelem Microsoft Sentinelu nebo už nemá dostatečná oprávnění k pracovnímu prostoru člena.
• Pracovní prostor člena byl odstraněn.

Známá omezení

• Maximální počet publikovaných operací na skupinu je 2000. Publikované operace = (členské pracovní prostory) * (položky obsahu).
  Pokud máte například ve skupině 10 členských pracovních prostorů a publikujete v této skupině 20 položek obsahu,
  = 10 * 20 = 200.
• Playbooky přiřazené nebo připojené k analytickým a automatizačním pravidlům se v současné době nepodporují.
• Sešity uložené ve vlastním úložišti se v současné době nepodporují.
• Správce pracovních prostorů spravuje jenom položky obsahu publikované z centrálního pracovního prostoru. Nespravuje obsah vytvořený místně z členských pracovních prostorů.
• V současné době se nepodporuje odstraňování obsahu umístěného v členských pracovních prostorech centrálně prostřednictvím správce pracovních prostorů.

Odkazy rozhraní API

• Úlohy přiřazení správce pracovních prostorů
• Přiřazení Správce pracovního prostoru
• Konfigurace nástroje Workspace Manager
• Skupiny Správce pracovních prostorů
• Členové Správce pracovních prostorů

Další kroky

• Správa více tenantů v Microsoft Sentinelu jako mssp
• Práce s incidenty Microsoft Sentinelu v mnoha pracovních prostorech najednou
• Ochrana duševního vlastnictví MSSP v Microsoft Sentinelu