Share via

Meerdere Microsoft Sentinel-werkruimten centraal beheren met werkruimtebeheer (preview)

  • Artikel

Meer informatie over het centraal beheren van meerdere Microsoft Sentinel-werkruimten binnen een of meer Azure-tenants met werkruimtebeheer. In dit artikel wordt u begeleid bij het inrichten en gebruiken van werkruimtebeheer. Of u nu een wereldwijde onderneming of een Managed Security Services Provider (MSSP) bent, werkruimtebeheer helpt u efficiënt te werken.

Dit zijn de actieve inhoudstypen die worden ondersteund met werkruimtebeheer:

  • Analyseregels
  • Automatiseringsregels (met uitzondering van Playbooks)
  • Parsers, opgeslagen zoekopdrachten en functies
  • Opsporings- en Livestream-query's
  • Werkmappen

Belangrijk

Ondersteuning voor werkruimtebeheer is momenteel beschikbaar in PREVIEW. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.

Vereisten

Overwegingen

Configureer een centrale werkruimte als de omgeving waarin u inhoudsitems en configuraties consolideert die op schaal moeten worden gepubliceerd naar lidwerkruimten. Maak een nieuwe Microsoft Sentinel-werkruimte of gebruik een bestaande werkruimte om te fungeren als de centrale werkruimte.

Houd rekening met deze architecturen, afhankelijk van uw scenario:

  • Direct-link is de minst complexe installatie. Beheer alle lidwerkruimten met slechts één centrale werkruimte.
  • Co-beheer ondersteunt scenario's waarin meer dan één centrale werkruimte een lidwerkruimte moet beheren. Werkruimten worden bijvoorbeeld tegelijkertijd beheerd door een intern SOC-team en een MSSP.
  • N-laag ondersteunt complexe scenario's waarbij een centrale werkruimte een andere centrale werkruimte beheert. Een conglomeraat dat bijvoorbeeld meerdere dochterondernemingen beheert, waarbij elke dochteronderneming ook meerdere werkruimten beheert.

Een diagram met verschillende architectuuropties voor werkruimtebeheer in Microsoft Sentinel.

Werkruimtebeheer inschakelen in de centrale werkruimte

Schakel de centrale werkruimte in zodra u hebt besloten welke Microsoft Sentinel-werkruimte de werkruimtebeheerder moet zijn.

  1. Ga naar de blade Instellingen in de bovenliggende werkruimte en schakelin de configuratie-instelling werkruimtebeheer in op Deze werkruimte een bovenliggende werkruimte maken.

  2. Als dit is ingeschakeld, wordt er een nieuw menu Werkruimtebeheer (preview) weergegeven onder Configuratie.

    Schermopname van de configuratie-instellingen voor werkruimtebeheer. Het menu-item dat is toegevoegd voor werkruimtebeheer is gemarkeerd en de wisselknop is ingeschakeld.

Lidwerkruimten onboarden

Lidwerkruimten zijn de set werkruimten die worden beheerd door werkruimtebeheer. Onboarding van sommige of alle werkruimten in de tenant en over meerdere tenants (als Azure Lighthouse is ingeschakeld).

  1. Navigeer naar werkruimtebeheer en selecteer Werkruimten toevoegen Schermopname van het menu Werkruimte toevoegen.
  2. Selecteer de lidwerkruimten die u wilt onboarden bij werkruimtebeheer. Schermopname van het menu Werkruimteselectie toevoegen.
  3. Zodra de onboarding is voltooid, neemt het aantal leden toe en worden uw ledenwerkruimten weergegeven op het tabblad Werkruimten . Schermopname van de toegevoegde werkruimten en het aantal leden verhoogd tot 2.

Een groep maken

Met werkruimtebeheergroepen kunt u werkruimten samen organiseren op basis van bedrijfsgroepen, verticalen, geografie, enzovoort. Gebruik groepen om inhoudsitems te koppelen die relevant zijn voor de werkruimten.

Tip

Zorg ervoor dat er ten minste één actief inhoudsitem is geïmplementeerd in de centrale werkruimte. Hiermee kunt u inhoudsitems in de centrale werkruimte selecteren die in de volgende stappen in de lidwerkruimte(s) moeten worden gepubliceerd.

  1. Een groep maken:

    • Als u één werkruimte wilt toevoegen, selecteert u Groep toevoegen>.
    • Als u meerdere werkruimten wilt toevoegen, selecteert u de werkruimten en selecteert u Groep toevoegen>uit de geselecteerde werkruimten. Schermopname van het menu Groep toevoegen.

  2. Voer op de pagina Groep maken of bijwerken een naam en beschrijving voor de groep in. Schermopname van de pagina voor het maken of bijwerken van de groep.

  3. Selecteer op het tabblad Werkruimten selecteren de optie Toevoegen en selecteer de lidwerkruimten die u aan de groep wilt toevoegen.

  4. Op het tabblad Inhoud selecteren kunt u op twee manieren inhoudsitems toevoegen.

    • Methode 1: Selecteer het menu Toevoegen en kies Alle inhoud. Alle actieve inhoud die momenteel in de centrale werkruimte is geïmplementeerd, wordt toegevoegd. Deze lijst is een momentopname van een bepaald tijdstip dat alleen actieve inhoud selecteert, niet sjablonen.
    • Methode 2: Selecteer het menu Toevoegen en kies Inhoud. Er wordt een venster Inhoud selecteren geopend om aangepast de inhoud te selecteren die is toegevoegd. Schermopname van de selectie van groepsinhoud.

  5. Filter de inhoud indien nodig voordat u Beoordelen en maken.

  6. Zodra het aantal groepen is gemaakt, wordt het aantal groepen verhoogd en worden uw groepen weergegeven op het tabblad Groepen.

De groepsdefinitie publiceren

Op dit moment zijn de geselecteerde inhoudsitems nog niet gepubliceerd naar de lidwerkruimte(s).

Notitie

De publicatieactie mislukt als de maximale publicatiebewerkingen worden overschreden. Overweeg om lidwerkruimten op te splitsen in extra groepen als u deze limiet nadert.

  1. Selecteer de groep >Inhoud publiceren.

    Schermopname van het publicatievenster van de groep.

    Als u bulksgewijs wilt publiceren, selecteert u de gewenste groepen en selecteert u Publiceren. Schermopname van het venster voor het publiceren van groepen met meerdere selecties.

  2. De kolom Laatste publicatiestatus wordt bijgewerkt om aan te geven dat er wordt gewerkt. Schermopname van de voortgangskolom voor het publiceren van meerdere groepen.

  3. Als dit is gelukt, worden de statusupdates laatst gepubliceerd om geslaagd weer te geven. De geselecteerde inhoudsitems bestaan nu in de lidwerkruimten. Schermopname van de laatste gepubliceerde kolom met vermeldingen die zijn geslaagd.

    Als slechts één inhoudsitem niet kan worden gepubliceerd voor de hele groep, wordt de status Van laatste publicatie bijgewerkt met De status Mislukt.

Probleemoplossing

Elke publicatiepoging heeft een koppeling om te helpen bij het oplossen van problemen als inhoudsitems niet kunnen worden gepubliceerd.

  1. Selecteer de hyperlink Mislukt om het venster met foutdetails van de taak te openen. Er wordt een status weergegeven voor elk inhoudsitem en het doelwerkruimtepaar.

  2. Filter de status voor mislukte itemparen.

    Schermopname van de taakdetails van een gebeurtenis voor het publiceren van groepen.

Veelvoorkomende oorzaken zijn:

  • Inhoudsitems waarnaar in de groepsdefinitie wordt verwezen, bestaan niet meer op het moment van publiceren (zijn verwijderd).
  • Machtigingen zijn gewijzigd op het moment van publiceren. De gebruiker is bijvoorbeeld geen Microsoft Sentinel-inzender meer of beschikt niet meer over voldoende machtigingen voor de lidwerkruimte.
  • Er is een lidwerkruimte verwijderd.

Bekende beperkingen

  • Het maximum aantal gepubliceerde bewerkingen per groep is 2000. Gepubliceerde bewerkingen = (lidwerkruimten) * (inhoudsitems).
    Als u bijvoorbeeld 10 lidwerkruimten in een groep hebt en u 20 inhoudsitems in die groep publiceert,
    gepubliceerde bewerkingen = 10 * 20 = 200.
  • Playbooks die zijn toegeschreven aan analyse- en automatiseringsregels, worden momenteel niet ondersteund.
  • Werkmappen die zijn opgeslagen in Bring Your Own Storage, worden momenteel niet ondersteund.
  • Werkruimtebeheer beheert alleen inhoudsitems die zijn gepubliceerd vanuit de centrale werkruimte. Er wordt geen inhoud beheerd die lokaal is gemaakt op basis van lidwerkruimten.
  • Op dit moment wordt het verwijderen van inhoud die zich centraal in een of meer lidwerkruimten bevindt, niet ondersteund via werkruimtebeheer.

API-verwijzingen

Volgende stappen