Gerenciar centralmente vários workspaces do Microsoft Sentinel com o gerenciador de workspaces (versão prévia)
Saiba como gerenciar centralmente vários workspaces do Microsoft Sentinel em um ou mais locatários do Azure com o gerenciador de espaços de trabalho. Este artigo explica o provisionamento e o uso do gerenciador de espaços de trabalho. Seja você uma empresa global ou um Provedor de Serviços de Segurança Gerenciada (MSSP), o gerenciador de espaços de trabalho ajuda você a operar em escala com eficiência.
Aqui estão os tipos de conteúdo ativo suportados pelo gerenciador de espaços de trabalho:
- Regras de análise
- Regras de automação (excluindo Guias estratégicos)
- Analisadores, Pesquisas Salvas e Funções
- Consultas de Busca e Transmissão ao Vivo
- Pastas de trabalho
Importante
O suporte para o gerenciador de workspaces está atualmente em VERSÃO PRÉVIA. Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
Se você integrar o Microsoft Sentinel ao portal do Microsoft Defender, confira Gerenciamento multilocatário do Microsoft Defender.
Pré-requisitos
- É necessário ter pelo menos dois espaços de trabalho do Microsoft Sentinel. Um espaço de trabalho para gerenciar e pelo menos um outro espaço de trabalho a ser gerenciado.
- A atribuição da função de Colaborador do Microsoft Sentinel é necessária no espaço de trabalho central (no qual o gerenciador de espaços de trabalho está ativado) e no(s) espaço(s) de trabalho membro(s) que o colaborador precisa gerenciar. Para obter mais informações sobre as funções no Microsoft Sentinel, confira Funções e permissões no Microsoft Sentinel.
- Habilite o Azure Lighthouse se você estiver gerenciando espaços de trabalho em vários locatários do Microsoft Entra. Para obter mais informações, confira Gerenciar os workspaces do Microsoft Sentinel em escala.
Considerações
Configure um espaço de trabalho central para ser o ambiente no qual você consolida itens de conteúdo e configurações a serem publicados em escala nos espaços de trabalho dos membros. Crie um novo espaço de trabalho do Microsoft Sentinel ou utilize um existente para servir como o espaço de trabalho central.
Dependendo do cenário, considere as seguintes arquiteturas:
- O link direto é a configuração menos complexa. Controle todos os espaços de trabalho dos membros com apenas um espaço de trabalho central.
- O cogerenciamento suporta cenários em que mais de um espaço de trabalho central precisa gerenciar um espaço de trabalho de membro. Por exemplo, espaços de trabalho gerenciados simultaneamente por uma equipe SOC interna e um MSSP.
- O N camadas suporta cenários complexos em que um espaço de trabalho central controla outro espaço de trabalho central. Por exemplo, um conglomerado que gerencia várias subsidiárias, em que cada subsidiária também gerencia vários espaços de trabalho.
Habilitar o gerenciador de espaços de trabalho no espaço de trabalho central
Habilite o espaço de trabalho central depois de decidir qual workspace do Microsoft Sentinel deve ser o gerenciador de espaços de trabalho.
Navegue até a folha Configurações no espaço de trabalho pai e alterne para Ativado a configuração do gerenciador de espaço de trabalho para "Tornar este espaço de trabalho um pai".
Uma vez habilitado, um novo menu Gerenciador de espaços de trabalho (versão prévia) aparece abaixo de Configuração.
Espaços de trabalho de membros integrados
Os espaços de trabalho dos membros são o conjunto de espaços de trabalho gerenciados pelo gerenciador de espaços de trabalho. Integre alguns ou todos os espaços de trabalho no locatário e em vários locatários também (se o Azure Lighthouse estiver habilitado).
- Navegue até o gerenciador de espaços de trabalho e selecione "Adicionar espaços de trabalho"
- Selecione o(s) espaço(s) de trabalho membro(s) que você deseja integrar ao gerenciador de espaços de trabalho.
- Uma vez integrado com sucesso, a contagem de Membros aumenta e seus espaços de trabalho de membros são refletidos na guia Espaços de Trabalho.
Criar um grupo
Os grupos de gerenciamento de espaço de trabalho permitem organizar os espaços de trabalho juntos com base em grupos de negócios, verticais, geografia etc. Use grupos para emparelhar itens de conteúdo relevantes aos espaços de trabalho.
Dica
Verifique se você tem pelo menos um item de conteúdo ativo implantado no espaço de trabalho central. Isso permite selecionar os itens de conteúdo do espaço de trabalho central a serem publicados no(s) espaço(s) de trabalho dos membros nas etapas subsequentes.
Para criar um grupo:
- Para adicionar um espaço de trabalho, selecione Adicionar>Grupo.
- Para adicionar vários espaços de trabalho, selecione os espaços de trabalho e Adicione o>Grupo de selecionados.
Na página Criar ou atualizar grupo, insira um Nome e uma Descrição para o grupo.
Na guia Selecionar espaços de trabalho, selecione Adicionar e selecione os espaços de trabalho dos membros que você gostaria de adicionar ao grupo.
Na guia Selecionar conteúdo, você tem duas maneiras de adicionar itens de conteúdo.
- Método 1: Selecione o menu Adicionar e escolha Todo o conteúdo. Todo o conteúdo ativo implantado atualmente no espaço de trabalho central é adicionado. Esta lista é um instantâneo pontual que seleciona apenas conteúdos ativos, não modelos.
- Método 2: Selecione o menu Adicionar e escolha o Conteúdo. Uma janela Selecionar conteúdo é aberta para personalizar a seleção do conteúdo adicionado.
Filtre o conteúdo conforme necessário antes de Revisar + criar.
Uma vez criada, a Contagem de grupos aumenta e seus grupos são refletidos na guia Grupos.
Publicar a Definição do Grupo
Neste momento, os itens de conteúdo selecionados ainda não foram publicados no(s) espaço(s) de trabalho do membro(s).
Observação
A ação de publicação falhará se as operações máximas de publicação forem excedidas. Considere dividir workspaces de membros em grupos adicionais se você se aproximar desse limite.
Selecione o grupo >Publicar conteúdo.
Para publicar em massa, selecione os vários grupos desejados e selecione Publicar.
A coluna Último status da publicação é atualizada para refletir que está Em andamento.
Se for bem-sucedido, o status Última publicação será atualizado para refletir que foi Bem-sucedido. Os itens de conteúdo selecionados agora existem nos espaços de trabalho dos membros.
Se apenas um item de conteúdo não for publicado para todo o grupo, o Status da última publicação é atualizado para refletir Falha.
Solução de problemas
Cada tentativa de publicação tem um link para ajudar na solução de problemas se os itens de conteúdo não forem publicados.
Selecione o hiperlink Falha para abrir a janela de detalhes da falha do trabalho. É exibido um status para cada item de conteúdo e par de espaço de trabalho de destino.
Filtre o Status para pares de itens com falha.
Os motivos comuns de falha incluem:
- Os itens de conteúdo referenciados na definição de grupo não existem mais no momento da publicação (foram excluídos).
- As permissões foram alteradas no momento da publicação. Por exemplo, o usuário não é mais um Colaborador do Microsoft Sentinel ou não tem mais permissões suficientes no espaço de trabalho do membro.
- Um espaço de trabalho de membro foi excluído.
Limitações conhecidas
- O máximo de operações publicadas por grupo é 2.000. Operações publicadas = (workspaces de membros) * (itens de conteúdo).
Por exemplo, se você tiver 10 workspaces membros em um grupo e publicar 20 itens de conteúdo nesse grupo,
operações publicadas = 10 * 20 = 200. - No momento, os guias estratégicos atribuídos ou anexados às regras de análise e automação não são suportados.
- No momento, as pastas de trabalho armazenadas em traga seu próprio armazenamento não são suportadas.
- O gerenciador de espaços de trabalho gerencia apenas os itens de conteúdo publicados no espaço de trabalho central. Ele não gerencia o conteúdo criado localmente a partir do(s) espaço(s) de trabalho do membro.
- No momento, a exclusão centralizada do conteúdo que reside no(s) espaço(s) de trabalho do(s) membro(s) por meio do gerenciador de espaços de trabalho não é suportada.
Referências de API
- Trabalhos de Atribuição do Gerenciador de Espaços de Trabalho
- Atribuições do Gerenciador de Espaços de Trabalho
- Configurações do Gerenciador de Espaços de Trabalho
- Grupos do Gerenciador de Espaços de Trabalho
- Membros do Gerenciador de Espaços de Trabalho