Gerencie centralmente vários espaços de trabalho do Microsoft Sentinel com o gerenciador de espaços de trabalho (Visualização)

  • Artigo

Saiba como gerenciar centralmente vários espaços de trabalho do Microsoft Sentinel em um ou mais locatários do Azure com o gerenciador de espaços de trabalho. Este artigo apresenta o provisionamento e o uso do gerenciador de espaços de trabalho. Quer seja uma empresa global ou um Managed Security Services Provider (MSSP), o gestor de espaços de trabalho ajuda-o a operar em escala de forma eficiente.

Aqui estão os tipos de conteúdo ativo suportados com o gerenciador de espaço de trabalho:

  • Regras de análise
  • Regras de automação (excluindo Playbooks)
  • Analisadores, pesquisas salvas e funções
  • Consultas de caça e transmissão ao vivo
  • Livros

Importante

O suporte para o gerenciador de espaços de trabalho está atualmente em visualização. Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.

Pré-requisitos

  • Você precisa de pelo menos dois espaços de trabalho do Microsoft Sentinel. Um espaço de trabalho para gerenciar e pelo menos um outro espaço de trabalho a ser gerenciado.
  • A atribuição da função de Colaborador do Microsoft Sentinel é necessária no espaço de trabalho central (onde o gerenciador de espaço de trabalho está habilitado) e no(s) espaço(s) de trabalho de membro que o colaborador precisa gerenciar. Para saber mais sobre funções no Microsoft Sentinel, consulte Funções e permissões no Microsoft Sentinel.
  • Habilite o Azure Lighthouse se estiver gerenciando espaços de trabalho em vários locatários do Microsoft Entra. Para saber mais, consulte Gerenciar espaços de trabalho do Microsoft Sentinel em escala.

Considerações

Configure um espaço de trabalho central para ser o ambiente onde você consolida itens de conteúdo e configurações a serem publicados em escala para espaços de trabalho membros. Crie um novo espaço de trabalho do Microsoft Sentinel ou utilize um existente para servir como o espaço de trabalho central.

Dependendo do seu cenário, considere estas arquiteturas:

  • O link direto é a configuração menos complexa. Controle todos os espaços de trabalho de membros com apenas um espaço de trabalho central.
  • O Cogerenciamento suporta cenários em que mais de um espaço de trabalho central precisa gerenciar um espaço de trabalho membro. Por exemplo, espaços de trabalho gerenciados simultaneamente por uma equipe SOC interna e um MSSP.
  • N-Tier suporta cenários complexos em que um espaço de trabalho central controla outro espaço de trabalho central. Por exemplo, um conglomerado que gerencia várias subsidiárias, onde cada subsidiária também gerencia vários espaços de trabalho.

Um diagrama mostrando várias opções de arquitetura para o gerenciador de espaços de trabalho no Microsoft Sentinel.

Habilitar o gerenciador de espaço de trabalho no espaço de trabalho central

Habilite o espaço de trabalho central depois de decidir qual espaço de trabalho do Microsoft Sentinel deve ser o gerenciador do espaço de trabalho.

  1. Navegue até a folha Configurações no espaço de trabalho pai e alterne a configuração do gerenciador de espaços de trabalho para "Tornar este espaço de trabalho pai".

  2. Uma vez ativado, um novo menu Gerenciador de espaços de trabalho (visualização) aparece em Configuração.

    A captura de tela mostra as definições de configuração do gerenciador de espaços de trabalho. O item de menu adicionado para o gerenciador de espaço de trabalho é realçado e o botão de alternância é ativado.

Espaços de trabalho de membros integrados

Os espaços de trabalho de membro são o conjunto de espaços de trabalho gerenciados pelo gerenciador de espaços de trabalho. Integre alguns ou todos os espaços de trabalho no locatário e também em vários locatários (se o Azure Lighthouse estiver habilitado).

  1. Navegue até o gerenciador de espaços de trabalho e selecione "Adicionar espaços de trabalho" A captura de tela mostra o menu adicionar espaço de trabalho.
  2. Selecione o(s) espaço(s) de trabalho de membro que você gostaria de integrar ao gerenciador de espaços de trabalho. A captura de tela mostra o menu de seleção adicionar espaço de trabalho.
  3. Uma vez integrado com sucesso, a contagem de membros aumenta e seus espaços de trabalho de membros são refletidos na guia Espaços de trabalho. A captura de tela mostra os espaços de trabalho adicionados e a contagem de membros incrementada para 2.

Criar um grupo

Os grupos de gestores de espaços de trabalho permitem-lhe organizar espaços de trabalho em conjunto com base em grupos empresariais, verticais, geografia, etc. Use grupos para emparelhar itens de conteúdo relevantes para os espaços de trabalho.

Gorjeta

Verifique se você tem pelo menos um item de conteúdo ativo implantado no espaço de trabalho central. Isso permite que você selecione itens de conteúdo do espaço de trabalho central a serem publicados no(s) espaço(s) membro(s) nas etapas subsequentes.

  1. Para criar um grupo:

    • Para adicionar um espaço de trabalho, selecione Adicionar>grupo.
    • Para adicionar vários espaços de trabalho, selecione os espaços de trabalho e Adicionar>grupo de selecionado. A captura de tela mostra o menu adicionar grupo.

  2. Na página Criar ou atualizar grupo, insira um Nome e Descrição para o grupo. A captura de tela mostra a página de configuração de criação ou atualização do grupo.

  3. Na guia Selecionar espaços de trabalho, selecione Adicionar e selecione os espaços de trabalho de membro que você gostaria de adicionar ao grupo.

  4. Na guia Selecionar conteúdo, você tem 2 maneiras de adicionar itens de conteúdo.

    • Método 1: Selecione o menu Adicionar e escolha Todo o conteúdo. Todo o conteúdo ativo atualmente implantado no espaço de trabalho central é adicionado. Esta lista é um instantâneo point-in-time que seleciona apenas conteúdo ativo, não modelos.
    • Método 2: Selecione o menu Adicionar e escolha Conteúdo. Uma janela Selecionar conteúdo é aberta para personalizar a seleção do conteúdo adicionado. A captura de tela mostra a seleção de conteúdo do grupo.

  5. Filtre o conteúdo conforme necessário antes de Rever + criar.

  6. Uma vez criada, a contagem de grupos aumenta e seus grupos são refletidos na guia Grupos.

Publicar a definição de Grupo

Neste ponto, os itens de conteúdo selecionados ainda não foram publicados no(s) espaço(s) de trabalho(s) membro(s).

Nota

A ação de publicação falhará se as operações máximas de publicação forem excedidas. Considere dividir os espaços de trabalho dos membros em grupos adicionais se você se aproximar desse limite.

  1. Selecione o grupo >Publicar conteúdo.

    A captura de tela mostra a janela de publicação do grupo.

    Para publicar em massa, selecione vários grupos desejados e selecione Publicar. A captura de tela mostra a janela de publicação de grupo de seleção múltipla.

  2. A coluna Status da última publicação é atualizada para refletir Em andamento. A captura de tela mostra a coluna de progresso de publicação de vários grupos.

  3. Se for bem-sucedida, a Última publicação de status será atualizada para refletir Êxito. Os itens de conteúdo selecionados agora existem nos espaços de trabalho dos membros. A captura de tela mostra a última coluna publicada com entradas bem-sucedidas.

    Se apenas um item de conteúdo não for publicado para todo o grupo, o status Última publicação será atualizado para refletir Falha.

Resolução de Problemas

Cada tentativa de publicação tem um link para ajudar na solução de problemas se os itens de conteúdo não forem publicados.

  1. Selecione o hiperlink Falha para abrir a janela de detalhes da falha do trabalho. Um status para cada item de conteúdo e par de espaço de trabalho de destino é exibido.

  2. Filtre o Status para pares de itens com falha.

    A captura de tela mostra os detalhes do trabalho de um evento de falha de publicação em grupo.

Os motivos mais comuns de falha incluem:

  • Os itens de conteúdo referenciados na definição de grupo não existem mais no momento da publicação (foram excluídos).
  • As permissões foram alteradas no momento da publicação. Por exemplo, o usuário não é mais um Colaborador do Microsoft Sentinel ou não tem mais permissões suficientes no espaço de trabalho do membro.
  • Um espaço de trabalho de membro foi excluído.

Limitações conhecidas

  • O máximo de operações publicadas por grupo é de 2000. Operações publicadas = (espaços de trabalho de membros) * (itens de conteúdo).
    Por exemplo, se você tiver 10 espaços de trabalho de membros em um grupo e publicar 20 itens de conteúdo nesse grupo,
    operações publicadas 10 * 20 = 200. =
  • Atualmente, não há suporte para playbooks atribuídos ou anexados a regras de análise e automação.
  • Atualmente, não há suporte para pastas de trabalho armazenadas em traga seu próprio armazenamento.
  • O gestor de espaços de trabalho gere apenas os itens de conteúdo publicados a partir da área de trabalho central. Ele não gerencia o conteúdo criado localmente a partir do(s) espaço(s) de membro(s).
  • Atualmente, não há suporte para a exclusão de conteúdo residente no(s) espaço(s) de trabalho(s) membro(s) centralmente por meio do gerenciador de espaços de trabalho.

Referências de API

Próximos passos