Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wenn Sie Microsoft Sentinel onboarden, besteht Ihr erster Schritt darin, Ihren Log Analytics-Arbeitsbereich auszuwählen. Während Sie den vollen Vorteil der Microsoft Sentinel-Erfahrung mit einem einzelnen Arbeitsbereich erhalten können, können Sie in einigen Fällen Ihren Arbeitsbereich erweitern, um Ihre Daten über Arbeitsbereiche und Mandanten abzufragen und zu analysieren. Weitere Informationen finden Sie unter Entwerfen einer Log Analytics-Arbeitsbereichsarchitektur und Vorbereiten auf mehrere Arbeitsbereiche und Mandanten in Microsoft Sentinel.
Wenn Sie Microsoft Sentinel in das Microsoft Defender-Portal einbinden, sehen Sie:
- Mehrere Microsoft Sentinel Arbeitsbereiche im Defender-Portal
- Microsoft Defender Multitenant Management
Verwalten von Incidents in mehreren Arbeitsbereichen
In den Azure- und Defender-Portalen können Sie die Vorfallansicht zentral verwalten und überwachen, um Vorfälle über mehrere Arbeitsbereiche hinweg zu verwalten und zu überwachen oder die Ansicht nach Arbeitsbereichen zu filtern. Verwalten Sie Vorfälle direkt oder führen Sie einen transparenten Drilldown zu den Vorfalldetails im Kontext des ursprünglichen Arbeitsbereichs durch.
Wenn Sie im Azure-Portal arbeiten, sehen Sie sich die Incident-Ansicht für mehrere Arbeitsbereiche an. Informationen zum Defender-Portal finden Sie unter Mehreren Microsoft Sentinel-Arbeitsbereichen im Defender-Portal.
Abfragen mehrerer Arbeitsbereiche
Führen Sie eine einzige Abfrage über mehrere Arbeitsbereiche hinweg durch, um deren Daten gleichzeitig zu durchsuchen und zu korrelieren.
Verwenden Sie den
workspace( )Ausdruck mit dem Arbeitsbereichsbezeichner als Argument, um auf eine Tabelle in einem anderen Arbeitsbereich zu verweisen. Verwenden Sie explizite Bezeichnerformate, um eine optimale Leistung sicherzustellen. Weitere Informationen finden Sie unter Bezeichnerformate für arbeitsbereichsübergreifende Abfragen.Verwenden Sie den Union-Operator zusammen mit dem
workspace( )-Ausdruck, um eine Abfrage tabellenübergreifend auf mehrere Arbeitsbereiche anzuwenden.Verwenden Sie gespeicherte Funktionen, um arbeitsbereichsübergreifende Abfragen zu vereinfachen. Sie können beispielsweise einen langen Verweis auf die Tabelle SecurityEvent im Arbeitsbereich von Kunde A verkürzen, indem Sie den Ausdruck speichern:
workspace("/subscriptions/<customerA_subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName>").SecurityEventals eine Funktion namens „
SecurityEventCustomerA“. Anschließend können Sie die Tabelle SecurityEvent von Kunde A mit der Funktion „SecurityEventCustomerA | where ...“ abfragen.Durch eine Funktion kann auch eine häufig verwendete Union vereinfacht werden. Beispielsweise können Sie den folgenden Ausdruck als eine Funktion mit dem Namen
unionSecurityEventspeichern:union workspace("/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName1>").SecurityEvent, workspace("/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName2>").SecurityEventSchreiben Sie anschließend eine Abfrage über beide Arbeitsbereiche, indem Sie mit
unionSecurityEvent | where ...beginnen.
Arbeitsbereichübergreifende Abfragen für Log Analytics-Daten unterliegen weiterhin Log Analytics-Überlegungen.
Einbeziehen arbeitsbereichsübergreifender Abfragen in geplante Analyseregeln
Arbeitsbereichsübergreifende Abfragen können in geplante Analyseregeln einbezogen werden. Sie können arbeitsbereichsübergreifende Analyseregeln in einem zentralen SOC-Team und mandantenübergreifend (mit Azure Lighthouse) wie bei einem MSSP verwenden. Diese Verwendung unterliegt den folgenden Einschränkungen:
- Sie können insgesamt bis zu 20 Arbeitsbereiche in einer einzigen Abfrage einschließen. Für eine gute Leistung empfehlen wir jedoch, nicht mehr als 5 einzuschließen.
- Microsoft Sentinel muss in jedem Arbeitsbereich bereitgestellt werden, auf den in der Abfrage verwiesen wird.
- Von einer arbeitsbereichsübergreifenden Analyseregel generierte Warnungen und die auf dieser Grundlage erstellten Incidents sind nur in dem Arbeitsbereich vorhanden, in dem die Regel definiert wurde. Die Benachrichtigungen werden in keinem der anderen Arbeitsbereiche angezeigt, auf die in der Abfrage verwiesen wird.
- Eine arbeitsbereichsübergreifende Analyseregel wird wie jede Analyseregel weiterhin ausgeführt, auch wenn der Benutzer, der die Regel erstellt hat, den Zugriff auf Arbeitsbereiche verliert, auf die in der Abfrage der Regel verwiesen wird. Die einzige Ausnahme ist der Fall von Arbeitsbereichen in anderen Abonnements und/oder Mandanten als die Analyseregel.
Von arbeitsbereichsübergreifenden Analyseregeln erstellte Warnungen und Incidents enthalten alle zugehörigen Entitäten – einschließlich Entitäten aus allen Arbeitsbereichen, auf die verwiesen wird, sowie aus dem ursprünglichen Arbeitsbereich (in dem die Regel definiert wurde). Dadurch können sich Analysten ein umfassendes Bild von Warnungen und Vorfällen machen.
Hinweis
Werden in derselben Abfrage mehrere Arbeitsbereiche abgefragt, kann sich dies negativ auf die Leistung auswirken. Diese Vorgehensweise wird daher nur empfohlen, wenn diese Funktionalität von der Logik vorausgesetzt wird.
Verwenden arbeitsbereichsübergreifender Arbeitsmappen
Über Arbeitsmappen werden Dashboards und Apps für Microsoft Sentinel bereitgestellt. Beim Arbeiten mit mehreren Arbeitsbereichen werden Überwachung und weitere Aktionen arbeitsbereichsübergreifend bereitgestellt.
Arbeitsmappen können arbeitsbereichsübergreifende Abfragen mit einer von drei Methoden bereitstellen. Je nach Methode werden unterschiedliche Fachkenntnisse der Endbenutzer berücksichtigt:
| Methode | BESCHREIBUNG | Verwendung |
|---|---|---|
| Arbeitsbereichsübergreifende Abfragen schreiben | Der Ersteller der Arbeitsmappe kann arbeitsbereichsübergreifende Abfragen (oben beschrieben) in die Arbeitsmappe schreiben. | Ich möchte, dass der Arbeitsmappenautor eine Arbeitsbereichsstruktur erstellt, die für den Benutzer transparent ist. |
| Arbeitsbereichsselektor zur Arbeitsmappe hinzufügen | Der Ersteller der Arbeitsmappe kann einen Arbeitsbereichsselektor als Teil der Arbeitsmappe implementieren. | Ich möchte dem Benutzer erlauben, die Arbeitsbereiche zu steuern, die von der Arbeitsmappe angezeigt werden, mit einem einfach zu verwendenden Dropdownfeld. |
| Arbeitsmappe interaktiv bearbeiten | Ein fortgeschrittener Benutzer, der eine bestehende Arbeitsmappe ändert, kann die darin enthaltenen Abfragen bearbeiten, indem er die Zielarbeitsbereiche mithilfe des Arbeitsbereichsselektors im Editor auswählt. | Über diese Option kann ein Hauptbenutzer bestehende Arbeitsmappen problemlos ändern, um mit mehreren Arbeitsbereichen arbeiten zu können. |
Suchen in mehreren Arbeitsbereichen
Microsoft Sentinel bietet vorab geladene Abfragebeispiele, um Ihnen die ersten Schritte zu vereinfachen und Sie mit den Tabellen und der Abfragesprache vertraut zu machen. Microsoft-Sicherheitsforscher fügen ständig neue integrierte Abfragen hinzu und optimieren vorhandene Abfragen. Sie können diese Abfragen verwenden, um nach neuen Erkennungen zu suchen und Anzeichen von Angriffen zu identifizieren, die Ihre Sicherheitstools möglicherweise verpasst haben.
Mithilfe der arbeitsbereichsübergreifenden Hunting-Funktionen können Ihre Bedrohungsspezialisten neue Hunting-Abfragen erstellen oder vorhandene anpassen, um mehrere Arbeitsbereiche abzudecken. Dazu werden der Union-Operator und der workspace()-Ausdruck wie oben gezeigt verwendet.
Verwalten mehrerer Arbeitsbereiche mithilfe der Automatisierung
Zum Konfigurieren und Verwalten mehrerer Log Analytics-Arbeitsbereiche, die für Microsoft Sentinel aktiviert sind, müssen Sie die Verwendung der Microsoft Sentinel-Verwaltungs-API automatisieren.
- Erfahren Sie, wie Sie die Bereitstellung von Microsoft Sentinel-Ressourcen automatisieren, einschließlich Warnungsregeln, Bedrohungssuche-Abfragen, Arbeitsmappen und Playbooks.
- Erfahren Sie, wie benutzerdefinierter Inhalte aus Ihrem Repository bereitgestellt werden. Diese Ressource bietet eine konsolidierte Methodik zum Verwalten von Microsoft Sentinel als Code und zum Bereitstellen und Konfigurieren von Ressourcen aus einem privaten Azure DevOps- oder GitHub-Repository.
Mandantenübergreifendes Verwalten von Arbeitsbereichen
In vielen Szenarien können sich die verschiedenen Log Analytics-Arbeitsbereiche, die für Microsoft Sentinels aktiviert sind, in verschiedenen Microsoft Entra-Mandanten befinden. Sie können Azure Lighthouse verwenden, um alle arbeitsbereichsübergreifenden Aktivitäten über Mandantengrenzen hinweg auszuweiten. So können die zum verwaltenden Mandanten gehörenden Benutzer mandantenübergreifend in Arbeitsbereichen arbeiten.
Nachdem Azure Lighthouse integriert wurde, verwenden Sie die Verzeichnis- und Abonnementauswahl im Azure-Portal, um alle Abonnements mit Arbeitsbereichen auszuwählen, die verwaltet werden sollen. Auf diese Weise stellen Sie sicher, dass alle Arbeitsbereiche in den verschiedenen Arbeitsbereichsselektoren im Portal verfügbar sind.
Bei Verwendung von Azure Lighthouse empfiehlt es sich, eine Gruppe für jede Microsoft Sentinel-Rolle zu erstellen und Berechtigungen von jedem Mandanten an diese Gruppen zu delegieren.
Wenn Sie das Defender-Portal verwenden, bietet die Mehrinstanzenverwaltung für Microsoft Defender XDR und Microsoft Sentinel Ihre Sicherheitsbetriebsteams mit einer einzigen, einheitlichen Ansicht aller Mandanten, die Sie verwalten. Weitere Informationen finden Sie unter Microsoft Defender Multitenant Management.
Verwandte Inhalte
Informationen zu Microsoft Sentinel im Azure-Portal finden Sie unter:
- Verwalten mehrerer Mandanten in Microsoft Sentinel als MSSP mithilfe von Azure Lighthouse
- Arbeiten mit Vorfällen in mehreren Arbeitsbereichen gleichzeitig im Azure-Portal
Informationen zu Microsoft Sentinel im Defender-Portal finden Sie unter: