Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Podczas dołączania usługi Microsoft Sentinel pierwszym krokiem jest wybranie obszaru roboczego usługi Log Analytics. Chociaż możesz uzyskać pełną korzyść z korzystania z usługi Microsoft Sentinel w jednym obszarze roboczym, w niektórych przypadkach możesz rozszerzyć obszar roboczy w celu wykonywania zapytań i analizowania danych między obszarami roboczymi i dzierżawami. Aby uzyskać więcej informacji, zobacz Projektowanie architektury obszaru roboczego usługi Log Analytics i Przygotowywanie dla wielu obszarów roboczych i dzierżaw w usłudze Microsoft Sentinel.
Jeśli dołączasz usługę Microsoft Sentinel do portalu usługi Microsoft Defender, zobacz:
- Wiele obszarów roboczych Microsoft Sentinel w portalu usługi Defender
- zarządzanie wielodostępnością w Microsoft Defender
Zarządzanie zdarzeniami w wielu obszarach roboczych
W portalach platformy Azure i usługi Defender widok zdarzeń umożliwia centralne zarządzanie zdarzeniami i monitorowanie ich w wielu obszarach roboczych lub filtrowanie widoku według obszaru roboczego. Zarządzaj incydentami bezpośrednio lub przejdź przejrzyście do szczegółów incydentów w kontekście źródłowego obszaru roboczego.
Jeśli pracujesz w Azure Portal, zobacz widok incydentów dla wielu obszarów roboczych. Aby zapoznać się z portalem usługi Defender, zobacz Wiele obszarów roboczych usługi Microsoft Sentinel w portalu usługi Defender.
Wykonywanie zapytań dotyczących wielu obszarów roboczych
Wykonywanie zapytań względem wielu obszarów roboczych w celu wyszukiwania i korelowania danych z wielu obszarów roboczych w jednym zapytaniu.
workspace( )Użyj wyrażenia z identyfikatorem obszaru roboczego jako argumentem, aby odwołać się do tabeli w innym obszarze roboczym. Użyj jawnych formatów identyfikatorów, aby zapewnić najlepszą wydajność. Aby uzyskać więcej informacji, zobacz Formaty identyfikatorów dla zapytań między obszarami roboczymi.Użyj operatora union wraz z wyrażeniem
workspace( ), aby zastosować zapytanie między tabelami w wielu obszarach roboczych.Użyj zapisanych funkcji , aby uprościć zapytania między obszarami roboczymi. Można na przykład skrócić długie odwołanie do tabeli SecurityEvent w obszarze roboczym Klienta A, zapisując wyrażenie:
workspace("/subscriptions/<customerA_subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName>").SecurityEventjako funkcja o nazwie
SecurityEventCustomerA. Następnie możesz wysłać zapytanie do tabeli SecurityEvent klienta AFunkcja może również uprościć powszechnie używaną operację. Możesz na przykład zapisać następujące wyrażenie jako funkcję o nazwie
unionSecurityEvent:union workspace("/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName1>").SecurityEvent, workspace("/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName2>").SecurityEventNastępnie napisz zapytanie w obu obszarach roboczych, zaczynając od
unionSecurityEvent | where ....
Zapytania między obszarami roboczymi dotyczące danych usługi Log Analytics pozostają przedmiotem zagadnień związanych z usługą Log Analytics.
Uwzględnianie zapytań między obszarami roboczymi w zaplanowanych regułach analizy
Zapytania między obszarami roboczymi można uwzględnić w zaplanowanych regułach analizy. Można używać reguły analizy między obszarami roboczymi w centralnej usłudze SOC oraz w różnych dzierżawach (przy użyciu usługi Azure Lighthouse), odpowiednich dla dostawców usług zarządzania bezpieczeństwem (MSSP). To zastosowanie podlega następującym ograniczeniom:
- W jednym zapytaniu można uwzględnić maksymalnie 20 obszarów roboczych . Jednak w celu uzyskania dobrej wydajności zalecamy uwzględnienie nie więcej niż 5.
- Należy wdrożyć usługę Microsoft Sentinel w każdym obszarze roboczym , do którego odwołuje się zapytanie.
- Alerty generowane przez regułę analizy między obszarami roboczymi i zdarzenia utworzone na ich podstawie istnieją tylko w obszarze roboczym, w którym zdefiniowano regułę. Alerty nie będą wyświetlane w żadnym z innych obszarów roboczych, do których odwołuje się zapytanie.
- Reguła analizy między obszarami roboczymi, podobnie jak każda reguła analizy, będzie nadal działać, nawet jeśli użytkownik, który utworzył regułę, utraci dostęp do obszarów roboczych, do których odwołuje się zapytanie reguły. Jedynym wyjątkiem są obszary robocze znajdujące się w różnych subskrypcjach i/lub dzierżawach niż reguła analizy.
Alerty i zdarzenia utworzone przez reguły analizy między obszarami roboczymi zawierają wszystkie powiązane jednostki, w tym te ze wszystkich przywoływałych obszarów roboczych i obszaru roboczego "strona główna" (gdzie zdefiniowano regułę). Dzięki temu analitycy uzyskują pełny obraz alertów i zdarzeń.
Uwaga
Wykonywanie zapytań dotyczących wielu obszarów roboczych w tym samym zapytaniu może mieć wpływ na wydajność i dlatego jest zalecane tylko wtedy, gdy logika wymaga tej funkcji.
Używanie skoroszytów między obszarami roboczymi
Skoroszyty udostępniają pulpity nawigacyjne i aplikacje do usługi Microsoft Sentinel. Podczas pracy z wieloma obszarami roboczymi skoroszyty zapewniają monitorowanie i akcje w obszarach roboczych.
Skoroszyty mogą udostępniać zapytania krzyżowe dla różnych obszarów roboczych na jeden z trzech sposobów, odpowiednich dla różnych poziomów wiedzy użytkownika końcowego.
| Metoda | opis | Kiedy należy używać? |
|---|---|---|
| Tworzenie zapytań między obszarami roboczymi | Twórca skoroszytu może pisać zapytania między obszarami roboczymi (opisane powyżej) w skoroszycie. | Chcę, aby twórca skoroszytu utworzył strukturę obszaru roboczego, która jest przejrzysta dla użytkownika. |
| Dodawanie selektora obszaru roboczego do skoroszytu | Twórca skoroszytu może zaimplementować selektor obszaru roboczego w ramach skoroszytu. | Chcę zezwolić użytkownikowi na kontrolowanie obszarów roboczych wyświetlanych przez skoroszyt przy użyciu łatwego w użyciu pola rozwijanego. |
| Interakcyjne edytowanie skoroszytu | Zaawansowany użytkownik modyfikujący istniejący skoroszyt może edytować w nim zapytania, wybierając docelowe obszary robocze przy użyciu selektora obszaru roboczego w edytorze. | Chcę zezwolić użytkownikowi na łatwe modyfikowanie istniejących skoroszytów w celu pracy z wieloma obszarami roboczymi. |
Polowanie w wielu obszarach roboczych
Usługa Microsoft Sentinel udostępnia wstępnie załadowane przykłady zapytań, które ułatwiają rozpoczęcie pracy i zapoznanie się z tabelami i językiem zapytań. Naukowcy zajmujący się zabezpieczeniami firmy Microsoft stale dodawają nowe wbudowane zapytania i dostrajają istniejące zapytania. Możesz użyć tych zapytań, aby wyszukać nowe wykrycia i zidentyfikować oznaki nieautoryzowanego włamania do narzędzi zabezpieczeń.
Możliwości polowania na zagrożenia w różnych obszarach roboczych umożliwiają łowcom zagrożeń tworzenie nowych zapytań lub dostosowanie istniejących, aby obejmowały wiele obszarów roboczych, przy użyciu operatora unii i wyrażenia workspace(), jak pokazano powyżej.
Zarządzanie wieloma obszarami roboczymi przy użyciu automatyzacji
Aby skonfigurować wiele obszarów roboczych usługi Log Analytics z włączoną obsługą usługi Microsoft Sentinel i zarządzać nimi, należy zautomatyzować korzystanie z interfejsu API zarządzania usługi Microsoft Sentinel.
- Dowiedz się, jak zautomatyzować wdrażanie zasobów usługi Microsoft Sentinel, takich jak reguły alertów, zapytania związane z wyszukiwaniem zagrożeń, skoroszyty i schematy postępowania.
- Dowiedz się, jak z repozytorium wdrażać zawartość niestandardową. Ten zasób zawiera skonsolidowaną metodologię zarządzania usługą Microsoft Sentinel jako kodem oraz wdrażania i konfigurowania zasobów z prywatnego repozytorium Usługi Azure DevOps lub GitHub.
Zarządzanie obszarami roboczymi w różnych dzierżawcach
W wielu scenariuszach różne obszary robocze usługi Log Analytics włączone dla usługi Microsoft Sentinels mogą znajdować się w różnych dzierżawach firmy Microsoft Entra. Usługa Azure Lighthouse umożliwia rozszerzanie wszystkich działań między obszarami roboczymi, przekraczając granice dzierżaw, umożliwiając użytkownikom w dzierżawie zarządzającej działać w obszarach roboczych wszystkich dzierżaw.
Po dołączeniu usługi Azure Lighthouse, użyj selektora katalogów i subskrypcji w Azure Portal, aby wybrać wszystkie subskrypcje zawierające obszary robocze, którymi chcesz zarządzać, aby upewnić się, że wszystkie będą dostępne w różnych selektorach obszarów roboczych w portalu.
W przypadku korzystania z usługi Azure Lighthouse zaleca się utworzenie grup obejmujących każdą rolę usługi Microsoft Sentinel oraz delegowanie uprawnień z każdej dzierżawy na te grupy.
Jeśli używasz portalu Defender, wielodostępne zarządzanie usługami Microsoft Defender XDR i Microsoft Sentinel zapewnia zespołom ds. operacji zabezpieczeń jeden ujednolicony widok wszystkich zarządzanych dzierżaw. Aby uzyskać więcej informacji, zobacz Zarządzanie wielodostępne w usłudze Microsoft Defender.
Powiązana zawartość
W przypadku usługi Microsoft Sentinel w witrynie Azure Portal zobacz:
- Zarządzanie wieloma dzierżawcami w usłudze Microsoft Sentinel jako dostawcą zarządzanych usług bezpieczeństwa przy użyciu usługi Azure Lighthouse
- Praca z incydentami w wielu obszarach roboczych jednocześnie w Portalu Azure
W przypadku usługi Microsoft Sentinel w portalu usługi Defender zobacz: