Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
При подключении Microsoft Sentinel прежде всего необходимо выбрать рабочую область Log Analytics. Хотя вы можете использовать все возможности Microsoft Sentinel с одной рабочей областью, в некоторых случаях может потребоваться расширить рабочую область, чтобы запрашивать и анализировать данные в нескольких рабочих областях и клиентах. Дополнительные сведения см. в статье Проектирование архитектуры рабочей области Log Analytics и подготовка к нескольким рабочим областям и клиентам в Microsoft Sentinel.
Если подключить Microsoft Sentinel к порталу Microsoft Defender, см. следующее:
- Несколько рабочих областей Microsoft Sentinel на портале Defender
- управление несколькими клиентами Microsoft Defender
Управление инцидентами в нескольких рабочих пространствах
На порталах Azure и Defender представление инцидентов позволяет централизованно управлять инцидентами и отслеживать инциденты в нескольких рабочих областях или фильтровать представление по рабочей области. Управляйте инцидентами напрямую или выполняйте углубленный анализ сведений об инциденте в контексте оригинального рабочего пространства.
Если вы работаете на портале Azure, просмотрите представление инцидентов для нескольких рабочих областей. На портале Defender см. несколько рабочих областей Microsoft Sentinel на портале Defender.
Запрос данных из нескольких рабочих пространств
Запросите несколько рабочих областей для поиска и сопоставления данных из нескольких рабочих областей в одном запросе.
workspace( )Используйте выражение с идентификатором рабочей области в качестве аргумента, чтобы ссылаться на таблицу в другой рабочей области. Используйте форматы явных идентификаторов, чтобы обеспечить оптимальную производительность. Дополнительные сведения см. в разделе "Форматы идентификаторов" для запросов между рабочими областями.Используйте оператор объединения с
workspace( )выражением, чтобы выполнить запрос для таблиц во множестве рабочих областей.Используйте сохраненные функции для упрощения запросов между рабочими областями. Например, можно сократить длинную ссылку на таблицу SecurityEvent в рабочей области Customer A, сохранив выражение:
workspace("/subscriptions/<customerA_subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName>").SecurityEventв качестве функции, называемой
SecurityEventCustomerA. Затем вы можете запросить таблицу SecurityEvent клиента A с помощью этой функции:SecurityEventCustomerA | where ....Функция также может упростить часто используемое объединение. Например, можно сохранить следующее выражение как функцию с именем
unionSecurityEvent:union workspace("/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName1>").SecurityEvent, workspace("/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName2>").SecurityEventЗатем напишите запрос в обеих рабочих областях, начиная с
unionSecurityEvent | where ....
Запросы между рабочими областями для данных Log Analytics остаются предметом рекомендаций Log Analytics.
Включение запросов между рабочими областями в правилах запланированной аналитики
Запросы между рабочими областями можно включить в правила запланированной аналитики. Правила аналитики для нескольких рабочих областей можно использовать в центральном SOC, а также между клиентами (с помощью Azure Lighthouse), подходящими для MSSP. Это использование подпадает под следующие ограничения:
- В один запрос можно включить до 20 рабочих областей. Однако для хорошей производительности рекомендуется включать не более 5.
- Необходимо развернуть Microsoft Sentinel в каждой рабочей области, на которую ссылается запрос.
- Оповещения, созданные правилом аналитики нескольких рабочих областей, и инциденты, созданные на их основе, существуют только в рабочей области, в которой определено правило. Оповещения не будут отображаться в других рабочих областях, на которые ссылается запрос.
- Правило аналитики между рабочими областями, как и любое правило аналитики, продолжит работать, даже если пользователь, создавший правило, теряет доступ к рабочим областям, на которые ссылается запрос правила. Единственным исключением из этого правила является случай с рабочими областями, находящимися в различных подписках и/или арендаторах, которые отличаются от тех, указанных в правиле аналитики.
Оповещения и инциденты, созданные правилами аналитики для нескольких рабочих областей, будут содержать все связанные сущности, в том числе связанные сущности из всех рабочих областей, на которые присутствуют ссылки, а также из "домашней" рабочей области (в которой определено правило). Это позволит аналитикам получить полную картину оповещений и инцидентов.
Примечание.
Обращение к нескольким рабочим областям в одном запросе может повлиять на производительность, поэтому рекомендуется использовать его, только если эти функциональные возможности требуются логикой.
Используйте рабочие книги между рабочими областями
Рабочие книги предоставляют панели мониторинга и приложения для Microsoft Sentinel. При работе с несколькими рабочими областями книги позволяют выполнять действия в рабочих областях, а также осуществлять мониторинг рабочих областей.
Для выполнения запросов к нескольким рабочим областям в книгах может использоваться один из трех способов, в зависимости от уровня опыта конечного пользователя:
| Метод | Описание | Когда использовать? |
|---|---|---|
| Пишите запросы к нескольким рабочим областям | Создатель книги может создавать в книге запросы к нескольким рабочим областям (описанные выше). | Я хочу, чтобы создатель книги создал структуру рабочей области, которая является прозрачной для пользователя. |
| Добавьте селектор рабочего пространства в книгу | Создатель книги может реализовать селектор рабочей области в составе книги. | Я хочу разрешить пользователю управлять рабочими областями, отображаемыми в книге, с помощью простого раскрывающегося списка. |
| Интерактивное редактирование книги | Опытный пользователь может, изменяя существующую книгу, редактировать запросы в ней, выбирая в редакторе целевые рабочие области с помощью селектора рабочей области. | Я хочу разрешить опытному пользователю легко изменять существующие книги для работы с несколькими рабочими областями. |
Поиск между несколькими рабочими областями
Microsoft Sentinel предоставляет предварительно загруженные примеры запросов, предназначенные для начала работы и знакомства с таблицами и языком запросов. Исследователи по безопасности Майкрософт постоянно добавляют новые встроенные запросы и уточняют существующие запросы. Эти запросы можно использовать для поиска новых обнаружений и выявления признаков вторжений, которые могли пропустить средства безопасности.
Возможности поиска в нескольких рабочих областях позволяют охотникам за угрозами создавать новые запросы поиска или адаптировать существующие, чтобы охватить несколько областей, используя оператор union и выражение workspace(), как показано выше.
Управление несколькими рабочими областями с помощью автоматизации
Чтобы настроить несколько рабочих областей Log Analytics, включенных для Microsoft Sentinel, необходимо автоматизировать использование API управления Microsoft Sentinel.
- Узнайте, как автоматизировать развертывание ресурсов Microsoft Sentinel, включая правила генерации оповещений, поисковые запросы, рабочие тетради и плейбуки.
- Узнайте, как развернуть пользовательское содержимое из вашего репозитория. В этой статье описана консолидированная методология управления Microsoft Sentinel в виде кода, а также развертывания и настройки ресурсов из частного репозитория Azure DevOps или GitHub.
Управление рабочими областями между клиентами
Во многих сценариях разные рабочие области Log Analytics, включенные для Microsoft Sentinels, могут находиться в разных клиентах Microsoft Entra. Вы можете использовать Azure Lighthouse для расширения всех действий между рабочими областями через границы арендаторов, позволяя пользователям вашего управляющего арендатора работать с рабочими областями во всех арендаторах.
После подключения Azure Lighthouse используйте каталог + селектор подписки на портале Azure, чтобы выбрать все подписки, содержащие рабочие области, которыми требуется управлять, гарантируя их доступность в разных селекторах рабочих областей на портале.
При использовании Azure Lighthouse рекомендуется создать отдельную группу для каждой роли Microsoft Sentinel и делегировать в эти группы разрешения от каждого арендатора.
Если вы используете портал Defender, мультитенантное управление для Microsoft Defender XDR и Microsoft Sentinel предоставляет вашим командам безопасности единое представление обо всех управляемых клиентах. Дополнительные сведения см. в разделе многотенантное управление Microsoft Defender.
Связанный контент
Сведения о Microsoft Sentinel на портале Azure см. в следующей статье:
- Управление несколькими клиентами в Microsoft Sentinel в качестве MSSP с помощью Azure Lighthouse
- Работа с инцидентами во многих рабочих областях одновременно на портале Azure
Для получения сведений о Microsoft Sentinel на портале Defender, см. статью: