Freigeben über


Arbeiten mit Vorfällen in vielen Arbeitsbereichen gleichzeitig

Um die Funktionen von Microsoft Sentinel in vollem Umfang nutzen zu können, empfiehlt Microsoft die Verwendung einer Umgebung mit einem einzelnen Arbeitsbereich. Es gibt jedoch einige Anwendungsfälle, bei denen in einigen Fällen – (z. B. bei einem Managed Security Service Provider (MSSP) und seinen Kunden – mehrere Arbeitsbereiche mit mehreren Mandanten benötigt werden. In der Ansicht mit mehreren Arbeitsbereichen können Sie mehrere Sicherheitsvorfälle in mehreren Arbeitsbereichen gleichzeitig anzeigen und mit ihnen arbeiten. Dies ist sogar mandantenübergreifend möglich, sodass Sie die volle Transparenz und Kontrolle über die Sicherheitsreaktionsfähigkeit Ihrer Organisation behalten.

Hinweis

Informationen über die Verfügbarkeit von Funktionen in US-Regierungs-Clouds finden Sie in den Microsoft Sentinel-Tabellen in Cloud-Funktionsverfügbarkeit für US-Regierungskunden.

Wenn Sie Microsoft Sentinel in das Microsoft Defender-Portal integrieren, lesen Sie Microsoft Defender – Multimandantenverwaltung.

Wechseln zur Ansicht mit mehreren Arbeitsbereichen

Wenn Sie Microsoft Sentinel öffnen, sehen Sie eine Liste aller Arbeitsbereiche, für die Sie über Zugriffsrechte verfügen, und zwar über alle ausgewählten Mandanten und Abonnements hinweg. Durch Auswählen des Namens eines einzelnen Arbeitsbereichs gelangen Sie zu diesem Arbeitsbereich. Wenn Sie mehrere Arbeitsbereiche auswählen möchten, aktivieren Sie die entsprechenden Kontrollkästchen, und wählen Sie dann oben auf der Seite die Option Incidents anzeigen aus.

Wichtig

In der Ansicht mit mehreren Arbeitsbereichen werden jetzt maximal 100 gleichzeitig angezeigte Arbeitsbereiche unterstützt.

In der Liste der Arbeitsbereiche sehen Sie das Verzeichnis, das Abonnement, den Standort und die Ressourcengruppe jedes einzelnen Arbeitsbereichs. Das Verzeichnis entspricht dem Mandanten.

Screenshot des Auswählens mehrerer Arbeitsbereiche.

Arbeiten mit Vorfällen

Die Ansicht mit mehreren Arbeitsbereichen ist derzeit nur für Incidents verfügbar. Aussehen und Funktionsweise dieser Seite entsprechen im Großen und Ganzen denen der regulären Seite Incidents. Es gibt jedoch ein paar wichtige Unterschiede:

Screenshot des Anzeigens von Vorfällen in mehreren Arbeitsbereichen.

  • Die Indikatoren am oberen Rand der Seite (Offene Incidents, Neue Incidents, In Bearbeitung usw.) geben Sie die Werte für alle ausgewählten Arbeitsbereiche an.

  • Vorfälle aus allen ausgewählten Arbeitsbereichen und Verzeichnissen (Mandanten) werden in einer einzelnen vereinheitlichten Liste angezeigt. Zusätzlich zu den Filtern im regulären Vorfälle-Bildschirm können Sie die Liste nach Arbeitsbereich und Verzeichnis filtern.

  • Sie müssen über Lese- und Schreibberechtigungen für alle Arbeitsbereiche verfügen, aus denen Sie Vorfälle ausgewählt haben. Wenn Sie für einige Arbeitsbereiche nur über Leseberechtigungen verfügen, werden bei der Auswahl von Vorfällen in diesen Arbeitsbereichen Warnmeldungen angezeigt. Sie können diese oder andere gemeinsam ausgewählte Vorfälle nicht ändern (selbst wenn Sie für die anderen Vorfälle über Berechtigungen verfügen).

  • Wenn Sie einen einzelnen Vorfall und dann Vollständige Details anzeigen oder Aktionen>Untersuchen auswählen, gelangen Sie zum Datenkontext des Arbeitsbereichs dieses speziellen Vorfalls.

Nächste Schritte

In diesem Artikel haben Sie erfahren, wie Sie Vorfälle in mehreren Microsoft Sentinel-Arbeitsbereichen gleichzeitig anzeigen und mit diesen arbeiten. Weitere Informationen zu Microsoft Sentinel finden Sie in den folgenden Artikeln: