Usare eventi imprevisti in più aree di lavoro contemporaneamente
Per sfruttare al meglio le funzionalità di Microsoft Sentinel, Microsoft consiglia di usare un ambiente a singola area di lavoro. Esistono tuttavia alcuni casi d'uso che richiedono diverse aree di lavoro, in alcuni casi, ad esempio quella di un provider di servizi di sicurezza gestito (MSSP) e dei relativi clienti, in più tenant. La visualizzazione più aree di lavoro consente di visualizzare e usare eventi imprevisti di sicurezza in più aree di lavoro contemporaneamente, anche tra tenant, consentendo di mantenere la visibilità completa e il controllo della velocità di risposta alla sicurezza dell'organizzazione.
Nota
Per informazioni sulla disponibilità delle funzionalità nei cloud per enti pubblici degli Stati Uniti, vedere le tabelle di Microsoft Sentinel nella disponibilità delle funzionalità cloud per enti pubblici degli Stati Uniti.
Se si esegue l'onboarding di Microsoft Sentinel nel portale di Microsoft Defender, vedere Gestione multi-tenant di Microsoft Defender.
Immissione di più visualizzazioni dell'area di lavoro
Quando si apre Microsoft Sentinel, viene visualizzato un elenco di tutte le aree di lavoro a cui si dispone dei diritti di accesso, in tutti i tenant e le sottoscrizioni selezionati. La selezione del nome di una singola area di lavoro consente di accedere a tale area di lavoro. Per scegliere più aree di lavoro, selezionare tutte le caselle di controllo corrispondenti e quindi selezionare il pulsante Visualizza eventi imprevisti nella parte superiore della pagina.
Importante
La visualizzazione più aree di lavoro supporta ora un massimo di 100 aree di lavoro visualizzate contemporaneamente.
Nell'elenco delle aree di lavoro è possibile visualizzare la directory, la sottoscrizione, la posizione e il gruppo di risorse associati a ogni area di lavoro. La directory corrisponde al tenant.
Uso degli eventi imprevisti
La visualizzazione di più aree di lavoro è attualmente disponibile solo per gli eventi imprevisti. Questa pagina ha un aspetto e funziona nella maggior parte dei modi, ad esempio la pagina eventi imprevisti normali, con le differenze importanti seguenti:
I contatori nella parte superiore della pagina, ovvero Eventi imprevisti aperti, Nuovi eventi imprevisti, Eventi imprevisti attivi e così via, mostrano i numeri per tutte le aree di lavoro selezionate collettivamente.
Gli eventi imprevisti vengono visualizzati da tutte le aree di lavoro e le directory selezionate (tenant) in un unico elenco unificato. È possibile filtrare l'elenco in base all'area di lavoro e alla directory, oltre ai filtri dalla normale schermata Eventi imprevisti .
È necessario disporre delle autorizzazioni di lettura e scrittura per tutte le aree di lavoro da cui sono stati selezionati eventi imprevisti. Se si dispone solo delle autorizzazioni di lettura per alcune aree di lavoro, vengono visualizzati messaggi di avviso se si selezionano eventi imprevisti in tali aree di lavoro. Non è possibile modificare tali eventi imprevisti o altri utenti selezionati insieme a tali eventi (anche se si dispone delle autorizzazioni per gli altri utenti).
Se si sceglie un singolo evento imprevisto e si seleziona Visualizza dettagli completi o Indagini azioni>, sarà quindi possibile trovarsi nel contesto dati dell'area di lavoro dell'evento imprevisto e nessun altro.
Passaggi successivi
In questo articolo si è appreso come visualizzare e usare eventi imprevisti in più aree di lavoro di Microsoft Sentinel contemporaneamente. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti:
- Informazioni su come ottenere visibilità sui dati e sulle potenziali minacce.
- Iniziare a rilevare minacce con Microsoft Sentinel.