多くのワークスペースのインシデントを一度に操作する
Microsoft Sentinel の機能を最大限に活用するために、Microsoft では 1 つのワークスペース環境を使用することをお勧めしています。 ただし、場合によっては、複数のテナントにまたがって複数のワークスペースが必要になるユース ケースがあります。たとえば、マネージド セキュリティ サービス プロバイダー (MSSP) とその顧客の場合が挙げられます。 [複数ワークスペース ビュー] を使用すると、複数のワークスペース (場合によってはテナント) 全体のセキュリティ インシデントを同時に表示して操作でき、組織のセキュリティの応答性を完全に可視化して制御できます。
Note
米国政府機関クラウドにおける機能使用可否の詳細については、「米国政府機関のお客様向けのクラウド機能の利用可能性」に記載されている Microsoft Sentinel テーブルを参照してください。
Microsoft Defender ポータルに Microsoft Sentinel をオンボードする場合は、「Microsoft Defender マルチテナント管理」を参照してください。
複数ワークスペース ビューに入る
Microsoft Sentinel を開くと、選択したすべてのテナントとサブスクリプション全体の、ご自身がアクセス権を持つすべてのワークスペースの一覧が表示されます。 1 つのワークスペースの名前を選択すると、そのワークスペースに移動します。 複数のワークスペースを選ぶには、対応するすべてのチェック ボックスをオンにして、ページの上部にある [インシデントの表示] ボタンを選びます。
重要
現在、[複数ワークスペース ビュー] では、最大 100 個ワークスペースを同時に表示できます。
ワークスペースの一覧には、各ワークスペースに関連付けられているディレクトリ、サブスクリプション、場所、リソース グループが表示されます。 ディレクトリはテナントに対応します。
インシデントを操作する
現在、複数ワークスペース ビューはインシデントでのみ使用できます。 このページの外観と機能は、通常のインシデント ページとほとんど同じですが、次の重要な違いがあります。
ページ上部のカウンター ([インシデントを開く]、[新しいインシデント]、[Active incidents](アクティブなインシデント) など) には、選択したすべてのワークスペースについての数が集合的に表示されます。
選択したすべてのワークスペースとディレクトリ (テナント) のインシデントが、統合された 1 つの一覧に表示されます。 通常の [Incidents](インシデント) 画面のフィルターに加えて、ワークスペースとディレクトリによって一覧をフィルターできます。
インシデントを選択したすべてのワークスペースに対して、読み取りと書き込みの権限が必要です。 一部のワークスペースに対して読み取り権限しかない場合、それらのワークスペースでインシデントを選択すると、警告メッセージが表示されます。 それらのインシデントも、それらと一緒に選択した他のインシデントも (他のものに対する権限がある場合でも) 変更できません。
1 つのインシデントを選択し、[すべての詳細を表示] または [アクション]>[調査] を選択すると、それ以降、そのインシデントのワークスペースのデータ コンテキストに入ることになり、他には入りません。
次のステップ
この記事では、複数の Microsoft Sentinel ワークスペースのインシデントを同時に表示して操作する方法を説明しました。 Microsoft Sentinel の詳細については、次の記事を参照してください。
- データと潜在的な脅威を可視化する方法についての説明。
- Microsoft Sentinel を使用した脅威の検出の概要。