Praca ze zdarzeniami w wielu obszarach roboczych jednocześnie
Aby w pełni wykorzystać możliwości usługi Microsoft Sentinel, firma Microsoft zaleca korzystanie ze środowiska z jednym obszarem roboczym. Istnieją jednak pewne przypadki użycia, które wymagają kilku obszarów roboczych, w niektórych przypadkach — na przykład dostawcy usług zabezpieczeń zarządzanych (MSSP) i jego klientów — w wielu dzierżawach. Widok wielu obszarów roboczych umożliwia wyświetlanie i pracę ze zdarzeniami zabezpieczeń w kilku obszarach roboczych w tym samym czasie, nawet w różnych dzierżawach, co pozwala zachować pełną widoczność i kontrolę reakcji na zabezpieczenia organizacji.
Uwaga
Aby uzyskać informacje o dostępności funkcji w chmurach dla instytucji rządowych USA, zobacz tabele usługi Microsoft Sentinel w temacie Dostępność funkcji w chmurze dla klientów instytucji rządowych USA.
Jeśli dołączasz usługę Microsoft Sentinel do portalu usługi Microsoft Defender, zobacz Zarządzanie wielodostępne w usłudze Microsoft Defender.
Wprowadzanie wielu widoków obszaru roboczego
Po otwarciu usługi Microsoft Sentinel zostanie wyświetlona lista wszystkich obszarów roboczych, do których masz prawa dostępu, we wszystkich wybranych dzierżawach i subskrypcjach. Wybranie nazwy pojedynczego obszaru roboczego spowoduje przejście do tego obszaru roboczego. Aby wybrać wiele obszarów roboczych, zaznacz wszystkie odpowiednie pola wyboru, a następnie wybierz przycisk Wyświetl zdarzenia w górnej części strony.
Ważne
Widok wielu obszarów roboczych obsługuje teraz maksymalnie 100 współbieżnie wyświetlanych obszarów roboczych.
Na liście obszarów roboczych można wyświetlić katalog, subskrypcję, lokalizację i grupę zasobów skojarzona z każdym obszarem roboczym. Katalog odpowiada dzierżawie.
Praca z zdarzeniami
Widok wielu obszarów roboczych jest obecnie dostępny tylko dla zdarzeń. Ta strona wygląda i działa na większość sposobów, takich jak zwykła strona Incydenty , z następującymi ważnymi różnicami:
Liczniki w górnej części strony — Otwieranie zdarzeń, Nowe zdarzenia, Aktywne zdarzenia itp. — pokazują liczby wszystkich wybranych obszarów roboczych zbiorczo.
Zdarzenia ze wszystkich wybranych obszarów roboczych i katalogów (dzierżaw) są widoczne na jednej ujednoliconej liście. Listę można filtrować według obszaru roboczego i katalogu, oprócz filtrów na ekranie Zwykłe zdarzenia .
Musisz mieć uprawnienia do odczytu i zapisu we wszystkich obszarach roboczych, z których zostały wybrane zdarzenia. Jeśli masz tylko uprawnienia do odczytu w niektórych obszarach roboczych, w przypadku wybrania zdarzeń w tych obszarach roboczych będą wyświetlane komunikaty ostrzegawcze. Nie możesz modyfikować tych zdarzeń ani innych wybranych razem z tymi zdarzeniami (nawet jeśli masz uprawnienia dla innych osób).
Jeśli wybierzesz pojedyncze zdarzenie i wybierzesz pozycję Wyświetl pełne szczegóły lub Akcje>Zbadaj, będziesz wtedy w kontekście danych obszaru roboczego tego zdarzenia i nie ma innych informacji.
Następne kroki
W tym artykule przedstawiono sposób jednoczesnego wyświetlania zdarzeń i pracy z zdarzeniami w wielu obszarach roboczych usługi Microsoft Sentinel. Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zobacz następujące artykuły:
- Dowiedz się, jak uzyskać wgląd w dane i potencjalne zagrożenia.
- Rozpocznij wykrywanie zagrożeń za pomocą usługi Microsoft Sentinel.