Udostępnij za pośrednictwem

Praca ze zdarzeniami w wielu obszarach roboczych jednocześnie

  • Artykuł
  • Dotyczy:
    Microsoft Sentinel in the Azure portal

Aby w pełni wykorzystać możliwości usługi Microsoft Sentinel, firma Microsoft zaleca korzystanie ze środowiska z jednym obszarem roboczym. Istnieją jednak pewne przypadki użycia, które wymagają kilku obszarów roboczych, w niektórych przypadkach — na przykład dostawcy usług zabezpieczeń zarządzanych (MSSP) i jego klientów — w wielu dzierżawach. Widok wielu obszarów roboczych umożliwia wyświetlanie i pracę ze zdarzeniami zabezpieczeń w kilku obszarach roboczych w tym samym czasie, nawet w różnych dzierżawach, co pozwala zachować pełną widoczność i kontrolę reakcji na zabezpieczenia organizacji.

Uwaga

Aby uzyskać informacje o dostępności funkcji w chmurach dla instytucji rządowych USA, zobacz tabele usługi Microsoft Sentinel w temacie Dostępność funkcji w chmurze dla klientów instytucji rządowych USA.

Jeśli dołączasz usługę Microsoft Sentinel do portalu usługi Microsoft Defender, zobacz Zarządzanie wielodostępne w usłudze Microsoft Defender.

Wprowadzanie wielu widoków obszaru roboczego

Po otwarciu usługi Microsoft Sentinel zostanie wyświetlona lista wszystkich obszarów roboczych, do których masz prawa dostępu, we wszystkich wybranych dzierżawach i subskrypcjach. Wybranie nazwy pojedynczego obszaru roboczego spowoduje przejście do tego obszaru roboczego. Aby wybrać wiele obszarów roboczych, zaznacz wszystkie odpowiednie pola wyboru, a następnie wybierz przycisk Wyświetl zdarzenia w górnej części strony.

Ważne

Widok wielu obszarów roboczych obsługuje teraz maksymalnie 100 współbieżnie wyświetlanych obszarów roboczych.

Na liście obszarów roboczych można wyświetlić katalog, subskrypcję, lokalizację i grupę zasobów skojarzona z każdym obszarem roboczym. Katalog odpowiada dzierżawie.

Zrzut ekranu przedstawiający wybieranie wielu obszarów roboczych.

Praca z zdarzeniami

Widok wielu obszarów roboczych jest obecnie dostępny tylko dla zdarzeń. Ta strona wygląda i działa na większość sposobów, takich jak zwykła strona Incydenty , z następującymi ważnymi różnicami:

Zrzut ekranu przedstawiający wyświetlanie zdarzeń w wielu obszarach roboczych.

  • Liczniki w górnej części strony — Otwieranie zdarzeń, Nowe zdarzenia, Aktywne zdarzenia itp. — pokazują liczby wszystkich wybranych obszarów roboczych zbiorczo.

  • Zdarzenia ze wszystkich wybranych obszarów roboczych i katalogów (dzierżaw) są widoczne na jednej ujednoliconej liście. Listę można filtrować według obszaru roboczego i katalogu, oprócz filtrów na ekranie Zwykłe zdarzenia .

  • Musisz mieć uprawnienia do odczytu i zapisu we wszystkich obszarach roboczych, z których zostały wybrane zdarzenia. Jeśli masz tylko uprawnienia do odczytu w niektórych obszarach roboczych, w przypadku wybrania zdarzeń w tych obszarach roboczych będą wyświetlane komunikaty ostrzegawcze. Nie możesz modyfikować tych zdarzeń ani innych wybranych razem z tymi zdarzeniami (nawet jeśli masz uprawnienia dla innych osób).

  • Jeśli wybierzesz pojedyncze zdarzenie i wybierzesz pozycję Wyświetl pełne szczegóły lub Akcje>Zbadaj, będziesz wtedy w kontekście danych obszaru roboczego tego zdarzenia i nie ma innych informacji.

Następne kroki

W tym artykule przedstawiono sposób jednoczesnego wyświetlania zdarzeń i pracy z zdarzeniami w wielu obszarach roboczych usługi Microsoft Sentinel. Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zobacz następujące artykuły: