Trabalhe com incidentes em vários espaços de trabalho ao mesmo tempo
Para aproveitar ao máximo os recursos do Microsoft Sentinel, a Microsoft recomenda o uso de um ambiente de espaço de trabalho único. No entanto, há alguns casos de uso que exigem ter vários espaços de trabalho, em alguns casos – por exemplo, o de um MSSP (Managed Security Service Provider) e seus clientes – em vários locatários. A vista de várias áreas de trabalho permite-lhe ver e trabalhar com incidentes de segurança em várias áreas de trabalho ao mesmo tempo, mesmo entre inquilinos, permitindo-lhe manter a visibilidade e o controlo totais da capacidade de resposta de segurança da sua organização.
Nota
Para obter informações sobre a disponibilidade de recursos em nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em Disponibilidade de recursos de nuvem para clientes do governo dos EUA.
Se você integrar o Microsoft Sentinel ao portal do Microsoft Defender, consulte Gerenciamento multilocatário do Microsoft Defender.
Inserindo vários modos de exibição de espaço de trabalho
Quando abre o Microsoft Sentinel, é-lhe apresentada uma lista de todas as áreas de trabalho às quais tem direitos de acesso, em todos os inquilinos e subscrições selecionados. Selecionar o nome de um único espaço de trabalho leva você a esse espaço de trabalho. Para escolher vários espaços de trabalho, selecione todas as caixas de seleção correspondentes e selecione o botão Exibir incidentes na parte superior da página.
Importante
O Modo de Exibição de Espaço de Trabalho Múltiplo agora suporta um máximo de 100 espaços de trabalho exibidos simultaneamente.
Na lista de espaços de trabalho, você pode ver o diretório, a assinatura, o local e o grupo de recursos associados a cada espaço de trabalho. O diretório corresponde ao locatário.
Trabalhar com incidentes
Atualmente, o modo de exibição de vários espaços de trabalho está disponível apenas para incidentes. Esta página tem a aparência e funciona da maioria das maneiras como a página regular de Incidentes , com as seguintes diferenças importantes:
Os contadores na parte superior da página - Incidentes abertos, Novos incidentes, Incidentes ativos, etc. - mostram os números de todos os espaços de trabalho selecionados coletivamente.
Você vê incidentes de todos os espaços de trabalho e diretórios selecionados (locatários) em uma única lista unificada. Você pode filtrar a lista por espaço de trabalho e diretório, além dos filtros da tela Incidentes regular.
Você precisa ter permissões de leitura e gravação em todos os espaços de trabalho dos quais selecionou incidentes. Se você tiver apenas permissões de leitura em alguns espaços de trabalho, verá mensagens de aviso se selecionar incidentes nesses espaços de trabalho. Você não pode modificar esses incidentes ou quaisquer outros que tenha selecionado junto com eles (mesmo que tenha permissões para os outros).
Se você escolher um único incidente e selecionar Exibir detalhes completos ou Ações>investigar, estará a partir de então no contexto de dados do espaço de trabalho desse incidente e nenhum outro.
Próximos passos
Neste artigo, você aprendeu como exibir e trabalhar com incidentes em vários espaços de trabalho do Microsoft Sentinel simultaneamente. Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos: