Поделиться через

Работа с инцидентами в нескольких рабочих областях одновременно

  • Статья
  • Применяется к:
    Microsoft Sentinel in the Azure portal

Чтобы получить все преимущества Microsoft Sentinel, корпорация Майкрософт рекомендует использовать среду с одной рабочей областью. В некоторых случаях все же требуется несколько рабочих областей, например для управляемого поставщика службы безопасности (MSSP), который работает с несколькими клиентами. В представлении с несколькими рабочими областями можно работать с инцидентами безопасности в нескольких рабочих областях одновременно, даже в разных клиентах. Так вы получаете полную видимость и реагируете на проблемы с безопасностью в вашей организации.

Примечание.

Сведения о доступности функций в облаках для государственных организаций США см. в таблицах Microsoft Sentinel в статье Доступность функций для клиентов облаков для государственных организаций США.

Если вы настроите Microsoft Sentinel на портал Microsoft Defender, ознакомьтесь с мультитенантным управлением Microsoft Defender.

Вход в представление с несколькими рабочими областями

При открытии Microsoft Sentinel отображается список всех рабочих областей, к которым у вас есть права доступа для всех выбранных клиентов и подписок. Выбор имени одной рабочей области приводит вас в эту рабочую область. Чтобы выбрать несколько рабочих областей, установите флажки для всех из низ и нажмите кнопку View incidents (Просмотр инцидентов) в верхней части страницы.

Внимание

В настоящее время в этом представлении одновременно показывается не более 100 рабочих областей.

В списке рабочих областей можно увидеть каталог, подписку, расположение и группу ресурсов, связанную с каждой рабочей областью. Каталог соответствует клиенту.

Снимок экрана: выбор нескольких рабочих областей.

Работа с инцидентами

Представление с несколькими рабочими областями в настоящее время доступно только для инцидентов. Эта страница внешнее и по поведению очень похожа на обычную страницу Инциденты, но имеет следующие важные отличия.

Снимок экрана: просмотр инцидентов в нескольких рабочих областях.

  • В счетчиках в верхней части страницы — Открытые инциденты, Новые инциденты, Active incidents (Активные инциденты) и т. д. — отображаются числа для всех выбранных рабочих областей в совокупности.

  • Инциденты отображаются во всех выбранных рабочих областях и каталогах (клиентах) в одном едином списке. Список можно отфильтровать по рабочей области и каталогу в дополнение к фильтрам на обычном экране Инциденты.

  • Необходимо иметь разрешения на чтение и запись во всех рабочих областях, из которых вы выбрали инциденты. Если у вас есть только разрешения на чтение в некоторых рабочих областях, при выборе инцидентов в этих рабочих областях отображаются предупреждения. Вы не можете изменить эти инциденты или любые другие, которые вы выбрали вместе с этими (даже если у вас есть разрешения для других).

  • Если вы выберете один инцидент и выберите "Просмотреть полные сведения" или "Действия>", вы будете находиться в контексте данных рабочей области этого инцидента и других.

Следующие шаги

В этой статье вы узнали, как просматривать инциденты в нескольких рабочих областях Microsoft Sentinel и работать с ними одновременно. Ознакомьтесь с дополнительными сведениями о Microsoft Sentinel в следующих статьях: