你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

同时处理许多工作区中的事件

• 适用于:

  Microsoft Sentinel in the Azure portal

为了充分利用 Microsoft Sentinel 的功能，Microsoft 建议使用单工作区环境。 但是，在某些情况下，有些用例需要有多个跨多个租户的工作区，例如托管安全服务提供商 (MSSP) 及其客户就是如此。 利用多工作区视图，你可以同时跨多个工作区（甚至跨租户）查看和处理安全事件，因此能够完全洞察和控制组织的安全响应能力。

注意

有关美国政府云中的功能可用性的信息，请参阅美国政府客户的云功能可用性中的 Microsoft Sentinel 表。

如果将 Microsoft Sentinel 加入 Microsoft Defender 门户，请参阅 Microsoft Defender 多租户管理。

进入多工作区视图

打开 Microsoft Sentinel 时，会显示一个列表，其中列出了所有选定租户和订阅中你具有访问权限的所有工作区。 选择单个工作区的名称即可进入该工作区。 若要选择多个工作区，请选择所有对应的复选框，然后选择页面顶部的“查看事件”按钮。

重要

多工作区视图当前支持最多同时显示 100 个工作区。

在工作区列表中，可以看到与每个工作区关联的目录、订阅、位置和资源组。 目录对应于租户。

处理事件

多工作区视图当前仅适用于事件。 此页面的外观和功能非常类似于常规“事件”页面，但有以下重要区别：

• 页面顶部的计数器（“待处理事件”、“新事件”、“正在进行”，等等）显示与所有选定工作区对应的总数。

• 你将在单个统一列表中看到所有选定工作区和目录（租户）的事件数。 除了常规“事件”屏幕中的筛选器外，你还可以按工作区和目录筛选列表。

• 你需要对你从中选择了事件的所有工作区具有读写权限。 如果你在某些工作区上只具有读取权限，则选择这些工作区中的事件时，将会显示警告消息。 你不能修改这些事件，也不能修改与这些事件一起选择的任何其他事件（即使你对其他事件具有权限）。

• 如果选择单个事件并选择“查看完整详细信息”或“操作”>“调查”，则从那时起你将处于该事件的工作区的数据上下文中，不再处于其他事件的上下文中。

后续步骤

本文章介绍了如何同时查看和处理多个 Microsoft Sentinel 工作区中的事件。 若要详细了解 Microsoft Sentinel，请参阅以下文章：

• 了解如何洞悉数据和潜在威胁。
• 开始使用 Microsoft Sentinel 检测威胁。