你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

同时处理许多工作区中的事件

为了充分利用 Microsoft Sentinel 的功能,Microsoft 建议使用单工作区环境。 但是,在某些情况下,有些用例需要有多个跨多个租户的工作区,例如托管安全服务提供商 (MSSP) 及其客户就是如此。 利用多工作区视图,你可以同时跨多个工作区(甚至跨租户)查看和处理安全事件,因此能够完全洞察和控制组织的安全响应能力。

注意

有关美国政府云中的功能可用性的信息,请参阅美国政府客户的云功能可用性中的 Microsoft Sentinel 表。

如果将 Microsoft Sentinel 加入 Microsoft Defender 门户,请参阅 Microsoft Defender 多租户管理

进入多工作区视图

打开 Microsoft Sentinel 时,会显示一个列表,其中列出了所有选定租户和订阅中你具有访问权限的所有工作区。 选择单个工作区的名称即可进入该工作区。 若要选择多个工作区,请选择所有对应的复选框,然后选择页面顶部的“查看事件”按钮。

重要

多工作区视图当前支持最多同时显示 100 个工作区。

在工作区列表中,可以看到与每个工作区关联的目录、订阅、位置和资源组。 目录对应于租户。

选择多个工作区的屏幕截图。

处理事件

多工作区视图当前仅适用于事件。 此页面的外观和功能非常类似于常规“事件”页面,但有以下重要区别:

跨多个工作区查看事件的屏幕截图。

  • 页面顶部的计数器(“待处理事件”、“新事件”、“正在进行”,等等)显示与所有选定工作区对应的总数。

  • 你将在单个统一列表中看到所有选定工作区和目录(租户)的事件数。 除了常规“事件”屏幕中的筛选器外,你还可以按工作区和目录筛选列表。

  • 你需要对你从中选择了事件的所有工作区具有读写权限。 如果你在某些工作区上只具有读取权限,则选择这些工作区中的事件时,将会显示警告消息。 你不能修改这些事件,也不能修改与这些事件一起选择的任何其他事件(即使你对其他事件具有权限)。

  • 如果选择单个事件并选择“查看完整详细信息”或“操作”>“调查”,则从那时起你将处于该事件的工作区的数据上下文中,不再处于其他事件的上下文中。

后续步骤

本文章介绍了如何同时查看和处理多个 Microsoft Sentinel 工作区中的事件。 若要详细了解 Microsoft Sentinel,请参阅以下文章: