在 Microsoft Teams 中共同作業 (公開預覽版)

• 適用於:

  Microsoft Sentinel in the Azure portal

Microsoft Sentinel 支援直接整合 Microsoft Teams，讓您直接加入特定事件的團隊合作。

重要

整合 Microsoft Teams 目前處於預覽狀態。 請參閱 Microsoft Azure Preview 補充使用規定，了解適用於搶鮮版 (Beta)、預覽版或尚未正式發行 Azure 功能的其他法律條款。

概觀

直接從 Microsoft Sentinel 與 Microsoft Teams 整合，讓小組輕鬆跨組織與外部專案關係人共同作業。

使用 Microsoft Teams 搭配 Microsoft Sentinel 事件小組，統籌管理相關人員的溝通與協調。 處理高嚴重性的持續事件時，特別需要事件小組充當專屬會議橋樑。

已使用 Microsoft Teams 進行通訊和共同作業的組織可以使用 Microsoft Sentinel 整合，將安全性資料直接帶入其交談和日常工作中。

Microsoft Sentinel 事件團隊一律具有 Microsoft Sentinel 的最近更新和最新資料，確保您的小組擁有最相關的資料。

所需的權限

若要從 Microsoft Sentinel 建立小組：

• 建立小組的使用者必須在 Microsoft Sentinel 中擁有事件寫入權限。 例如，Microsoft Sentinel 回應者角色是此權限的理想最低限度角色。

• 建立小組的使用者也必須有在 Microsoft Teams 中建立小組的權限。

• 任何 Microsoft Sentinel 使用者，包括具有讀取者、回應者或參與者角色的使用者，都可以透過要求存取權來取得所建立小組的存取權。

使用事件小組調查

透過直接從事件整合 Microsoft Teams，與事件小組共同調查。

若要建立事件小組：

1. 在 Microsoft Sentinel 的 [威脅管理]>[事件] 方格中，選取您目前正在調查的事件。

2. 在右側顯示的事件窗格底部，選取 [動作]>[建立 Team (預覽)]。

   

   [事件小組] 窗格會在右側開啟。 定義事件小組的下列設定：

   • 小組名稱：自動定義為事件的名稱。 請視需要修改名稱，以便您輕鬆識別。

   • 描述：輸入事件小組的實質性描述。

   • 新增群組和成員：選取一或多個 Microsoft Entra 使用者和/或群組以新增至您的事件小組。 您選取的使用者和群組會出現在 [新增群組和成員] 清單下方的 [選取的群組和使用者:] 清單。

     提示

     如果您經常與相同的使用者和群組合作，建議選取 [選取的群組和使用者] 清單旁邊的星號 ，以將其儲存為我的最愛。

     下次建立小組時將會自動選取我的最愛。 如果您想要將下一個建立的小組中移除我的最愛，請選取 [刪除]，或再次選取星號 以完全從我的最愛中移除小組。

3. 當您完成新增使用者和群組時，請選取 [建立小組] 以建立事件小組。

   事件窗格會重新整理，[小組名稱] 標題下會包含新事件小組的連結。

   

4. 選取您的 Teams 整合連結以切換至 Microsoft Teams，其中事件的所有資料都會列在 [事件頁面] 索引標籤上。

   

在 Teams 視需要繼續關於調查的交談。 您可以直接在小組中取得完整的事件詳細資料。

提示

• 如果您需要將個別使用者新增至小組，您可以使用 Microsoft Teams 中 [貼文] 索引標籤上的 [新增更多人員] 按鈕。

• 當您關閉事件時，Microsoft Teams 中已建立的相關事件小組會封存。 如果事件已重新開啟，相關事件小組也會在 Microsoft Teams 中重新開啟，讓您可以從先前的位置繼續開始交談。

下一步

如需詳細資訊，請參閱

• 教學課程：使用 Microsoft Sentinel 來調查事件
• Microsoft Teams 中的小組和頻道概觀